La montée en puissance des cyberattaques ciblant les prestataires IT inquiète de plus en plus les acteurs de la sécurité. Plusieurs sources alertent : les MSP et infogéreurs sont devenus des vecteurs critiques dans les chaînes de compromission.
C’est ce point de rupture que Sébastien Gest, fondateur du cabinet de conseil ndnm, a souhaité explorer lors de la plénière sur du MSSP Day de Check Point, à l’initiative de Philippe Guerber, MSSP Sales Lead de l’éditeur pour l’Europe du sud.
Le MSP, maillon critique dans les chaînes de compromission
Spécialiste de l’analyse des modèles économiques dans la prestation IT, Sébastien Gest accompagne de nombreux prestataires dans la structuration de leur offre et l’évolution de leur modèle vers des services managés. Son analyse repose sur un constat précis : les clients finaux – PME, ETI et collectivités – élèvent rapidement leurs exigences en matière de cybersécurité, tandis que nombre de prestataires peinent à faire évoluer leur propre posture. Et cela crée un décalage dangereux, dont les attaquants savent parfaitement tirer parti.
« Trop de prestataires n’appliquent pas à eux-mêmes les standards qu’ils conseillent à leurs clients »
Les prestataires sont aujourd’hui dans une position d’exposition maximale. En accédant aux systèmes d’administration de plusieurs clients via leurs outils RMM, ils concentrent un capital de risque particulièrement attractif pour les cybercriminels. Certains attaquants visent désormais directement ces fournisseurs pour rebondir ensuite vers les systèmes de leurs clients. « Un prestataire peut aujourd’hui constituer une porte d’entrée vers plusieurs dizaines de systèmes clients. » Or, dans la réalité du terrain, les niveaux de sécurisation varient fortement d’un acteur à l’autre. « Trop de prestataires n’appliquent pas à eux-mêmes les standards qu’ils conseillent à leurs clients », résume Sébastien Gest.
Structurer pour sécuriser durablement
Cette fragilité de certains prestataires IT n’est pas seulement technique. Elle est aussi organisationnelle. Peu disposent d’un processus structuré de gestion des incidents, d’un référent cybersécurité clairement identifié, ou encore de procédures d’astreinte en dehors des heures ouvrées. « Il existe des prestataires qui se disent capables de superviser, mais qui ne disposent même pas d’une astreinte opérationnelle en dehors des horaires ouvrés. » Plusieurs remontées de terrain confirment ce type de failles : des MSP compromis sans même s’en rendre compte, des clients attaqués via leurs outils RMM, des plans de reprise jamais testés.
« Il existe des prestataires qui se disent capables de superviser, mais qui ne disposent même pas d’une astreinte opérationnelle en dehors des horaires ouvrés. »
Ce déficit de maturité est d’autant plus préoccupant que les exigences augmentent sur le terrain. Les donneurs d’ordre publics comme les collectivités territoriales, mais aussi les assureurs cyber, demandent désormais aux prestataires de fournir des garanties précises sur leur propre posture de sécurité. « Ce qui était accepté il y a encore trois ans est désormais remis en question. Les entreprises et les collectivités demandent aujourd’hui des garanties précises sur la sécurité des prestataires. » L’exposition d’un MSP devient un critère d’évaluation pour certains contrats, notamment dans les marchés publics ou les environnements sensibles. « Il faut intégrer l’idée que sécuriser ses propres outils et process est un prérequis à la croissance », insiste Sébastien Gest.
Professionnaliser la cybersécurité, même à petite échelle
Ce changement de paradigme impose aux prestataires de franchir un cap : celui de l’industrialisation. Il ne s’agit plus seulement d’assurer la qualité de service, mais de garantir une capacité à opérer de manière répétable, sécurisée et documentée. « Industrialiser, c’est documenter, standardiser, automatiser. Même pour un petit acteur, c’est possible. » Cela suppose de clarifier les rôles en interne, de formaliser des processus de traitement des incidents, de mettre en place une supervision active et, surtout, de s’astreindre à des contrôles réguliers. Les prestataires doivent s’appliquer à eux-mêmes les pratiques qu’ils mettent en œuvre chez leurs clients. L’enjeu est autant technique qu’organisationnel.
« Industrialiser, c’est documenter, standardiser, automatiser. Même pour un petit acteur, c’est possible. »
Sébastien Gest le constate dans ses missions de terrain : les structures qui progressent le plus vite sont celles qui se dotent de fonctions transverses – responsable sécurité, chef de projet, pilotage de l’offre – et qui acceptent de prendre du recul sur leurs propres pratiques. « Les prestataires qui avancent sont ceux qui ne se contentent pas d’ajouter des ressources techniques. Ils structurent leur offre et prennent le temps d’analyser leurs pratiques. » Il cite le cas d’un intégrateur régional qui a revu entièrement ses accès d’administration, restreint l’usage des comptes à privilèges et instauré des contrôles hebdomadaires sur l’ensemble de ses outils RMM. Ce travail, réalisé sans recruter, a permis à l’entreprise de regagner la confiance de plusieurs clients PME du secteur industriel, jusque-là frileux sur les prestations managées.
De la prestation technique à l’engagement contractuel
L’exigence monte aussi sur la relation client. Les utilisateurs finaux veulent de moins en moins d’un prestataire technique qui réagit, ils réclament un partenaire capable d’anticiper, de formaliser, et d’alerter. « Le client ne veut plus simplement quelqu’un qui exécute. Il attend un partenaire capable de l’alerter, de cadrer, et d’anticiper les risques. » Cela suppose de changer de posture : passer d’une relation descendante à une logique d’accompagnement, documentée et contractualisée. La perception de leur valeur passe désormais aussi par leur capacité à prouver leur propre niveau de sécurité.
Au fil des échanges avec les prestataires, Sébastien Gest souligne que certains clients attendent désormais de leurs prestataires un niveau d’implication équivalent à celui d’un acteur interne. De nombreux DSI internes demandent à leurs partenaires de partager leur niveau d’exposition, de co-construire avec eux leurs politiques de sécurité, et d’être en mesure d’engager leur responsabilité en cas d’incident. Cela implique une transparence que tous ne sont pas prêts à assumer. « Il faut accepter de se remettre en cause, même quand cela implique de revoir ses outils, ses process, voire ses relations avec certains fournisseurs », conclut-il.
À découvrir également sur ChannelBiz :
- Avis d’expert Cyber : comment les MSP renforcent la protection via des SLA dédiés
- RETEX MSSP : CyberCape, ou comment repenser la cyber pour les petites structures
- Nomination : Cyber : Jérôme Bouvet rejoint Check Point France comme Country Manager
- Services : Check Point étend ses Customer Advocacy Management Services
À propos de ChannelBiz :
ChannelBiz.fr est le média des partenaires de distribution IT & Tech en France : Intégrateurs, revendeurs, et MSP/MSSP. Chaque semaine, nous proposons à nos 9000 abonnés 2 newsletters autour des actualités et des enjeux majeurs du Channel : infra & Cloud, Cybersécurité ; Workspace & AV ; Telecom; et Business Apps. Nous éditons également chaque trimestre « ChannelBiz : Le Mag » : un magazine de 60 pages, pour prendre du recul sur les tendances fortes du marché. Et pour ne rien rater de l’actualité du Channel au quotidien, rejoignez notre page Linkedin ChannelBiz.
