Nouveau
Accueil » Actu » Sécuriser sa chaîne IT : de l’audit à la contractualisation

Sécuriser sa chaîne IT : de l’audit à la contractualisation

160
Sécuriser sa chaîne IT : de l’audit à la contractualisation

Beaucoup trop d’organisations pensent encore aujourd’hui leur sécurité par briques techniques et négligent la chaîne complète qui relie métiers, DSI et fournisseurs. C’est là pourtant que se nichent les failles (contrats flous, indicateurs hors-sol, responsabilités mal partagées, etc.). En 2025, sécuriser son SI ne consiste plus à empiler des solutions, mais à gouverner l’ensemble du dispositif, de l’audit jusqu’aux clauses contractuelles qui engagent vos partenaires.

Gouverner l’IT sans visibilité, un pari risqué

La plupart des systèmes d’information s’appuient sur un écosystème dense de prestataires : éditeurs cloud, infogéreurs, ESN, MSP. D’ailleurs, le marché numérique français pesait autour de 70,4 milliards d’euros en 2024, dont près de la moitié pour les ESN, un signe clair de dépendance aux fournisseurs externes.

Selon Numeum, rien que le segment sécurité à lui seul est estimé 7 milliards d’euros !

Ce « tissu de sous-traitance » crée de la valeur… mais aussi de la complexité à piloter au quotidien.

Attention, cette dépendance n’est pas problématique en soi (si la visibilité suit). Elle devient un risque quand vous ne mesurez plus la performance réelle, quand les engagements restent théoriques, ou quand les incidents circulent sans journalisation fiable.

Le contexte réglementaire pousse d’ailleurs à mieux encadrer la chaîne de sous-traitance. La directive NIS 2 impose désormais des mesures de gestion des risques et un contrôle accru des prestataires pour les entités concernées.

Contrats d’infogérance : des clauses au pilotage

Beaucoup d’accords d’infogérance empilent les SLA et annexes techniques, mais la réalité du service vit ailleurs :

  • dans les temps de rétablissement,
  • dans la qualité des changements,
  • dans la capacité à prévenir plutôt qu’à corriger.

Les tableaux de bord restent trop souvent déconnectés du quotidien parce qu’ils agrègent des moyennes peu parlantes, reposent sur des données non auditables, ou ignorent tout simplement le contexte métier (un peu bête quand même).

Résultat : on « verdit » des KPI en fin de mois, sans corriger les irritants qui ralentissent les équipes…

Pour refermer cet écart, il faut aligner contractuellement mesure et exécution. Les engagements nécessitent des métriques tracées à la source (tickets, logs, pipelines, outils d’observabilité) et un droit d’audit régulier. Des indicateurs reliés aux usages sont privilégiés :

  • taux de changements réussis sans rollback,
  • délai moyen de reprise par périmètre,
  • conformité des sauvegardes testées,
  • taux d’incidents récurrents éliminés,
  • temps d’accès aux expertises critiques…

Sans cette base, les COPIL « tournent à vide » (« Quelqu’un peut me rappeler pourquoi on se voit déjà ? » #onsouffle).

Cockpit IT : vers une gouvernance outillée et actionnable

Un pilotage efficace passe forcément par une plateforme qui consolide données techniques, tickets, assets, changements et événements de sécurité. Celle-ci doit a minima :

  • automatiser la collecte,
  • horodater les faits,
  • rapprocher incidents et changements,
  • déclencher des alertes et produire des rapports auditables.

Les règles sont simples : pas d’indicateur sans source, pas de source sans horodatage, pas d’horodatage sans sécurisation des journaux.

Côté conformité, la CNIL recommande de conserver les logs entre six et douze mois, avec une supervision capable de détecter des accès anormaux et d’enquêter en cas d’incident. Cette durée de conservation et l’exploitation continue des journaux doivent normalement être intégrées au contrat et outillées dans le cockpit, faute de quoi les preuves manquent quand survient un litige. A vous de bien vérifier !

Aussi, automatiser compte autant que mesurer. Un « cockpit utile » orchestre les relances sur les sauvegardes non testées, signale les dérives de changements urgents, et consolide les alertes de sécurité en les associant aux périmètres sous contrat. Il devient alors un prolongement de la relation fournisseur.

La valeur d’un pilotage proactif

Dans un contexte où les engagements doivent être pilotés avec précision, un audit continu de l’infogérance s’impose comme un levier essentiel pour fiabiliser la relation fournisseur et anticiper les dérives de service.

Concrètement, l’audit continu ne signifie pas inspection permanente et « punitive ». Il s’agit simplement d’un cycle bref et régulier avec échantillonnage de tickets fermés, confrontation des indicateurs aux traces, vérification des fenêtres de changements, contrôle des preuves de sauvegarde et de restauration, relecture des escalades critiques, sondage utilisateurs, etc.

Ce rituel mensuel ou trimestriel nourrit les comités de pilotage, affine les KPIs et déclenche les plans d’actions. Il crédibilise aussi la clause d’amélioration continue que l’on oublie trop souvent d’animer.

La proactivité protège également la production et l’image, puisqu’elle réduit les incidents récurrents, améliore le temps de rétablissement, et cadre les changements sensibles. Elle met surtout fin aux fameuses « surprises de fin de trimestre ».

Réconcilier gouvernance IT et stratégie métier

La sécurisation de la chaîne IT n’est surtout pas une affaire « entre la DSI et ses prestataires ». Elle touche avant tout la promesse métier : délivrer un service fiable, sûr et conforme aux attentes de vos clients. C’est pourquoi le pilotage doit parler le langage de l’entreprise (disponibilité des parcours critiques, délai de résolution sur les applications cœur, conformité des sauvegardes des systèmes financiers, taux de changements réussis en période de pic commercial, etc.). Ce cadrage évite les débats stériles sur des moyennes et ramène le pilotage vers la valeur.

Sur le plan contractuel, on peut décliner cette ambition en trois axes :

  • Clauses claires de responsabilité et de preuves : qui fournit quels journaux, sous quel format, dans quel délai en cas d’incident. La recommandation CNIL sur la journalisation sert de repère pour exiger des traces exploitables et sécurisées.
  • Engagements mesurables et audités : indicateurs reliés à des sources outillées, échantillonnage régulier, droit d’audit prévu et organisé.
  • Gestion du risque tiers alignée sur le cadre réglementaire : pour les entités visées par NIS 2, vérifier que les prestataires s’alignent sur les exigences de gestion des risques et de notification d’incidents, puis l’inscrire explicitement dans le contrat et le cockpit de suivi.

Enfin, on ancre la gouvernance dans la réalité économique du numérique français. Un secteur, je le rappelle, très externalisé, où les services des ESN représentent près de 50 % du marché. Cette structure impose un pilotage rigoureux de la chaîne, car la qualité de service dépend autant de vos équipes que de vos partenaires.

En outillant la relation, en documentant les preuves, en auditant sans rupture et en alignant les indicateurs sur les usages, la DSI peut ainsi transformer l’infogérance en levier de résilience et de création de valeur.

ARTICLES LIÉS