Protection & Sécurité

MSP : comment choisir son prestataire ?

Temps de lecture: 11 minutes

Pour chaque type et chaque taille d’entreprise, il existe un prestataire de services managés (MSP) capable de prendre en charge sa cybersécurité. « Que vous soyez une ONG, un concessionnaire automobile ou un studio de jeux, un MSP peut vous aider à vous concentrer sur vos compétences essentielles, tandis qu’il s’occupe de l’agenda quotidien, comme la surveillance des pare-feux et des journaux de sécurité, » explique Charles Weaver, cofondateur et PDG de la MSPAlliance, qui réunit plus de 30 000 MSP dans le monde. Et vous ne pourrez pas avoir de meilleurs conseils que les siens, pour prendre au sérieux et dès à présent la sécurité de votre entreprise. Voici donc quelques-unes de ses précieuses recommandations.

Vous ne pouvez pas tout faire, et c’est tout à fait compréhensible

À moins que vous ne soyez une grande entreprise, une entité gouvernementale ou une entreprise engagée dans des contrats de défense, vous ne disposez probablement pas des ressources, de la technologie et de l’expérience nécessaires pour défendre votre infrastructure informatique 24 heures sur 24, 365 jours par an. « C’est une proposition très difficile. En plus des demandes internes, des mises à jour et des projets, les administrateurs informatiques doivent se concentrer sur les questions de stratégie informatique et les défis métiers de l’entreprise. Il est normal qu’ils ne puissent pas tout faire. C’est là qu’un MSP peut intervenir, » explique M. Weaver. Ainsi, la toute première chose à faire pour trouver un partenaire MSP de qualité est d’admettre que vous en avez réellement besoin.

 

 

Comment le rôle des MSP a-t-il évolué ?

La MSPAlliance a été fondée en 2000. « Depuis lors, le paysage des menaces a radicalement changé. Le monde est aujourd’hui plus que jamais tributaire de la technologie, et toutes les données doivent être gérées et protégées. C’est pourquoi le rôle des MSP s’est également développé, » explique M. Weaver. « Il y a vingt ans, les cyberattaques étaient beaucoup plus ciblées et visaient certains types d’organisations, comme les banques, etc. Mais aujourd’hui, les attaques sont omniprésentes et visent des entreprises de toutes tailles. La cybersécurité est dans l’intérêt de chacun d’entre nous. Tout le monde possède quelque chose qui a de la valeur pour des attaquants. »

« Avec le nombre de cyberattaques qui augmente, et les fuites de données et les attaques de ransomwares médiatisées auprès non seulement de la communauté informatique mais également auprès des non-professionnels, les petites entreprises commencent enfin à prendre la cybersécurité au sérieux. » 

 

Charles Weaver, cofondateur et PDG de la MSPAlliance

 

 

La taille du MSP doit correspondre aux besoins de votre entreprise

déalement, les petites entreprises devraient investir dans des MSP plus petits. « Il est plus probable qu’ils comprennent mieux les besoins de l’entreprise du client, puisqu’ils sont de taille similaire, » affirme M. Weaver. En outre, le coût d’un petit MSP correspondrait probablement mieux aux ressources que les petites et moyennes entreprises (PME) allouent à une assistance informatique externe. Et qu’en est-il d’avoir plus d’un MSP ? « C’est généralement le cas pour les entreprises de taille moyenne et les grandes entreprises, mais il se peut également qu’une petite entreprise ait besoin de MSP plus spécifiques qui s’occupent par exemple de la sécurité d’applications particulières. »

Un MSP est le partenaire de l'administrateur informatique, pas un concurrent

Choisissez un MSP qui sait comment se protéger

Que fait le MSP pour se protéger contre les cyberattaques ? C’est une autre question que vous devriez vous poser avant de choisir votre partenaire. « Les attaques contre les fournisseurs des chaînes d’approvisionnement et les tiers sont en hausse. Vous n’avez pas envie qu’un quelconque type de risque soit transféré, à vous ou à votre organisation. Il est donc crucial de vérifier les pratiques de sécurité internes du MSP, ses certifications, ses audits et autres documents. Vous devez toujours vous assurer que votre MSP prend sa propre cybersécurité au sérieux. » Par exemple, l’éditeur des logiciels utilisés par le MSP, et donc par votre entreprise, peut devenir un appât pour les cybercriminels. « Les fournisseurs de la chaîne d’approvisionnement du MSP sont des cibles critiques. Et le prestataire de services managés peut être la porte d’entrée que les attaquants utilisent pour pénétrer dans toute la maison. »

 

Quelques exigences de base pour la propre cybersécurité des MSP

Analyses de sécurité régulières

Tests de pénétration

Analyses du réseau interne

Sauvegardes des données

Utilisation de l’authentification multifacteur (MFA)

 

Paré à toute éventualité

Le MSP devrait présenter entre autres un plan d’intervention indiquant comment procéder en cas de cyberattaque. « Votre partenaire doit être prêt à faire face aux catastrophes naturelles, qu’il s’agisse de tempêtes entraînant des coupures de courant ou de pandémies, et qui pourraient nécessiter un déménagement des bureaux. Vous devez élaborer conjointement un plan de continuité des activités et un plan de sécurité de l’information, afin qu’aucun événement imprévu ne mette vos données en péril, » ajoute M. Weaver.

Nous sommes à un stade où tout le monde doit s’attendre à être attaqué, y compris les MSP. La norme que nous appliquons dans notre profession est la suivante : pouvez-vous résister à une attaque et y survivre ? Si vous devenez victime d’une faille de sécurité, pourrez-vous rétablir et poursuivre vos activités normales, y compris la gestion de vos clients, sans subir de temps d’arrêt important ? C’est aussi ce que vous devez demander à votre MSP avant de signer le contrat.

Ne vous fiez pas uniquement aux avis

Lorsque vous recherchez des informations sur les MSP, les avis peuvent être utiles, mais ils ne doivent pas être votre seule source d’information. « Essayez de parvenir à une évaluation aussi objective que possible, en examinant les certifications, les références et autres critères du MSP. Vous avez toujours besoin de professionnels qui comprennent vos systèmes et vos données. Ce qui convient à un type d’entreprise peut ne pas convenir à la vôtre, » explique M. Weaver. Une logique similaire s’applique à l’évaluation du rapport prix/performance. « Ne recherchez pas l’offre la plus basse. Il est clair que vous souhaitez obtenir un bon rapport qualité-prix, mais les qualifications doivent toujours passer en premier. »

 

La MSPAlliance

La MSPAlliance est un réseau mondial de plus de 30 000 prestataires de services managés. « Nous certifions et auditons les MSP, en fournissant aux clients des informations qui les aident à prendre des décisions en toute connaissance de cause, » explique M. Weaver. « Nos normes s’appliquant aux MSP existent depuis 2004. Ce sont les plus anciennes du marché, mais elles sont mises à jour régulièrement, parfois même plusieurs fois par an, car nous reflétons toujours la législation en vigueur, comme le RGPD. Il est crucial que les MSP reflètent les facteurs externes dans leurs normes. »

 

Demandez une communication et des rapports rigoureux

MSP trouvé, contrat signé. Comment pouvez-vous être sûr que le prestataire de services managés vous soutiendra ? « Un MSP qui fait son travail ne devrait pas être une difficulté. Aucun moment dramatique ne devrait se produire. Néanmoins, le réflexe naturel d’un PDG serait de se dire : "pourquoi est-ce que je paie tout cet argent, alors que je ne le vois pas travailler ou faire quoi que ce soit ?" Par conséquent, le MSP doit communiquer en permanence avec l’entreprise cliente, en lui fournissant des informations sur ses actions, » recommande M. Weaver. « Un reporting est le minimum que vous puissiez demander, mais idéalement, la communication entre le client et le MSP devrait aller beaucoup plus loin. »


 
Charles Weaver MSP Alliance
Charles Weaver, cofondateur et PDG de la MSPAlliance

Charles Weaver est PDG et cofondateur de la MSPAlliance (l’association internationale des prestataires de services managés). Depuis sa création en 2000, l’organisation est passée de moins de 5 membres fondateurs à des dizaines de milliers de membres dans le monde entier. Sous la direction de M. Weaver, la MSPAlliance a étendu sa portée et son influence pour inclure l’éducation, les normes de conduite et les certifications pour les professionnels et les entreprises de services managés.   

En plus de gérer les activités opérationnelles quotidiennes de la MSPAlliance, M. Weaver écrit et parle abondamment dans le monde entier à propos du secteur des services managés. Son ouvrage « The Art of Managed Services » est lu dans le monde entier.

 

 

En tant que leader dans le secteur des services informatiques managés, les connaissances et l’expertise de M. Weaver sont très recherchées par certains des principaux fournisseurs et prestataires de services technologiques, notamment Cisco, Intel, Microsoft, RSA, Intuit, DELL, Raritan, Symantec, NEC, et bien d’autres. M. Weaver a également été cité dans de nombreuses publications à travers le monde, notamment le New York Times, Inc. Magazine, le Financial Times, le Chicago Sun Times, Entrepreneur Magazine, le Wall Street Journal, etc.   

 

M. Weaver a été désigné comme l’une des  50 personnes les plus influentes dans le domaine de l’informatique d’entreprise par Baseline Magazine. Avant de lancer la MSPAlliance, M. Weaver était rédacteur pour l’un des plus grands sites web, Internet.com, avec une audience quotidienne de plus de 140 000 personnes. Après internet.com, il a géré le lancement d’un éditeur de logiciels pour le secteur juridique.