Longue est la liste des services assurés par les MSP (Managed Services Providers). Depuis la supervision et la maintenance des serveurs, postes de travail et réseaux jusqu'à la gestion des accès utilisateurs, en passant par la cybersécurité. Selon la formule bien rodée, une des promesses des MSP est de libérer les équipes IT pour leur permettre de se concentrer sur des missions à plus forte valeur ajoutée.
Cependant, les entreprises et institutions qui confient les clés de la gestion de leurs ressources IT aux MSP doivent rester vigilantes. L’étude en 2024 de CyberSmart, acteur de la gestion de la cybersécurité, a questionné 900 responsables dans ce domaine dans le monde, dans les organisations comprenant jusqu’à 1200 salariés. Il apparaît que plus des deux tiers (69 %) des MSP ont été victimes de multiples violations de sécurité au cours de l'année dernière. Un constat à considérer. Selon l’étude, cela n’entame pas la confiance de leurs clients dans leurs capacités en matière de sécurité. Et pour un répondant sur cinq la confiance est totale.
Selon un rapport de Sophos, 66 % des MSP font désormais appel à des fournisseurs tiers pour fournir leurs services de détection et de réponse gérés (MDR). Cela leur permet de combler les lacunes de leurs offres de cybersécurité. À court terme, les entreprises envisagent de faire appel à une expertise plus avancée sur l’IA et le machine learning
(39 %). D’autre part, elles élargissent la mise en place de mesures de sécurité réseau évoluées telles que le Zero-Trust ou les opérations de sécurité managées (38 %).
Aux yeux des MSP, les prochaines actions comprendront des dispositions de surveillance continue (51 %), la formation des employés à la cybersécurité (51 %) et la gestion préventive des risques (48 %).
Les inconvénients et les risques à bien considérer
Avant de déléguer la responsabilité critique de sa cybersécurité, l'entreprise doit envisager sérieusement les points suivants. D’abord, considérer la perte de contrôle que constitue la délégation d’une partie de la cybersécurité à un tiers, ce qui peut limiter sa capacité à réagir vite ou à prendre des décisions importantes.D’autre part, s’assurer que les politiques de sécurité correspondent bien aux besoins spécifiques de l’organisation. Noter qu’une forte dépendance à un MSP peut rendre difficile un retour à une gestion en interne. Dans le cas spécifique du traitement des données sensibles, les risques en cas de mauvaise gestion, de négligence ou d'attaque ciblée contre le prestataire sont majeurs.
D’évidence, il est essentiel de vérifier les clauses contractuelles sur la protection des données et la conformité aux certifications du MSP (RGPD, ISO 27001, SOC 2, etc.). Actuellement, seuls 39 % des MSP se disent prêts à fournir une solution ou des conseils pour répondre à des réglementations de plus en plus strictes.
Pour l'avenir, CyberSmart a déclaré qu'il existe une « opportunité inexploitée » pour de nombreux MSP pour la mise en conformité sur les réglementations, telles que la directive NIS 2, l’AI ACT ou le règlement DORA. Et d'offrir des conseils et des services axés sur la conformité.
Le manque de connaissance des métiers du client est un autre enjeu important. Enfin, il faut prêter attention aux coûts cachés ou qui augmentent drastiquement avec le temps. Il s’agit, notamment, des interventions urgentes, des audits, etc.
Les bonnes pratiques pour limiter les risques
Comme pour tout projet de sous-traitance, trois points de négociation avec les MSP sont à prendre en compte. Il faut négocier soigneusement un contrat clair avec des SLA (niveau de service) et des clauses de sortie précises. En deuxième lieu, il importe de maintenir un contrôle interne minimum pour garder la main sur les décisions critiques.Au final, il est impératif d’auditer régulièrement les prestations et la sécurité mises en place par le MSP pour éviter les mauvaises surprises a posteriori.
