Sécurité : gérez-vous correctement le on-off boarding de vos prestataires externes ?
Après OVH en septembre, c’est la société américaine Dyn qui a subi une cyberattaque majeure ce 21 octobre.
Ces attaques externes ne doivent pas nous faire oublier que la première source des incidents de sécurité est le “facteur humain”. N’importe quel DSI ou Responsable Sécurité le confirmera.
Des mesures de précaution sont donc à mettre en place pour vos salariés. Mais n’oubliez pas de gérer également vos prestataires externes. Cette population “invitée” dans vos systèmes et dans vos locaux a souvent accès à des données sensibles sur l’entreprise, ainsi qu’à son matériel.
Les prestataires externes ne sont pas inclus dans les processus d’entrée et de sortie (le on-off boarding) mis en place par les Ressources Humaines pour les salariés. Et c’est souvent là que le bât blesse. Quel que soit le sujet, il est important que les accès soient correctement gérés et limités à la durée de la mission du prestataire.
Voici une check-list des points de vigilance pour vos prestataires externes
L’accès à vos locaux :
Equipements, accès aux données confidentielles dans les bureaux… L’accès à vos locaux est un sujet sensible. Pourtant, il n’est pas rare de voir des badges encore actifs plusieurs mois voire plusieurs années après une fin de mission.
Le prêt de matériel :
PC portable, smartphone… Les prestataires externes peuvent se faire prêter du matériel pendant leur mission. Il est important de garder une traçabilité de ce matériel pour éviter des “emprunts” prolongés, voire des non restitutions. Au-delà de la valeur marchande, il s’agit de récupérer les données stockées sur ces supports.
L’accès au SI :
Qu’il s’agisse d’un accès au SI depuis votre matériel ou celui de votre prestataire (le BYOD – Bring Your Own Device), de droits pour des accès logiciels ou des identifiants pour des solutions SaaS… L’accès à vos données est sans doute le sujet le plus sensible.
Penser à couper ces accès en fin de mission est primordial. Mais les créer en amont de l’arrivée du prestataire l’est tout autant : si vous laissez un prestataire sans identifiants les premiers jours de sa mission, il est fort probable qu’un salarié bien intentionné lui communiquera les siens en dépannage : erreur humaine, faille de sécurité.
Une fois ces points de vigilance identifiés, comment faire pour réduire ces risques avec vos prestataires ?
Il est important de vous assurer que les accès sont créés à temps pour la venue de votre prestataire, et d’alerter quelques jours avant la fin de la mission les départements concernés.
Vous pouvez mettre en place une matrice, que le chef de projet en charge du prestataire fera circuler. Mais là encore, l’erreur est humaine, et il peut oublier de communiquer ces informations dans les temps. La solution la plus efficace reste l’automatisation des processus.
La méthode automatisée : le Vendor Management System
Une solution VMS, si elle est bien construite, permet de vous accompagner dans l’automatisation des processus logistiques liés à une prestation.
Mais qu’est ce qu’un Vendor Management System ? C’est une solution complète qui permet de gérer vos ressources externes (vos prestataires) de A à Z : de l’expression du besoin jusqu’à la fin de la prestation, en passant par la négociation des tarifs, la gestion des timesheets ou le reporting stratégique.
Une bonne solution VMS doit donc gérer également les aspects logistiques d’une prestation. Elle centralise toutes les données, que ce soit au démarrage, au renouvellement ou à la fin d’un projet. Elle permet de gérer toutes les ressources liées à la mission (accès SI, badge, matériel, etc.) et envoie des alertes automatisées aux services concernés.
PRATIQUE :
La solution OBMS permet d’organiser la logistique liée à la prestation. Elle dispose aussi d’un module dédié pour la gestion des autorisations d’entrées et de sorties sur vos sites.
>> Pour en savoir plus, téléchargez la fiche OBMS “Logistique”.