Player is loading...
Gestion et supervision des fournisseurs informatiques
Yan Borboën, Associé, Digital Assurance and Cybersecurity & Privacy, PwC
Friday, Sept. 1, 2023 · 8:42 a.m. · 13m 52s
Embed
Transcriptions
Note: this content has been automatically generated.
00:00:00
pour eux à tout le monde heureux de faire cette introduction sur la gestion supervision des
00:00:05
fournisseurs informatiques qui va permettre de poser un peu les bases pour les oeufs les intervenants
00:00:10
suivant eux les thématiques devra aborder avec vous tout d'abord ses quelque notion
00:00:15
dans la gestion des oeufs des risques puisque pour moi la gestion des risques fondamentale
00:00:19
justement pour tout type d'entreprises et des PME également et également
00:00:24
dans la problématique de la l'externalisation de
00:00:27
l'informatique ensuite quels sont les domaines informatique
00:00:31
et les risques informatiques vous devez superviser
00:00:34
en tant qu'eux cpm quelles sont les quelques unes
00:00:37
externalisation qu'elles sont également les risques et finalement quels
00:00:41
sont les différents principes à respecter en cas d'externalisation
00:00:46
donc tout d'abord j'aimerais dire le risque 0 n'existe pas donc même les meilleurs ça
00:00:53
arrive peuvent se faire acquis cependant j'aimerais bien eux discuter avec vous de cadres étroits s'intéressant
00:00:59
effectivement certains d'entre vous eux ont subi le là la problématique
00:01:05
commune bises là aussi on fait finalement ancien UPME externalise
00:01:10
un software ces données à un prestataire qui luimême externalise
00:01:15
encore un autre prestataire pour le stockage de ces données
00:01:18
donc on va en fait cesser ces jeux d'externalisation de sous externalisation etc
00:01:23
on voit finalement knowing bises amis quand même passablement tend à se
00:01:28
remettre à niveau qu'on verra certainement avec cédric qu'estce
00:01:31
qu'il aurait peutêtre dû faire mais clairement y une et votre
00:01:35
préparation n'était pas adéquat donc là aussi finalement c'est pas
00:01:40
par ce que vous externaliser que vous avez pas d'obligation de surveiller votre prestataire
00:01:47
après la taille finalement petites sociétés ou confédération grandes
00:01:51
sociétés on voit que les pratiques sont eux sont identiques
00:01:54
donc effectivement la cage deux x p n est intéressant moi ce que je trouve encore plus intéressant
00:02:01
fiancée le communiqué de presse de la confédération qui a décidé de faire examiner systématiquement tout les contrats
00:02:07
de l'administration fédérale avec des fournisseurs de services
00:02:10
informatiques et de réclamer désormais des garanties de sécurité
00:02:15
un peu dommage qu'il ait pas fait avant mais effectivement je pense que là on en vient déjà ein certaines années certaines bonnes pratiques
00:02:21
quand on externalise sup superviser après je pourrais aussi et c'est un autre
00:02:27
cas d'une société qu'on a quant à la compagnie lors de dunes d'une cyberattaques
00:02:33
ils sont faits encrypté toutes leurs toujours informatique personne je comprends informatique
00:02:39
son mandat leurs prestataires informatiques qu'estce qu'on peut restaurer nos sauvegarde le prestataire a dit à
00:02:45
on a pas on a pas fait d'accueil pour les 6 derniers mois dommage mais voilà donc
00:02:50
le la réponse incident était un petit peu plus compliquée que prévue donc là aussi de nouveaux cas
00:02:57
con qu'on voit qu'il faut un oui ou la
00:02:59
gestion des guerres la supervision d des prestataires informatiques importants
00:03:05
quelque notion de risque à vous mettre en tête pour
00:03:10
votre entreprise tout d'abord quelles sont les situations à risque
00:03:13
pour montre qu'en entreprise chaque société différentes chaque entreprise iris différents
00:03:19
ensuite de notion importante que la probabilité que cet incident surviennent
00:03:24
suivant historique eux quel impact probable évidemment que si
00:03:30
la probabilité que cet événement surviennent et l'impact est
00:03:34
élevé qui forcément vous allez mettre vous devez mettre en
00:03:37
place des mesures des mesures de contrôle des mesures de mitigation
00:03:42
que ce soit et vous ou votre prestataire 6 autres prestataires à vérifier
00:03:46
et finalement une surveillance continue si vous
00:03:50
externaliser des prestations haiti vous êtes toujours responsable
00:03:55
la LPDI et assez clair làdessus vous êtes responsable pour le traitement des données
00:04:00
et c'est pas externalisées et que vous avez pas eux
00:04:04
un devoir de surveillance donc là effectivement surveillance continue de votre prestataire
00:04:09
et peut être le dernier point c'est finalement comment estce que
00:04:12
vous avez traité ces risques donc soit vous évitez voulait réduire le risque
00:04:16
transférée donc ça envoie beaucoup eux aussi de sociétés qui ok moi j'
00:04:20
ai la science ces bons je suis je suis je suis cf
00:04:24
non effectivement vous devez aussi quand même vous assurer
00:04:28
que votre assurance peut vous aider et également mettre quand
00:04:32
même des mesures de sécurité ou finalement accepter le risque le risque est acceptable pour vous donc vous l'acceptez
00:04:39
ensuite quels sont les domaines informatiques et différents risques moi j'ai
00:04:42
défini 5 catégories il peut avoir d'autre mais je pensais principales
00:04:46
tout d'abord la gouvernance donc la répartition des tâches dans
00:04:50
l'informatique dans la gouvernance d'informatique départ défini non conformité réglementaire
00:04:55
on voit un je pense que le mot LPV l'entendre passablement toutefois semaine cette matinée
00:05:01
et c. et dans ces prochains jours la gestion des accès aussi les risques d'accès non autorisé
00:05:06
des comptes privilégiés qui sont abuser ensuite la gestion
00:05:09
des applications que ce soit et développement acceptant testing
00:05:14
des applications des changements correction d des
00:05:18
patchs des vulnérabilités dans les systèmes qui ne sont pas effectué
00:05:21
la gestion des données comme le cas précédents et ceux des données ne sont pas sauvegardé
00:05:26
des données sont corrompus sont perdus et finalement toute la l'aspect
00:05:30
cybersécurité i. les environnements de travail à distance ne sont pas sécurisé
00:05:35
pas de sensibilisation des employés donc ça ces différents risques vous pourriez avoir pour votre entreprise
00:05:42
on voit aussi par rapport à la gestion des données la gestion cloud qu'on verra aussi avec
00:05:46
nos collègues dis voyait comment finalement
00:05:50
là la gestion déclare la sécurisation 7 proposé dans
00:05:53
le cloud toute sécuriser toute bac p. là quand même aussi un certains travaillent à faire in sécurisation afin
00:06:00
ensuite en quoi consiste l'externalisation dont finalement ici
00:06:04
la société à une direction un conseil d'administration
00:06:08
un système de contrôle interne les externalise finalement une prestation eux qui
00:06:15
on espère le fournisseur un système de contrôle
00:06:18
interne pour maintenir effectuer seul ce cette prestation
00:06:24
ici vous avez deux niveaux finalement de surveillants près
00:06:27
aussi rajouter peut être ici comment la comédie avant il
00:06:30
peut avoir des sous fournisseur des soustraitants des soustraitants donc
00:06:34
ça aussi à prendre en compte dans d'autres évaluation
00:06:37
mais après le monitoring évaluation se fait à différents niveaux au premier
00:06:41
niveau finance et toute la partie réponse king et c'est là
00:06:45
deuxième niveau c'est aussi par rapport à la direction unes
00:06:48
gestion de la relation un suivi des rencontres régulières avec votre prestataire
00:06:54
et à la fin peut être i notion eux qui et qui est de plus en
00:06:58
plus présente dans le marché financier tout ce qui les rapports de contrôle dans votre prestataire
00:07:03
va définir un rapport de contrôle hillary va tester les contrôles par un auditeur externe et
00:07:08
ce rapport de contrôle sera mis à disposition des clients donc je dirais que cette notion
00:07:14
qui eux toujours présente en tout cas dans le domaine bancaire mais de plus en plus les
00:07:19
oeufs les gros prestataire ou les ni la plupart
00:07:23
des prestataires ont ce genre d'outils pour finalement partagé
00:07:27
une les certaines assurances par rapport à la qualité de leurs systèmes de contrôle interne
00:07:33
quelles sont les risques lors d'une externalisation donc
00:07:39
c'est clair que l'on retrouve un peu les mêmes ris j'aimerais peutêtre mettre l'accent sur certains donc
00:07:44
on voit finalement la problématique de la fuite de données
00:07:49
donc votre prestataire ne met pas des mesures de sécurité
00:07:52
en place nécessaire pour éviter une à une fuite de données
00:07:58
la perte de la perte de contrôle aussi
00:08:02
de celle de l'air de cette prestation
00:08:06
après ce qu'on en ce qu'on voit aussi simple que
00:08:09
certains prestataires sont rachetées sont fusionnées change de direction donc là aussi
00:08:15
pour moi ça risque assez important dans ce changement des relation estce
00:08:19
qu'un haut niveau contractuelle les ses obligations change son sont gardés
00:08:26
après cette terre qui a aussi des oeufs tout ce qui rupture de service donc
00:08:31
le fournisseur tiers connaît des problèmes opérationnels voir
00:08:35
aussi subit des arrêts les systèmes sont arrêtés
00:08:40
après la mauvaise performance aussi donc par rapport au service level agreement que vous
00:08:45
avez vos prestataires et ne respecte pas ses oeufs c. cette performance cesser ces niveaux
00:08:51
conformité réglementaire donc là aussi par rapport à la l.
00:08:56
p. d. vous êtes responsable envers vos clients de respecter vos obligations
00:09:01
LPD ou RGPD mais également vos prestataires donc là aussi
00:09:06
si une fuite de données ou in attaque de votre prestataire survient
00:09:13
effectivement vous devez en être informé vous êtes responsable enfin en face de vos clients
00:09:18
après un risque aussi je dirai qui est pour moi
00:09:22
important s et cette indépendance finalement envers votre prestataire
00:09:27
donc c'est vrai que souvent on voit les sociétés
00:09:30
externaliser i. toute l'informatique à un seul prestataires
00:09:35
également la surveillance de ce prestataire qui fait par le même prestataire donc
00:09:41
des fois je dirais qu'on a aussi une dépendance assez fortes à son prestataire
00:09:45
donc des fois ce aussi bien de réfléchir quel serait mon plan b. i. si ce prestataire
00:09:51
arrête ses activités ou ne fait pas bien ses activités et une dernière notion se également
00:09:58
je dirais de d'externaliser qui complètement son informatique sans avoir aucune connaissance
00:10:04
dans son environnement heu je dirais que ça c'est pas assez c'est aussi un risque assez élevé
00:10:10
dans le cas de la société que ce que j'ai mentionné au début mais aussi dans des normes et nos prestataires
00:10:15
les super on a pu en avoir un responsable et qui donc chez eux plus personne
00:10:19
ne comprenait rien haiti donc effectivement pour superviser
00:10:23
monitor et votre prestataire ça devient un peu compliqué
00:10:27
dernier i. les coûts supplémentaires a donc
00:10:30
là aussi contractuellement il ya des
00:10:34
frais qui sont facturés et dépendent des prestations là aussi je dirai qui laissent souvent
00:10:40
des oeufs des coûts cachés donc fox assez claire dans les problématiques cloud les services cloud également
00:10:47
on voit que si vous ont monitor pas en guerre parfaite c. ces services cloud
00:10:53
on peut eux souvent avoir des surprises à la fin à la fin du mois
00:10:59
mais que faire donc quelques principes à respecter en cas d'externalisation
00:11:03
donc tout d'abord choix instruction et contrôle du prestataire ou bien définir
00:11:09
qu'elles sont pour vous les critères importants ça
00:11:12
soit en termes de capacité professionnelle des ressources humaines
00:11:16
financière évidemment donc définir ces critères
00:11:20
évalués les prestataires de façon sérieuse
00:11:24
ensuite la responsabilité qui donc contractuellement définir les oeufs les
00:11:30
responsabilités vous êtes toujours responsable en face de votre prestataire
00:11:35
la sécurité de l'entreprise donc c'est pas parce que
00:11:39
c'était un suisse comme ça microsoft qui faut pas vous intéresser
00:11:43
à la chose je pense que là aussi la sécurité est essentielle vous avez des attentes
00:11:48
vous avez une politique de sécurité de votre entreprise donc vous devez aussi vous assurer que ce prestataire
00:11:54
va atteindre ce niveau d'attente que vous avez en termes d'en termes de sécurité
00:12:01
auditer surveillance donc là aussi vous devez avoir un droit de regard sur le prestataire
00:12:08
allez visiter son data center allait rencontrer au prestataire regardez comment hi travail
00:12:14
soit vous allez la bas soit que vous pouvez reçoit un rapport de contrôle
00:12:19
c'est peut être pas tout les 6 mois peut être 1 fois par année
00:12:22
il faut tout les deux ans mais je dirais que cette surveillance doit être effectué
00:12:26
transfert à l'étranger i. donc effectivement vos données doivent être accessibles en tout temps depuis la suisse
00:12:32
mais effectivement après où sont eux stocker les données vos données
00:12:38
j'ai quelques prestataires dans quel pays et ce que ce pays respectent finalement
00:12:43
les était un pays avec des lois sur la protection des données équivalente
00:12:48
à la suisse donc ça aussi c'est des essais des aspects à évaluer et à mettre dans votre contrat
00:12:54
la maîtrise des risques fiant quelles sont les risques quelles sont les
00:12:57
contrôles que de mettre en place chez moi chez mon prestataire la connaissance
00:13:01
à voir des personnes avec une connaissance suffisante pour pouvoir
00:13:05
changer votre prestataire et finalement le contrat le contrat doit
00:13:10
être clair stipulait les rôles et responsabilités vos attentes qu'elles sont
00:13:15
eux quels sont les règles les règles les lois que votre prestataire doit respecter
00:13:21
et finalement la surveillance comme j'ai dit avant moi je recommande des réunions régulières
00:13:26
et vos prestataires certaines visites des audits par des prestataires externes ou recevoir finalement des
00:13:33
rapports de contrôle qui vous permette de reformulation sexe term de vous tranquilliser par
00:13:39
rapport aux prestataires et pouvoir dormir sur les deux oreilles et je n'ai fini avec
Conference Program
Mot de bienvenue
Samuel Mellot, Attaché au développement économique, DG DERI
Sept. 1, 2023 · 8:33 a.m.
178 views
Mot de bienvenue
Anthony Montes, Directeur Promotion, FER Genève
Sept. 1, 2023 · 8:35 a.m.
Ouverture de la matinée
Joan Plancade, Journaliste, Magazine Bilan
Sept. 1, 2023 · 8:39 a.m.
Gestion et supervision des fournisseurs informatiques
Yan Borboën, Associé, Digital Assurance and Cybersecurity & Privacy, PwC
Sept. 1, 2023 · 8:42 a.m.
Mesures techniques pour se mettre en conformité avec la nLPD
Gaëlle Goareguer & Alexandre Courois, Resp: Consultante en Systèmes d'information -- Sous-Directeur Audit et Conseil en systèmes d'information, BDO
Sept. 1, 2023 · 8:57 a.m.
La sécurité au coeur de la transition vers le cloud
Eliel Mulumba & Adelite Uwineza Kazungu, Resp: Head of Operational Technology Security -- Cyber Awareness Specialist, EY
Sept. 1, 2023 · 9:28 a.m.
Gestion d'une cyber-crise et plan de réponse
Cédric Nabe, Associé, Risk Advisory, Deloitte
Sept. 1, 2023 · 9:52 a.m.
Débat et questions du public
Panel
Sept. 1, 2023 · 10:07 a.m.
Recommended talks
Evolutions du cadre juridique et règlementaire
Alexandre Dubi, Partenaire, Audit & Assurances, Deloitte
April 28, 2023 · 6:56 a.m.
Construire une équipe performante
Esther Merino Arnedo, Platinn
April 26, 2013 · 9:25 a.m.
292 views