Externaliser son informatique peut présenter des risques

Pierre Cormon
Publié vendredi 22 septembre 2023
Lien copié

#Services IT L'externalisation des services IT doit être préparée avec soin, pour éviter les pièges. Des experts ont donné des conseils lors d’un Petit déjeuner des PME et des start-up.

Les entreprises ayant adopté le logiciel de comptabilité de Winbiz, sur le cloud, pensaient peut-être s’être débarrassées des soucis liés à la cybersécurité, du moins pour ce pan de leurs activités. Las, Winbiz a fait l’objet d’une attaque et les clients n’ont plus eu accès au logiciel, ce qui a entraîné des difficultés et des manques à gagner parfois substantiels. La situation a mis plusieurs semaines à revenir à la normale.

Flexibilité

Externaliser son informatique présente des avantages, mais recèle aussi des dangers, a montré un petit déjeuner des PME et ses start-up qui s’est tenu le 1er septembre à la FER Genève.

Un prestataire qualifié peut réagir rapidement aux pannes. Il offre des services flexibles, qui permettent de mieux gérer les coûts. «On paie ce dont on a besoin, quand on en a besoin», résume Eliel Mulumba, Head of Operational Technology Security chez EY. Il peut également être plus qualifié que ses clients dans des domaines comme la sécurité et disposer de davantage de moyens pour s’en défendre.

Un prestataire n’est cependant pas forcément à l’abri d’un vol de données – comme le montre le piratage de la société Xplain, qui détenait des données appartenant à la Confédération. Or, s’il s’agit de données personnelles, l’entreprise qui lui les a confiées reste responsable au regard de la nouvelle loi sur la protection des données, ont rappelé les interlocuteurs à plusieurs reprises.

Interruptions de service

Le prestataire peut aussi connaître des problèmes opérationnels qui entraînent des interruptions de service, comme cela a été le cas chez Winbiz. «Il peut encore fusionner ou être racheté», remarque Yan Borboën, associé Digital Assurance and Cybersecurity chez PwC. Il faut alors bien analyser le contrat pour déterminer si les obligations de l’une et de l’autre partie restent identiques.

Une entreprise qui externalise son informatique perd souvent des compétences à l’interne. Elle devient dépendante de son prestataire, alors même que celui-ci peut disparaître ou fournir un mauvais service. «Cela peut aussi entraîner des coûts cachés, comme par exemple le recours à des conseils externes», met en garde Yan Borboën.

Chevauchement

Des services peuvent ne pas être inclus dans le contrat que l’on a avec son fournisseur de cloud, ce qui peut entraîner encore d’autres frais. Autre cas: «On souscrit à des services qui se chevauchent», note Adelite Uwineza Kazungu, cyber awareness specialist chez EY.

Stratégie

Une externalisation doit donc être soigneusement préparée, puis gérée. Les responsabilités internes doivent être bien définies. «Il faut avoir une stratégie claire, qui prenne en compte non seulement les besoins d’aujourd’hui, mais également ceux que l’on aura dans cinq ou dix ans», conseille Adelite Uwineza Kazungu.

La protection des données doit respecter les exigences de la législation suisse, même si elles sont stockées à l’étranger. «Il est primordial que le fournisseur stocke ses données en Europe ou en Suisse pour conserver la confiance du régulateur», estime-t-elle.

Contrat

«Le contrat doit être clair, définir les rôles, les responsabilités, les attentes, les règles et les lois que le prestataire doit respecter et définir comment le client peut surveiller le prestataire», souligne Yan Borboën. Le client peut par exemple prévoir des réunions, des visites et demander les rapports des audits que le prestataire subit d’un auditeur externe – ce que font systématiquement les banques.

Plan de réponse

Les entreprises, enfin, doivent se préparer à un incident, qu’il arrive dans le système interne ou sur le cloud. «Il faut élaborer un Plan de réponse aux incidents», conseille Cédric Nabe, associé et Rosk Advisory chez Deloitte. Il attribue notamment les rôles et les responsabilités: qui communiquera et comment, à l’interne et à l’externe, quelles procédures ont suivra, comment on forme le personnel, etc. «Ce plan doit être testé et adapté régulièrement», conclut Cédric Nabe.

Un atelier pratique sur l’externalisation des données aura lieu vendredi 29 septembre de 8h15 à 11h45 à la FER Genève.Voir www.ge.ch/evenement/petit-dejeuner-pme-start-up-septembre-2023-atelier

insérer code pub ici