Si vous vous associez à un tiers qui adopte une approche laxiste de la cybersécurité, cela met en danger les données de votre entreprise et de vos clients. Voici quelques questions que vous devriez poser à chaque fournisseur pour garantir que leur sécurité est suffisamment robuste pour mériter votre entreprise. Engagez-vous toujours dans un accord de niveau de service et un contrat avec le fournisseur afin que toutes les attentes soient clairement exprimées.

Comment allez-vous protéger mes données ?

Les données de votre entreprise, de vos employés et de vos clients sont précieuses et doivent être traitées comme de l'argent liquide. Obtenez des détails sur la manière dont un fournisseur protège et stocke les données : 

• Notre entreprise conservera-t-elle toujours la propriété de ses données ? 

• Le fournisseur a-t-il un plan de contrôles écrit qui contient les sauvegardes administratives, techniques et physiques utilisées pour collecter, traiter, protéger, stocker, transmettre, éliminer ou autrement gérer nos données (généralement appelé politique de sécurité de l'information) ? 

• Des méthodes de cryptage sont-elles utilisées pour les données en transit et les données au repos ? 

• Le fournisseur proposera-t-il des contrôles multi-locataires pour la séparation des utilisateurs et des données ? 

• Le fournisseur fournira-t-il des mécanismes de contrôle d'accès comme des identifiants utilisateur uniques, des normes de mot de passe et un accès basé sur les rôles ?  

• Les fournisseurs tiers (par exemple, sous-traitants, hébergement partagé géré) embauchés par le fournisseur seront-ils restreints d'avoir accès aux données de mon entreprise ?  

• Le fournisseur fournira-t-il une assurance écrite de sa sécurité et de celle de ses fournisseurs tiers pendant que les données des clients sont collectées, traitées et conservées ? 

• Quel est le processus du fournisseur pour purger les fichiers et les dossiers, et annuler l'accès à la fin du service, de la tâche ou du contrat ? 

Vos employés sont-ils formés à la cybersécurité ?

Demandez si le fournisseur dispose d'une politique de sélection préalable à l'emploi pour les employés et les sous-traitants. Quel est ce processus ? Quel est le processus de formation du personnel à la sécurité ? 

Quelles certifications possédez-vous ?

Recherchez des fournisseurs qui disposent de certifications de sécurité aux normes de l'industrie comme ISO 27001, SOC 2 ou PCI DSS. Ces certifications démontrent un engagement à maintenir des normes de sécurité élevées. Demandez la documentation.  

À quelle fréquence mettez-vous à jour votre logiciel ?

Maintenir le logiciel à jour est l'une des meilleures façons d'avoir une sécurité de pointe. Demandez spécifiquement si le fournisseur maintient à jour les versions de son logiciel antivirus et de ses systèmes d'exploitation. Comment le fournisseur s'assure-t-il que tous ses systèmes sont régulièrement mis à jour ? À quelle fréquence les systèmes sont-ils scannés pour détecter les logiciels obsolètes et les correctifs ? Sachez que différents systèmes ont différents rythmes de mise à jour logicielle, et que les mises à jour du logiciel sont généralement testées avant d'être déployées. Vous devriez rechercher des réponses concernant le timing - un fournisseur pourrait appliquer des mises à jour critiques dans les 48 heures, tout en planifiant des mises à jour « de haute sévérité » à appliquer dans les cinq jours ouvrables. 

Comment sécurisez-vous votre infrastructure réseau ?

Assurez-vous que votre fournisseur dispose de mesures de sécurité réseau robustes. Demandez à propos des pare-feux, des systèmes de détection d'intrusion, et d'autres technologies qu'ils utilisent pour protéger leurs réseaux contre les menaces cybernétiques. Que fait le fournisseur pour prévenir les incidents de sécurité ou les violations ? À quelle fréquence vérifie-t-il les vulnérabilités ? 

Avez-vous un plan de continuité des activités ?

Renseignez-vous sur leurs plans de continuité des affaires et de reprise après sinistre. Cela vous aidera à comprendre à quel point ils sont bien préparés à répondre à des événements imprévus et à minimiser les temps d'arrêt. Le plan est-il écrit ? Est-il testé périodiquement ? 

Quel est votre plan de réponse aux incidents ?

Prévenir un incident est une bonne chose, mais découvrez comment un fournisseur prévoit de réagir à un incident. L'entreprise dispose-t-elle d'un plan de réponse aux incidents, un plan écrit pour identifier, signaler et répondre rapidement aux violations de sécurité ? Le fournisseur, et tout tiers pertinent avec lequel il contracte, peuvent-ils envoyer les résultats de son dernier audit de sécurité ? Le fournisseur engage-t-il une société d'audit externe pour effectuer une revue de conformité de ses contrôles opérationnels ? 

Comment allez-vous m'aider à me conformer aux réglementations sur la protection des données pertinentes ?

Renseignez-vous pour savoir si vos fournisseurs se conforment aux réglementations sur la protection des données applicables à leur industrie et à leur localisation. Ceci est d'une importance cruciale si votre entreprise gère des informations sensibles sur les clients. Les fichiers et dossiers sont-ils examinés, conservés et purgés conformément aux exigences légales, aux obligations contractuelles et aux accords de niveau de service ? 

Comment puis-je vous joindre ? 

Demandez comment contacter le fournisseur en cas d'urgence, comme un incident de sécurité. Souvenez-vous, cela peut arriver les week-ends et jours fériés ! 

En tant que propriétaire d'entreprise, sécuriser les données sensibles et protéger vos opérations contre les menaces cybernétiques doit être une priorité absolue. En posant ces questions cruciales de sécurité à vos fournisseurs, vous pouvez être sûr de maintenir un environnement sécurisé pour votre entreprise. Il est important de noter que la cybersécurité est un effort continu et que travailler avec des fournisseurs qui la priorisent aidera à protéger votre entreprise et la confiance de vos clients à long terme. 

Ressources supplémentaires

FTC : Bases de la sécurité des fournisseurs

Télécharger le PDF de la liste de contrôle