Votre entreprise a décidé d’externaliser certaines de ses fonctions de sécurité à un fournisseur de services de sécurité managés (MSSP). Les services à externaliser concernent la surveillance en continu du réseau, la gestion des incidents de sécurité ainsi que l’analyse des menaces cyber. En tant que RSSI, vous êtes chargés de gérer la relation avec le MSSP afin d’assurer la conformité aux exigences de sécurité de l’entreprise et garantir que le fournisseur respecte les niveaux de service attendus.
Quelle mesure devrait être mise en œuvre pour garantir que les services de sécurité fournis par le MSSP respectent les exigences en termes de sécurité de votre entreprise ?
[A] Limiter l’accès du MSSP aux systèmes non critiques afin de minimiser les risques
[B] Effectuer un audit de sécurité interne après chaque incident géré par le MSSP afin de s’assurer de de l’efficacité du prestataire
[C] S’assurer que l’équipe cybersécurité n’interfère pas avec les opérations du MSSP afin d’éviter tout désengagement d’un prestataire en cas d’incident
[D] Inclure des clauses spécifiques dans les accords de niveau de service (SLA) pour définir les exigences de performance, de disponibilité et de sécurité
Proposition [A] : Limiter l’accès aux seuls systèmes non critiques empêchera le MSSP de surveiller et de protéger l’ensemble du système d’information et notamment les systèmes critiques.
Proposition [B] : Les audits internes peuvent être utiles, mais ils doivent être combinés avec une surveillance continue et des exigences claires dans les SLA.
Proposition [C] : Ne pas interférer avec les opérations du MSSP peut entraîner un manque de contrôle et de transparence sur les mesures de sécurité mises en place.
Proposition [D] : Inclure des clauses spécifiques dans les SLA permet de définir clairement les attentes en matière de sécurité, de performance et de disponibilité, garantissant que le MSSP respecte les exigences de l’entreprise.
La bonne réponse est la proposition [D]
Pour en savoir plus sur l’externalisation des services de sécurité, nous vous recommandons de suivre le module n°3 de la formation CISSP en distanciel de VERISAFE.
Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE