Questionnaires de cybersécurité : Que révéler au donneur d'ordre ?
Face aux questionnaires de cybersécurité, quel est l'équilibre à trouver entre transparence et camouflage ?
Récemment, une PMI (Petite ou Moyenne Industrie) m'a posé une question qui, de prime abord, semblait sortir tout droit de la science-fiction. Leur client, un acteur majeur de l'industrie, leur avait envoyé un colossal questionnaire de cybersécurité composé de 80 questions. Pour ce sous-traitant, répondre à ce questionnaire ressemblait plus à une perte de temps monumentale qu'à une démarche utile.
En tant que RSSI, j'ai eu l'occasion de m'attaquer au défi de la cybersécurité dans le cadre de la sous-traitance, notamment lorsqu'il s'agit de traiter des données personnelles ou de connecter des sous-traitants à nos systèmes. Ce travail s'étend à des centaines de partenaires, chacun avec ses propres spécificités.
Au fil de ma carrière, j'ai eu la chance d'observer cette dynamique de l'intérieur, tant du point de vue du client que du fournisseur. Cette expérience m'a offert une perspective assez unique et une compréhension profonde des enjeux et des défis que représente la relation entre clients et fournisseurs dans le domaine de la cybersécurité.
Quels sont les objectifs du questionnaire cybersécurité
Avant de plonger tête première dans le dédale des questionnaires de cybersécurité, prenons un moment pour démêler le pourquoi du comment. Ces questionnaires, loin d'être envoyés au hasard, répondent à un besoin précis des équipes cybersécurité des grandes entreprises.
Une des premières raisons pour lesquels les donneurs d’ordres envoient des questionnaires cybersécurité, c’est un sujet conformité. Pour répondre à :
des obligations liés au RGPD
certaines réglementations
des demandes d’actionnaires
Les donneurs d’ordre inscrivent dans leur politique de sécurité de système d’information (PSSI) l’obligation d’évaluer le niveau des sous-traitants. Ces questionnaires représentent donc une obligation aussi pour les équipes.
Quand on parle de réponses, l'idée n'est pas juste de cocher des cases pour dire que des mesures de sécurité sont en place. Ce qui compte vraiment, c'est de démontrer comment ces mesures sont intégrées et gérées au quotidien. L'objectif ? Cerner le degré de maturité en cybersécurité de nos partenaires.
Je remarque souvent une tendance à vouloir présenter un niveau de cybersécurité quasi irréprochable. C'est une erreur classique. Le niveau de sécurité exigé varie en fonction du risque spécifique que représente le sous-traitant pour l'entreprise. Cette évaluation se base sur une analyse de risque cybersécurité propre à chaque projet numérique. C'est cette analyse qui détermine le niveau de sécurité nécessaire, et non une ambition de perfection inatteignable.
Pourquoi c’est une très mauvaise idée de mentir
En tant qu’expert cybersécurité, j’analyse souvent des questionnaires cybersécurité et là autant vous dire : c’est le fête. La cybersécurité est un secteur qui, comme beaucoup de secteurs, a ses codes et sa sémantique. On repère assez vite quand une entreprise tente de nous berner, un peu sur la technique et très souvent sur la partie organisationnelle. Par exemple, leurs analyses de risque en cybersécurité sont parfois tellement hors sujet qu'elles en deviennent presque comiques.
De nombreux grands groupes s’appuient sur des outils de rating cybersécurité parmi lesquelles nous pouvons citer les leaders Security Score Card, Bitsight, mais également le français Board of Cybersécurité. L'écart entre un niveau de sécurité prétendument élevé dans leurs réponses au questionnaire et un classement désastreux par ces services tiers est un mauvais présage.
En général, détecter les mensonges devient presque instinctif après avoir analysé des milliers de dossiers. Une fois les malentendus dissipés et si la tromperie persiste, la frustration monte. Je préfère de loin travailler avec une entité consciente de ses lacunes en matière de sécurité plutôt qu'avec une organisation qui s'entête dans l'erreur. Dans ce cas là, clairement j’en informe les équipements en déconseillant vivement de travailler avec.
Comment se positionner sur des sujets délicats ?
Pour aborder un questionnaire de cybersécurité avec sagesse, je conseille aux entreprises de commencer par préparer une réponse honnête, reflétant la réalité actuelle. C'est crucial de se confronter à la vérité et d'identifier clairement les faiblesses existantes.
Dans un second temps, il est judicieux de réfléchir à l'objectif à atteindre, à ce qu'on aimerait pouvoir dire au client. Mais attention, vouloir présenter un niveau de sécurité amélioré implique de considérer les coûts associés pour l'entreprise. Chaque amélioration non encore implémentée doit être évaluée en termes d'investissement nécessaire.
Enfin, il est raisonnable de planifier des mises à jour de sécurité ou des déploiements prévus dans un avenir proche, disons entre 4 à 6 semaines. Ce délai peut être en phase avec les réalités de la cybersécurité.
Souvent, le temps s'écoulant entre le remplissage du questionnaire et la finalisation du contrat offre une fenêtre d'opportunité pour mettre en œuvre certaines améliorations. Ainsi, il est possible d'aligner les pratiques de sécurité de l'entreprise avec les attentes du questionnaire, à condition que ces changements soient réalistes et programmés de manière concrète.
Conclusion
Essayer de duper un donneur d’ordre sur son niveau de cybersécurité est clairement une stratégie à éviter, surtout quand on sait que des experts en cybersécurité sont souvent de l'autre côté du miroir, prêts à évaluer les réponses.
Cela dit, élaborer une stratégie de réponse réfléchie est non seulement judicieux, mais aussi nécessaire. Cette stratégie doit être ajustée en fonction du niveau de risque cybersécurité que représente votre organisation. Il s'agit de trouver un équilibre entre honnêteté et mise en avant de vos efforts et plans d'amélioration en cybersécurité.
Si vous avez un sujet questionnaire cybersécurité vous même ou l’un de vous sous-traitant, au plaisir d’avoir un échange à ce sujet.
J’ai d’ailleurs annoncé le partage de mon template de Questionnaire Cybersécurité sur LinkedIn. Vous pouvez commenter le post et m’ajouter en relation pour le recevoir 👇