Comprendre la conformité pour les MSP

Pour les MSP qui cherchent à se différencier et à se développer, il peut être intéressant de proposer leurs solutions à des marchés verticaux tels que le secteur public, la défense, la santé, la finance, l’éducation, etc. Toutefois, pour réussir à développer leur activité dans de tels secteurs, ils doivent avoir une bonne compréhension des normes, des cadres et des problèmes de conformité spécifiques à ces marchés.

Normes et cadres ne sont pas la même chose

Bien que ces termes soient souvent utilisés de manière interchangeable, il existe une différence entre une norme et un cadre de conformité. Les normes désignent un ensemble de contrôles qu’une entreprise doit mettre en place pour être considérée en conformité avec une réglementation ou une exigence. Les bonnes pratiques que l’on suit pour respecter les normes sont appelées cadres.

Autrement dit, les cadres servent de lignes directrices. La bonne nouvelle, c’est que bien que ces normes et ces cadres s’accompagnent d’exigences relativement précises en matière de sécurité, les MSP peuvent rattacher ces exigences à d’autres mesures et à d’autres technologies de sécurité dont l’utilité pour les clients dépasse la simple conformité. N’oubliez pas : les normes de conformité sont une exigence minimale, et non un programme de sécurité complet.

Le cadre de sécurité le plus connu des MSP est probablement celui du National Institute of Standards and Technology (NIST). Cependant, différentes entreprises peuvent devoir suivre des normes et des cadres différents. Par exemple, celles qui traitent avec le département de la Défense des États-Unis doivent se conformer au cadre de la Cybersecurity Maturity Model Certification (CMMC). Il en existe plusieurs autres, dont les suivants :

• Le Service Organization Control (SOC) Type 2, un cadre de cybersécurité et une norme d’audit pour les opérations comptables/financières


• Le North American Electric Reliability Corporation-Critical Infrastructure Protection (NERC-CIP), un ensemble de normes de cybersécurité pour les fournisseurs de services publics


• Le Health Insurance Portability and Accountability Act(HIPAA), pour le secteur de la santé


• Le Federal Information Security Management Act (FISMA), un cadre de cybersécurité pour les organismes gouvernementaux fédéraux

Les meilleures pratiques de gestion de la conformité

La gestion de la conformité peut être complexe pour de nombreuses entreprises, en particulier les PME. Partant, il peut être intéressant pour les MSP de proposer d’assurer la gestion de la conformité dans le cadre de leurs services de sécurité, mais cela nécessite que le MSP ait une parfaite connaissance des normes et des cadres. Par ailleurs, il doit s’assurer que ses propres systèmes sont eux aussi conformes.

Les MSP doivent respecter les cadres des différentes industries, tels que ceux définis par le NIST et l’ISO, aussi bien dans leur fonctionnement interne que dans le cadre de leur offre de sécurité et de services. Cela implique également d’effectuer un suivi et des examens en continu afin de maintenir la conformité à mesure que le portefeuille de solutions évolue.

Le personnel doit être formé aux normes et aux cadres spécifiques du marché vertical ciblé, notamment par une formation continue lui permettant de rester au fait des bonnes pratiques du secteur. Ces connaissances sont essentielles pour que le MSP démontre aux clients qu’il peut répondre à leurs besoins de gestion de la conformité.

Pour cela, les MSP doivent se concentrer sur les difficultés des clients et se demander comment leurs services et leurs offres technologiques peuvent les résoudre. Par exemple, la conformité n’est généralement pas une compétence fondamentale pour les petites entreprises. Toutefois, elles peuvent avoir des besoins particuliers en la matière, par exemple la conservation des dossiers, les réponses aux demandes de réunion et le respect des exigences de signalement liées à la perte de données ou aux violations de sécurité.

Une technologie de gestion et de surveillance de la sécurité centralisée est également nécessaire pour le maintien de la conformité, car la plupart des normes requièrent un niveau de visibilité supérieur à ce que de nombreuses PME peuvent accomplir par elles-mêmes. Pour les MSP focalisés sur la sécurité, ce type de cadre de cybersécurité est également essentiel pour respecter leurs obligations de niveau de service.

Les MSP doivent régulièrement effectuer des audits internes pour s’assurer que leurs systèmes internes sont bien sécurisés et que les services et les technologies qu’ils proposent à leurs clients restent pleinement conformes aux normes du secteur.

La gestion de la conformité comporte également des risques. Les MSP doivent donc se doter d’une couverture d’assurance qui pourra les protéger si leur responsabilité était engagée en cas d’amendes ou de pénalités réglementaires encourues par un client après un incident de sécurité.

Proposer des services de conformité aux clients sur de nouveaux marchés verticaux est une idée intéressante qui permet aux MSP d’étoffer leur portefeuille de solutions de sécurité. De plus, la spécialisation verticale peut rapporter gros à ceux qui ont la possibilité d’investir dans les technologies et les formations nécessaires pour assurer des services de gestion de la conformité.

Article initialement publié sur Channel Futures.