Ceci est la deuxième partie de notre série en cinq volets sur la cybersécurité à l’intention des entreprises canadiennes. Si la Partie 1 : mieux évaluer les risques pour plus de sécurité vous a aidé à poser les bases de votre posture de sécurité, cette section porte sur les partenariats — ceux qui demandent un engagement mutuel, des objectifs partagés, et parfois, des conversations difficiles.
Dans la première partie, nous avons souligné l’importance (et la complexité) de bâtir un programme de sécurité solide. Même les grandes entreprises peinent à obtenir les ressources nécessaires. Trouver les bonnes solutions, et surtout, les bonnes personnes pour les opérer, reste un défi de taille dans un contexte de pénurie de talents et de budgets serrés.
C’est pourquoi de nombreux dirigeants choisissent de confier une partie — voire la totalité — de leurs contrôles de cybersécurité à des fournisseurs externes. Mais déléguer un volet aussi critique et sensible de votre environnement TI ne doit pas se faire à la légère. Voici quelques conseils pour déterminer quoi externaliser — et comment choisir le bon partenaire.
Définir clairement l’alignement et la portée
Commençons par clarifier ce qu’est réellement un Centre des opérations de sécurité (SOC). La plupart des gens s’imaginent un centre de commande sécurisé, rempli d’analystes surveillant des tableaux de bord, comme dans Apollo 13. (Avec, idéalement, Tom Hanks ou Kevin Bacon à l’écran.)
La réalité est plus large. Un SOC a pour mission de protéger votre organisation contre les cybermenaces. Et cette responsabilité commence à l’interne. Tout part du leadership, qui définit le programme de sécurité, les cadres de référence, et le niveau de tolérance au risque.
Vous développez ensuite ce SOC à travers vos propres capacités internes, vos processus, et les solutions déployées. Lorsque vos besoins dépassent ce que vous pouvez gérer vous-même, c’est là que les fournisseurs de services de sécurité gérés (MSSP) entrent en jeu.
Il est essentiel de comprendre que confier ces fonctions à un MSSP ne vous libère pas de vos responsabilités. Ce n’est pas un infopublicité de Ron Popeil — il n’existe pas de bouton magique « on règle ça et on oublie ». Vous restez pleinement responsable de la posture de sécurité de votre entreprise. C’est comme conduire une voiture : le concessionnaire peut faire l’entretien, ajouter des options de sécurité, ou offrir l’assistance routière. Mais c’est vous qui tenez le volant.
Aller plus loin, ensemble
Une fois que vous acceptez que vous êtes (et resterez) le conducteur, vous comprenez vite qu’il vaut mieux bien choisir la personne assise à vos côtés.
Signer avec un MSSP, ce n’est pas une simple transaction. C’est un partenariat à long terme. Il faut une communication constante, une compréhension mutuelle, des valeurs partagées — et, parfois, une bonne séance de médiation. La confiance ne se décrète pas. Elle se bâtit, avec preuves à l’appui.
Un bon partenariat MSSP repose sur l’alignement. Votre fournisseur doit comprendre votre réalité, votre modèle d’affaires, vos priorités. Ce n’est pas à vous de vous adapter à eux — même s’ils peuvent avoir des conseils à offrir, leur rôle est de vous aider à surmonter vos défis, pas à imposer leur façon de faire. Si leur réponse par défaut est « c’est comme ça qu’on fait chez nous », prenez garde.
Prêcher par l’exemple
Il est plus facile de faire confiance à quelqu’un qui applique à lui-même les standards qu’il recommande aux autres.
Retour à la métaphore de l’auto : achèteriez-vous une Lexus à quelqu’un qui roule en BMW?
Un MSSP digne de confiance doit appliquer des contrôles de sécurité à son propre environnement. Bien sûr, il ne dévoilera pas chaque détail de sa gouvernance interne — ce serait contre-productif. Mais il doit pouvoir démontrer qu’il suit un modèle éprouvé.
Cela peut inclure la conformité à des normes comme ISO 27001, SOC 2 (types 1 et 2), ou à des exigences sectorielles telles que HIPAA, PCI-DSS ou SOX. Un bon partenaire sera aussi prêt à collaborer aux audits, à fournir de la documentation de gouvernance, ou à travailler avec vos vérificateurs externes.
C’est encore plus précieux si vous savez déjà à quelles normes votre entreprise doit se conformer. Si votre MSSP y adhère déjà, l’intégration sera d’autant plus fluide.
Définir le rôle du MSSP
Pour que le partenariat fonctionne, vous devez clarifier la place qu’occupera le MSSP dans votre modèle de gouvernance en cybersécurité. Il doit être un prolongement de votre SOC — et non son remplaçant.
Dans un modèle SecOps, il est rare qu’une seule équipe ou solution prenne tout en charge. Le périmètre doit être clairement défini selon ce qui convient à votre réalité.
Par exemple, vous pourriez confier à un fournisseur de services gérés (MSP) la gestion de vos points d’accès et de votre infrastructure, tandis qu’un MSSP s’occuperait de la solution XDR, des pare-feux de nouvelle génération et de la surveillance en continu. Votre équipe interne conserverait un rôle de supervision, d’analyse des rapports, et de gestion des ententes de service (SLA).
Vous pourriez aussi choisir de garder à l’interne les fonctions analytiques qui orientent votre stratégie, tout en externalisant la réponse aux incidents ou la consultation en sécurité avancée. Il n’y a pas de formule unique.
Ce qui importe, c’est que la gouvernance de la sécurité demeure entre vos mains. Le reste peut être distribué selon vos besoins — avec le bon partenaire à vos côtés.
En résumé
Nous espérons que ces conseils vous aideront à déterminer ce qui doit rester à l’interne, et ce qu’un partenaire externe peut renforcer dans votre programme de cybersécurité.
Chez Compugen, nous accompagnons des organisations à travers le Canada pour leur offrir des services de sécurité gérés adaptés à leurs besoins — pas des modèles rigides à taille unique. Qu’il s’agisse de combler un manque de ressources, de renforcer votre SOC, ou de bâtir un modèle plus résilient, nous sommes prêts à vous aider.
.png)