Sécurité des SI : effet boomerang de la paire de baffes

Mais la discussion va prendre un tour intéressant si l’on examine de plus près l’annexe A.15 de la norme ISO 27001, consacrée à la gestion des fournisseurs. La disposition A.15.1.2 mentionne explicitement la présence de clauses de sécurité dans les relations contractuelles avec ses fournisseurs (toute la section A.15.1 parle même de charte fournisseur, de PSSI, etc.), et les dispositions A.15.2.1 et A.15.2.2 traitent quant à elles de la surveillance des prestations délivrées par les fournisseurs, soit en mode « croisière », soit lors d’un changement dans les prestations en question. Certes, on est quelquefois à cheval sur le RGPD et l’ISO, mais l’ISO représente un catalogue de pratiques à mettre en œuvre sur lequel des milliers de personnes ont phosphoré pendant des décennies pour en arriver à ce niveau de maturité : on peut donc faire confiance au modèle.

Le chapitre A.15.1 (le volet contractuel) n’est pas si compliqué à mettre en œuvre : clauses et annexes aux CCTP/CCAP, charte fournisseur signée avant l’ouverture des accès en télémaintenance, etc. Par contre, pour les deux clauses du A.15.2, c’est une autre paire de manches : comment s’assure-t-on de la prise en compte de la sécurité dans les prestations de tel ou tel fournisseur ? Dans l’esprit de l’ISO, il appartient au client de poser la question et au fournisseur d’y répondre. J’ai testé pour vous l’année dernière et j’ai eu cette discussion absolument stratosphérique avec un opérateur telco (dont les processus métiers datent à peu près de Germinal) :

– Qu’avez-vous mis en place pour prendre en compte la sécurité dans vos prestations ?
– … (aucune réponse).
– Vous avez un relevé des incidents, un taux de disponibilité annuel, un plan de formation SSI de vos agents, une PSSI, etc. ?

En gros, nada, bernique et peau de balle. Évidemment, pour un opérateur telco, c’est assez facile de répondre, autant du reste que pour un SSII effectuant de la maintenance dans un datacenter ou pour un organisme de formation. Mais posez-vous les mêmes questions pour un commissaire aux comptes (eux, je sais qu’ils ont la réponse), pour une SSII qui réalise une opération technique ponctuelle, pour un cabinet d’avocats qui intervient en mode conseil, etc.

Tiens juste pour rire, quelles dispositions a mis en place le cabinet MacQuisait pour la prestation de conseil sur la constitution d’un stock national de papier toilette au Ministère du transit ? Une charte de déontologie ? Je peux voir une estimation de son efficacité ? Des formations pointues sur les types de papiers ? Je peux voir les feuilles de présence (fastoche), les évaluations des agents formés (plus casse-figure) voire l’estimation de la compétence globale des équipes (bon courage) ?

Le monde professionnel est tout de même en train de prendre une bizarre tournure, à tous s’auditer les uns les autres à longueur de temps : les organismes de contrôle auditent les entreprises, qui auditent leurs fournisseurs, qui eux-mêmes auditent leurs fournisseurs de rang 2, etc. Et au beau milieu de ce joyeux manège, la personne du RSSI (et du DPO !) qui va littéralement passer son temps à poser des questions ouvertes (les pires qui soient) à tout le monde : qu’avez-vous mis en place pour vous assurer de… ? Avez-vous des indicateurs pour mesurer le… ? Et aussi bien à son entreprise qu’aux fournisseurs, c’est cela la beauté du geste. La prochaine fois que je tombe sur un fournisseur de prestations intellectuelles, je vais lui poser cette question juste pour voir sa réaction (si je peux, je prends une photo de sa bobine et je l’encadre), ensuite je poserai la même au service qui a fait appel à ce prestataire. C’est moi qui fabrique le boomerang, mais ce sont eux qui se visent mutuellement avec !

Ça me motive de ouf, j’ai une de ces patates en ce début de semaine, moi !