Comment les MSP peuvent-ils garantir leur propre cybersécurité ?

Les fournisseurs de services managés (MSP) sont à la pointe de la prestation de services de cybersécurité. Ils fournissent et assurent des protections périmétriques vitales pour la plupart de leurs clients dans le cadre de leurs forfaits de services.

Cependant, les MSP sont vulnérables aux piratages et, si une violation se produit, cela peut exposer leurs clients ainsi que toutes leurs informations précieuses et secrets commerciaux. C’est pourquoi les MSP sont des cibles attrayantes pour les hackers. Certains incidents ont fait la une des journaux et ont porté atteinte à la sécurité des MSP, grands ou petits, montrant que, quelle que soit leur taille, les MSP sont tous exposés aux mêmes risques.

Comment les MSP peuvent-ils sécuriser leurs propres périmètres ?

Adam Ennamli est le directeur de la gestion des risques et de la sécurité à la General Bank of Canada. Il supervise l’évolution et le management de tous les programmes de gestion des risques à l’échelle de l’entreprise. Il a partagé ses réflexions avec SmarterMSP.com sur la façon dont les MSP peuvent se protéger.

« Si les MSP jouent un rôle essentiel dans la cybersécurité de leurs clients, ils sont aussi des cibles privilégiées pour les pirates », déclare-t-il, ajoutant qu’une part du cyber-risque leur est transférée. De ce fait, leur protection passe également par la protection de leurs clients. « Par conséquent, ils doivent adopter une posture de sécurité robuste. » Selon lui, un programme de sécurité MSP robuste doit prévoir les mesures suivantes :

• La mise en œuvre des principes Zero Trust, c’est-à-dire des accès limités au strict nécessaire et une surveillance permanente pour détecter toute activité inhabituelle.
• L’établissement de contrôles pragmatiques et éprouvés pour les outils d’accès à distance.
• Des audits réguliers.
• Une intensification de la formation pratique.

M. Ennamli explique que les contrôles de sécurité essentiels et non négociables pour les MSP comprennent la segmentation du réseau, les sauvegardes multicouches et la surveillance constante. « Les MSP peuvent s’assurer que leurs défenses sont aussi solides que les services qu’ils fournissent en démontrant une mise en œuvre efficace, en veillant au respect des normes du secteur avec des mesures de conformité vérifiables et en anticipant les menaces émergentes. » Il ajoute qu’en matière de sécurité, les MSP doivent faire un choix. Ils peuvent soit opter pour une gestion en interne, soit faire appel à un autre MSP.

« La décision dépend de leurs ressources et de leur expertise et, en fin de compte, la convergence du marché représente un risque que quelqu’un doit surveiller. Autrement dit, si tous les MSP commencent à se déléguer les uns aux autres, tous les risques de protection convergeront vers une poignée d’acteurs, entraînant un risque de concentration important », observe M. Ennamli. Il note que si certains MSP disposent des compétences nécessaires pour gérer leur sécurité en interne, d’autres pourraient trouver avantage à externaliser vers un fournisseur spécialisé dans les audits, la traque des menaces ou la protection avancée. « Une approche hybride, qui combine le management interne avec l’expertise de tiers, peut offrir le meilleur des deux mondes. » Il note que, fondamentalement, des principes tels que la transparence, le partenariat et l’amélioration continue seront essentiels pour maintenir la confiance du marché et assurer sa sécurité dans le paysage des menaces.

Autres informations

Bob Leonard est un spécialiste indépendant de la cybersécurité qui collabore avec les MSP pour améliorer leur sécurité. Selon lui, la clé du succès pour les MSP est de se traiter mutuellement de la même façon qu’ils traiteraient l’un de leurs clients. « Et s’ils n’y parviennent pas, ils ont tout intérêt à sous-traiter à un autre MSP. » Certains MSP, qu’ils soient entrepreneurs individuels ou de grandes entreprises, sont « trop proches », c’est-à-dire trop attachés émotionnellement et économiquement à leur propre situation, ce qui affecte leur prise de décisions.

Pour qu’un MSP assure sa propre sécurité dans des conditions optimales, il doit adopter une approche clinique, non émotionnelle et non économique. « Un MSP ne doit prendre en compte qu’une seule problématique : “Quel est le meilleur plan de cybersécurité pour notre entreprise”. Toute question en-deçà compromet l’ensemble de vos clients », commente Bob Leonard.

M. Leonard explique que la CISA offre de bons conseils et des étapes utiles pour les MSP qui souhaitent gérer eux-mêmes le travail en interne. « Mais en général, je recommande qu’un MSP externalise sa propre sécurité. Il y a de bons arguments des deux côtés. Même si, en matière de sécurité, personne n’a plus à perdre que le MSP, celui-ci est souvent trop impliqué dans la situation. Ils courent trop de risques pour y faire face efficacement et sans émotion. »

Les MSP sont des cibles privilégiées pour les cyberattaques. Pour se protéger, ils doivent adopter des mesures de sécurité solides telles que le Zéro Trust, des contrôles d’accès à distance et des audits réguliers.

Remarque : cet article a été initialement publié sur SmarterMSP.com