Cybersécurité pour les entreprises
|
Lecteur Min
9 questions de sécurité que les propriétaires d'entreprise doivent poser aux fournisseurs
Peu importe la nature ou la taille de votre entreprise, vous devez penser à la cybersécurité dans notre présent connecté. Cela ne signifie pas seulement la cybersécurité de votre propre opération, mais aussi la sécurité de chaque fournisseur avec lequel vous faites affaire.
Si vous travaillez avec un tiers qui adopte une approche laxiste en matière de cybersécurité, cela met en danger les données de votre entreprise et de vos clients. Voici quelques questions que vous devriez poser à chaque fournisseur pour vous assurer que sa sécurité est suffisamment robuste pour mériter votre confiance. Veillez toujours à conclure un accord de niveau de service et un contrat avec le fournisseur afin que toutes les attentes soient clairement formulées.
Comment protégerez-vous mes données ?
Les données de votre entreprise, de vos employés et de vos clients sont précieuses et doivent être traitées comme de l'argent liquide. Obtenez des précisions sur la façon dont un fournisseur protège et stocke les données :
Notre entreprise conservera-t-elle toujours la propriété de ses données ?
Le fournisseur dispose-t-il d'un plan de contrôles écrit contenant les garanties administratives, techniques et physiques que vous utilisez pour collecter, traiter, protéger, stocker, transmettre, éliminer ou autrement gérer nos données (généralement appelé une politique de sécurité de l'information) ?
Des méthodes de chiffrement sont-elles utilisées pour les données en transit et au repos ?
Le fournisseur fournira-t-il des contrôles multilocataires pour la séparation des utilisateurs et des données ?
Le fournisseur fournira-t-il des mécanismes de contrôle d'accès tels que des identifiants utilisateur uniques, des normes de mots de passe et un accès basé sur les rôles ?
Les sous-traitants tiers (p. ex. sous-traitant, hébergement mutualisé géré) engagés par le fournisseur seront-ils empêchés d'accéder aux données de mon entreprise ?
Le fournisseur fournira-t-il une assurance écrite de sa sécurité et de ses contrôles, ainsi que de ceux de ses prestataires tiers, pendant la collecte, le traitement et la conservation des données clients ?
Quelle est la procédure du fournisseur pour purger les fichiers et les enregistrements et supprimer les accès à la fin du service, de la tâche ou du contrat ?
Vos employés sont-ils formés à la cybersécurité ?
Demandez si le fournisseur a une politique de vérification pré-emploi pour les employés et les sous-traitants. Quel est ce processus ? Quel est le processus de formation du personnel à la sécurité ?
Quelles certifications avez-vous ?
Recherchez des fournisseurs qui disposent de certifications de sécurité conformes aux normes du secteur comme ISO 27001, SOC 2 ou PCI DSS. Ces certifications témoignent d'un engagement à maintenir des normes de sécurité élevées. Demandez des documents.
À quelle fréquence mettez-vous à jour vos logiciels ?
Maintenir les logiciels à jour est l'un des meilleurs moyens de bénéficier d'une sécurité de pointe. Plus précisément, demandez si le fournisseur maintient à jour les versions de ses logiciels antivirus et de ses systèmes d'exploitation. Comment le fournisseur s'assure-t-il que tous ses systèmes restent à jour ? À quelle fréquence les systèmes sont-ils analysés pour détecter les logiciels et correctifs obsolètes ? Sachez que les différents systèmes ont des cadences de mise à jour logicielles différentes, et que les mises à jour sont généralement testées avant d'être déployées. Vous devriez chercher des réponses sur les délais – un fournisseur peut appliquer les mises à jour critiques dans les 48 heures, tout en planifiant les mises à jour de « haute gravité » pour qu'elles soient appliquées dans les cinq jours ouvrables.
Comment sécurisez-vous votre infrastructure réseau ?
Assurez-vous que votre fournisseur dispose de mesures de sécurité réseau robustes. Renseignez-vous sur les pare-feu, les systèmes de détection d'intrusion et les autres technologies qu'il utilise pour protéger ses réseaux contre les cybermenaces. Que fait le fournisseur pour prévenir les incidents de sécurité ou les failles ? À quelle fréquence vérifie-t-il les vulnérabilités ?
Disposez-vous d'un plan de continuité d'activité ?
Renseignez-vous sur leurs plans de continuité d'activité et de reprise après sinistre. Cela vous aidera à comprendre dans quelle mesure ils sont préparés à répondre à des événements imprévus et à minimiser les temps d'arrêt. Le plan est-il consigné par écrit ? Est-il testé périodiquement ?
Quel est votre plan de réponse aux incidents ?
Prévenir un incident, c'est bien, mais découvrez comment un fournisseur prévoit de réagir à un incident. L'entreprise dispose-t-elle d'un plan de réponse aux incidents, un plan écrit pour identifier, signaler et répondre rapidement aux atteintes à la sécurité ? Le fournisseur, ainsi que tout tiers concerné avec lequel il contracte, peut-il envoyer les résultats de son dernier audit de sécurité ? Le fournisseur fait-il appel à un cabinet d'audit externe pour effectuer un examen de conformité de ses contrôles opérationnels ?
Comment m'aiderez-vous à me conformer aux réglementations applicables en matière de protection des données ?
Renseignez-vous pour savoir si vos fournisseurs se conforment aux réglementations sur la protection des données applicables à leur secteur et à leur localisation. C'est d'une importance cruciale si votre entreprise traite des informations sensibles sur les clients. Les fichiers et les enregistrements sont-ils examinés, conservés et supprimés conformément aux exigences légales, aux obligations contractuelles et aux accords de niveau de service ?
Comment puis-je vous joindre ?
Demandez comment contacter le fournisseur en cas d'urgence, comme un incident de sécurité. N'oubliez pas que cela peut arriver le week-end et les jours fériés !
En tant que chef d'entreprise, sécuriser les données sensibles et protéger vos opérations contre les cybermenaces doit être une priorité absolue. En posant à vos fournisseurs ces questions cruciales en matière de sécurité, vous pouvez être certain de maintenir un environnement sécurisé pour votre entreprise. Il est important de noter que la cybersécurité est un effort continu, et travailler avec des fournisseurs qui lui accordent la priorité aidera à protéger votre entreprise et la confiance de vos clients à long terme.
