Parler d’externaliser sa cybersécurité revient à parler de l’externalisation dans le cloud. Aujourd’hui, conserver et gérer ses données informatiques dans le cloud est une approche courante pour de nombreuses entreprises. C’est en effet une démarche qui présente de nombreux avantages. «Stocker ses données dans le cloud est entré dans les mœurs – cela permet aux entreprises de confier la gestion quotidienne de leur système IT, de garder une maîtrise des coûts des infrastructures et des services et in fine de se recentrer sur leur cœur de métier», explique Cédric Mauny.
Une question de confiance
Il est nécessaire de faire appel à des spécialistes qui sauront gérer les risques.
Cédric Mauny, Department manager of security audits & governance services (Telindus)
Externaliser ses systèmes IT exige aussi une confiance absolue envers son provider – en effet, on lui confie un aspect aussi fondamental que la sécurité de ses données et infrastructures. «Il s’agit d’un domaine de spécialistes et il est nécessaire de faire appel à des spécialistes qui sauront gérer les risques en mettant en œuvre les actions pour prévenir, détecter et réagir à des attaques. Chez Telindus, nous offrons des services et solutions de sécurité depuis plus de 15 ans et avons des équipes à double compétence: attaque et défense. Cela nous permet de nous mettre dans la peau des attaquants pour savoir mieux défendre», explique Cédric Mauny. «Mais il est vrai que les aspects sécurité et privacy peuvent être des freins pour de nombreux décisionnaires d’aller dans le cloud, c’est pour cette raison que nous avons fait reconnaître, par l’obtention de la certification ISO 27001, l’approche sécuritaire de notre cloud privé.»
L’union fait la force
Pour offrir un niveau de sécurité des plus élevés, Telindus a mis en place une «équipe de réponse aux incidents» (CSIRT – Computer Security Incident Response Team) au top de son SOC (Security Operating Center) désormais proposé à ses clients externes. Le principe? De la tour de contrôle sécurité qui est représentée par le SOC pour superviser la sécurité opérationnelle, le CSIRT permet d’être l’interface avec d’autres organisations – «des tiers de confiance» – pour partager des informations, dans le respect de la loi, sur les malwares et autres menaces rencontrées. Le but? Pouvoir anticiper les menaces et améliorer le développement de contre-mesures pour protéger efficacement l’ensemble de l’écosystème luxembourgeois. «Nous protégeons nos clients bien sûr, mais notre but est aussi de protéger tout l’écosystème. En échangeant les bonnes informations, tout le monde pourra en tirer profit», poursuit Cédric Mauny.
La société qui externalise conserve sa responsabilité sur ses données.
Les citoyens et les entreprises avant tout
Quid de la responsabilité des entreprises et des prestataires de services dans un tel cas de figure? «La société qui externalise conserve sa responsabilité sur ses données, c’est elle qui sait quelles sont les données les plus sensibles pour elle et ses clients et qui doit déterminer les besoins de sécurité selon son profil de risque. Mais bien sûr, nos experts peuvent l’aider à identifier les ressources à protéger et définir avec elle les mesures de sécurité cohérentes et adaptées à ses risques.» Un véritable partenariat se noue alors entre la société et son fournisseur de services. «Nous travaillons main dans la main pour mettre en place les mesures de sécurité les plus adaptées», explique Cédric Mauny.
Nous travaillons main dans la main pour mettre en place les mesures de sécurité les plus adaptées.
Par ailleurs, le nouveau règlement européen sur la protection des données (GDPR) permettra d’améliorer significativement la sécurité juridique et la confiance des citoyens envers les entreprises. «C’est un point-clé sur lequel toutes les sociétés devront se mettre en conformité afin de rassurer leurs clients sur la bonne gestion de leurs données personnelles. Ce règlement est une opportunité permettant de présenter les investissements en cybersécurité comme éléments indispensables pour la conformité et comme business enablers pour attirer de nouveaux clients.»