Il est de plus en plus courant pour les organisations d’impartir leurs fonctions informatiques et de sécurité à des entreprises tierces. Dans cet article, nous discuterons de certaines des considérations que vous souhaitez garder à l’esprit lorsque vous impartissez.
Le bien
Les entreprises devraient dépenser leur énergie en se concentrant sur leurs secteurs d’activité spécifiques. Pour la plupart des entreprises, les TI sont un facilitateur, pas le produit. Cela dit, il est logique que l’externalisation de décisions informatiques complexes aux experts puisse être très avantageuse pour les entreprises.
L’un des meilleurs exemples d’externalisation est l’utilisation d’un service de courrier tiers comme Microsoft Office 365 ou Google Suite. Ils sont les experts du courrier et offrent une qualité de service au-delà de ce que la plupart des entreprises peuvent fournir et à une fraction du prix. Des comparaisons similaires peuvent être faites avec l’hébergement de sites Web, les plateformes CRM, etc. externalisez les fonctions dont vous n’avez pas absolument besoin pour les garder à l’interne.
Un autre exemple très courant est l’externalisation des opérations informatiques quotidiennes dans une organisation utilisant un fournisseur de services gérés par les TI (MSP). Les MSP gèrent souvent les réseaux, réparent les ordinateurs brisés et les tâches similaires de type centre d'assistance. Pour les petites entreprises, l’externalisation des MSP peut être une stratégie très efficace et une grande économie de coûts par rapport à l’embauche d’un employé des TI à temps plein. Cependant, il y a des risques très spécifiques avec les MSP dont nous discuterons ensuite.
Le mauvais
La sécurité et la stabilité des données et des services qu’une organisation choisit d’externaliser demeurent sa propre responsabilité. Il n’est pas sûr de supposer que le tiers utilisé est un expert dans son offre de services particulière. En d’autres termes, vous devez poser les questions de sécurité avant d’externaliser!
Dans le cas d’un service logiciel, comme l’hébergement de courriels ou de sites Web, recherchez des certifications spécifiques comme un SOC-II. Si vous faites partie d’une industrie réglementée comme l’industrie médicale, vous voudrez rechercher des vérifications spécifiques qui ont été effectuées pour vous assurer que le tiers ne devient pas votre point faible en matière de sécurité ou de conformité.
Dans le cas d’un MSP, vous voudrez poser des questions similaires. Cependant, il est extrêmement important de comprendre que vous remettez métaphoriquement les clés à votre MSP - ils auront accès à tout. Fait important, cela signifie que si elles sont compromises, vous serez probablement également compromises; c’est un cas très réel avec lequel la Coalition traite souvent. Les MSP sont ciblés par des groupes criminels en raison de leur accès à un grand nombre de clients. C’est quelque chose dont il faut être très conscient.
Conclusion
Nous vous recommandons d’externaliser les tâches que vous n’êtes pas des experts ou celles que vous ne voulez pas entretenir. Cependant, il est important de se rappeler que les tiers ne sont pas tous égaux en termes de capacités ou d’expérience et qu’il vous appartient toujours de déterminer s’ils sont suffisamment sécurisés et stables pour conserver vos données.
Comme toujours, veuillez communiquer avec nous pour obtenir de plus amples renseignements sur ce sujet ou sur tout autre sujet!