Culture de la cybersécurité et MSP

avril 2024 par Candid Wüest, Vice-Président de la recherche sur la cyberprotection chez Acronis

La protection des données est l’une des compétences les plus critiques et recherchées auprès des fournisseurs de services managés. Les dépenses en matière de sécurité et de gestion des risques devraient atteindre 215 milliards de dollars en 2024, soit une augmentation de 14,3 % par rapport à 2023 (selon Gartner). La demande de professionnels qualifiés dans ces disciplines n’a jamais été aussi forte. Les entreprises ont besoin de MSP conscients des enjeux de cybersécurité pour implémenter et prendre en charge ces investissements.

Ce marché dynamique et florissant est une formidable opportunité pour les entreprises informatiques qui maîtrisent tous les aspects de la cybersécurité. Vente, configuration, conformité et consultation système, tels sont les services qu’un MSP peut proposer pour répondre aux préoccupations et aux besoins des clients et accroître ainsi ses revenus et sa rentabilité. Les entreprises de services informatiques ont également intérêt à investir dans la cybersécurité (professionnels, outils et formation) pour être en capacité de protéger les infrastructures, les données et les personnes et se démarquer de la concurrence.

Arborer la bonne attitude est une condition essentielle de réussite. La cybersécurité exige une attention constante et une volonté permanente d’amélioration, bien plus que pour toute autre activité d’un MSP, avec une marge d’erreur quasi nulle. Une simple erreur ou un manque de vigilance peut conduire à la catastrophe pour le MSP et ses clients.

Les fournisseurs de services managés doivent ancrer leur approche de la cybersécurité dans tous les aspects de leurs opérations, pour se protéger eux-mêmes et les entreprises qu’ils accompagnent, mais aussi pour continuer de développer leur activité. Réussir dans ce domaine suppose un engagement fort de la direction, une solide offre de services de protection des données et des réseaux, une formation continue des collaborateurs et des utilisateurs finaux, et une totale conformité aux normes réglementaires et aux bonnes pratiques du secteur.

Mobilisez vos équipes

La cybersécurité est un sport d’équipe. Les MSP doivent former les équipes techniques sur les systèmes et les sensibiliser aux bonnes pratiques, mais aussi veiller à ce que chaque collaborateur et utilisateur final respecte l’ensemble des stratégies de protection. La protection de l’environnement informatique est une responsabilité partagée. L’investissement du MSP est aussi critique que la participation de chaque décideur, responsable et influenceur de chaque entreprise cliente.

Il faut le répéter continuellement à quiconque s’approche d’un terminal ou d’un clavier, et prévoir des sanctions pour chaque défaut de conformité. Les stratégies de cybersécurité doivent être appliquées à la lettre, sans exception pour les responsables, membres de l’équipe informatique ou quiconque pourrait être tenté de contourner les règles au risque de nuire à la sécurité de tous. Tout manquement doit être suivi de répercussions. MSP et clients doivent convenir d’une stratégie de cybersécurité formelle avec des formations de rattrapage, des réprimandes verbales et/ou écrites, des suspensions ou le licenciement en cas d’erreurs flagrantes et répétées ou d’actions intentionnelles.

Les MSP ne peuvent pas s’attendre à ce que ces valeurs soient incarnées par tous du jour au lendemain, ni espérer pouvoir appliquer des contrôles et une surveillance pour protéger les systèmes informatiques contre les attaques malveillantes ou les erreurs humaines. Ils doivent réfléchir à une procédure pour créer et faire appliquer les stratégies de cybersécurité et installer les outils appropriés. Les MSP doivent prendre le temps de communiquer l’importance critique de ces règles de travail et amener leurs équipes internes à y adhérer, techniciens, commerciaux, équipes marketing et réceptionnistes, de même que tous les collaborateurs des entreprises qu’ils accompagnent. Ces stratégies doivent être exhaustives et non négociables.

En d’autres termes, la cybersécurité est l’affaire de tous et les MSP ont pour mission de rappeler continuellement ce message, de surveiller les comportements et de réprimer les violations.

Protection du périmètre

Les fournisseurs de services managés savent comment mettre en place les bonnes défenses contre les cyberattaques. Après des années à déployer des systèmes de sécurité complexes, les mettre à niveau et les entretenir, la plupart des MSP savent comment bloquer les menaces les plus graves et ils testent généralement l’efficacité des innovations dans leur entreprise. Étant elles-mêmes de plus en plus visées, les entreprises de services informatiques doivent constamment renforcer leur défense pour éviter que la moindre vulnérabilité ne vienne affecter, voire bloquer leur écosystème informatique (y compris celui de leurs clients).

Protéger le périmètre est une première étape essentielle pour les MSP professionnels de la cybersécurité. Il faut absolument renforcer les défenses du réseau et des données pour éviter que les attaques ne se propagent et n’infectent d’autres systèmes connectés. Les entreprises de services informatiques doivent veiller à ce que chaque membre de leur équipe comprenne ces risques et fasse son maximum pour se protéger, protéger l’employeur ainsi que les entreprises qui comptent sur leur expertise avancée dans ce domaine.

Faire adopter cette mentalité et ces mesures de cybersécurité au sein d’un MSP nécessite des efforts, des compétences techniques solides et des connaissances spécifiques, mais cela demande plus d’énergie encore et de détermination pour le faire pour chaque client. Les clients doivent adhérer à la même vision et comprendre la nature des menaces auxquelles ils sont confrontés.

Coupler l’état d’esprit avec les bonnes pratiques et des contrôles

Les meilleures défenses sont bien conçues, elles sont toutes testées à répétition et mises à niveau fréquemment. Cette approche s’applique aux technologies de cybersécurité, mais aussi aux stratégies et procédures qui, si elles sont correctement gérées, évolueront au gré des nouveaux besoins de l’entreprise, des obligations de conformité et des situations.

Les MSP qui réussissent deviennent des maîtres dans ce domaine. Ces entreprises mettent en place des programmes robustes pour sensibiliser continuellement leurs collaborateurs aux menaces et à l’importance de suivre les bonnes pratiques dès qu’ils utilisent un terminal ou un réseau sous le contrôle de l’entreprise. Ils dispensent des formation complètes et informent l’ensemble du personnel des exigences de conformité et de protection standard.

Les meilleures pratiques pour les MSP pour renforcer cet état d’esprit au sein de son écosystème :

Rappeler régulièrement les stratégies, surtout auprès des collaborateurs les moins sensibilisés lors de la formation initiale.

Renforcer l’observation des normes par les collaborateurs internes. Inciter les équipes à identifier les lacunes et à recommander des améliorations, qui seront ensuite intégrées dans les stratégies de cybersécurité et les procédures informatiques de l’entreprise.

Former et se former et s’engager à observer toutes les exigences de conformité. Désigner des responsables de la cybersécurité chargés de contrôler et mettre à jour les stratégies, et de gérer les risques internes et externes. Pour les MSP de plus grande taille, il peut s’agir de plusieurs personnes, y compris pour accompagner des clients de secteurs d’activité différents, avec des exigences de conformité spécifiques.

Auditer les stratégies, les processus et les systèmes. Faites appel à des experts extérieurs pour évaluer périodiquement tous les aspects de cybersécurité de l’écosystème informatique du MSP et de tous ses clients.

Il est aujourd’hui indispensable de sensibiliser l’ensemble des collaborateurs de votre environnement informatique aux bonnes pratiques de cybersécurité au regard des menaces actuelles et des risques encourus. La bonne nouvelle pour les MSP, c’est que les services qu’ils fournissent sont de plus en plus prisés et valorisés, ce qui leur garantit un solide retour pour le temps, l’énergie et l’engagement investis pour tenir les cybercriminels à distance.