Plan assurance sécurité : pourquoi et comment le rédiger ?
La sécurité des services externalisés est un enjeu majeur pour toute entreprise.
Le plan assurance sécurité (PAS) est un document fondamental pour tout prestataire proposant des services d’externalisation digitale, en particulier les services SaaS (Software as a Service).
1. Pourquoi rédiger un plan assurance sécurité ?
Si vous proposez des services digitaux et que vous visez des grands comptes, vous devez disposer d’un PAS. Si vous êtes une start-up qui ambitionne un jour de proposer ses services à des grands comptes, nous vous recommandons fortement de rédiger dès maintenant votre PAS afin démontrer votre sérieux et votre préparation. Ce document vous sera demandé tôt ou tard et aura un rôle important dans la décision de faire appel à vos services.
Enfin, si vous êtes un client qui souhaite externaliser une partie de son activité, vous devez demander le PAS de votre futur prestataire.
Cela s’explique par les risques inhérents au monde numérique : en confiant une partie de son activité à un prestataire, vos données sont stockées sur les serveurs du prestataire. Il s’agit souvent de données considérées comme stratégiques (CRM, outil de management d’équipe, comptabilité).
A ce titre, une question légitime émerge : Le prestataire assure-t-il un niveau de sécurité suffisant ?
Le PAS vise à rassurer un prospect sur le fait que les données sont conservées et accessibles de manière sécurisée, tel qu’exposé dans le PAS.
Ainsi, le PAS dévoile les mesures de sécurité techniques et organisationnelles qu’un prestataire met en œuvre et qui visent à assurer la sécurité des services externalisés.
En principe, il est fourni au stade de l’avant-vente, lorsque le client fait son choix.
Une absence de PAS ou un document rédigé à la va-vite sont d’importantes alarmes pour les DSI et directions des achats et sont interprétés comme une absence de sécurité.
En conséquence, il est important de réfléchir en amont au contenu de ce document.
Cela permet d’obtenir un avantage indéniable en négociation en le présentant rapidement lorsqu’un prospect en fait la demande, ou même de l’adresser sans qu’il ait été demandé. En cela, le PAS permet d’accroître la confiance lors du stade clé de l’avant-vente.
Mais surtout, prendre le temps de rédiger ce document permet de fournir le bon niveau d’informations : ni trop (et dévoiler des informations stratégiques sur la sécurité de ses infrastructures), ni pas assez (et ne pas atteindre l’objectif de rassurer le client).
La question clé est : que mettre dans mon PAS ?
2. Comment rédiger un plan assurance sécurité ?
Le PAS est le fruit d’un juste équilibre entre :
- D’une part, les informations qui vont rassurer le prospect ;
- D’autre part, les informations confidentielles, dont la divulgation pourrait entraîner des risques de sécurité.
Il est nécessaire d’informer sur les mesures prises, mais pas au détriment de la sécurité de vos serveurs.
La première étape de rédaction du PAS est la collecte de l’existant : quelles sont les mesures mises en œuvre pour assurer la sécurité d’un service ?
Ces mesures se divisent en mesures techniques (ex : chiffrement AES-256) et organisationnelles (ex : existence d’une politique d’habilitation).
Si les services sont accessibles en ligne, il est nécessaire de prendre en compte les mesures mises en œuvre pour assurer la sécurité du flux de données (ex : HTTPS).
Après avoir réalisé cet état des lieux, il faut arbitrer entre les mesures qui peuvent être mentionnées dans le PAS et celles qui doivent rester confidentielles.
Puis, s’agissant des mesures à faire figurer, il faut en déterminer le niveau de détail.
Il n’est pas possible de dresser ici une liste des mesures de sécurité qu’il faut et qu’il ne faut pas mettre au sein du PAS. En effet, elles diffèrent pour chaque prestataire au regard de l’ampleur et du caractère stratégique des services digitalisés.
Trouver de l’équilibre nécessite à la fois une bonne compréhension des services fournis par un prestataire et une expérience dans la négociation des contrats d’externalisation de services.
Une chose est sûre : le plan assurance sécurité apporte à tout prestataire qui en dispose un avantage stratégique vis-à-vis de ses concurrents.
Du côté client, le PAS peut être annexé au contrat. Ainsi, si le prestataire ne met pas en œuvre ses mesures, il est possible de prévoir la rupture du contrat aux torts du prestataire.
En tout état de cause, la transmission du PAS doit être effectuée dans un cadre confidentiel (ex : NDA), en particulier en avant-vente lorsqu’il n’est pas assuré que le client choisira tel ou tel prestataire.
Le Pôle Contrats informatiques, Données et Conformité accompagne ses clients dans la rédaction de plans assurance sécurité correspondant à leurs besoins sans dévoiler d’informations stratégiques, afin de les aider à développer leur activité.
Pour toute question, n’hésitez pas à nous contacter.