RGPD: Audit des sous-traitant

De nombreuses organisations font appel à des sous-traitants afin de déléguer des traitements sur leurs données et leur système d’information. S’ils ne sont pas contrôlés efficacement, ces tiers peuvent engendrer, par négligence ou de manière involontaire, des risques pour l’entreprise clients finaux.

D’abord réservée aux services support d’une entreprise, l’externalisation s’effectue aujourd’hui sur les
domaines les plus stratégiques de l’entreprise, voire sur des pans entiers de leurs métiers. Or, faire réaliser une action stratégique par un sous-traitant pour un client n’est pas sans risque.
La norme ISO 37500:2014, qui encadre les « Lignes directrices relatives à l’externalisation », tente d’identifier les risques d’un point de vue de la stratégie d’entreprise même si elle ne traite malheureusement pas des risques liés à la sécurité de l’information. Néanmoins, depuis plusieurs années, différents incidents ont permis d’identifier à quel point les sous-traitants pouvaient être à l’origine d’incidents de sécurité : fuite d’informations, compromission du système d’information ou encore accès à des informations confidentielles, sont autant de risques pour les clients.
Ces risques doivent être pris en compte par toute entreprise, qui devra s’assurer que le partenaire
sélectionné a bien compris les enjeux liés à ce mode de fonctionnement.

1.0 LA MISE EN ŒUVRE DES AUDITS
À l’instar d’un audit classique, lorsque le contrat le prévoit, il est possible de réaliser un audit de sous traitant. Ce dernier est alors contacté, généralement par son client qui mandate l’audit et qui a toute la
légitimité contractuelle de mener cette action. La société d’audit peut ensuite présenter au sous-traitant sa mission et son planning. Lorsque cela n’est pas prévu au contrat, le client peut négocier la tenue d’un audit avec son sous-traitant, au risque que ce dernier soit refusé.
Dans cet article, nous allons plutôt nous focaliser sur les audits de sous-traitants sous la forme de programme d’audit global : une entreprise souhaitant faire auditer l’ensemble de ses sous-traitants. Ce
type de contrat d’audit, également appelé « contratcadre d’audit », permet d’auditer un grand nombre de sous-traitants selon des modalités prédéfinies et planifiées, permettant au client d’avoir un suivi dans
le temps des risques engendrés par ses sous-traitants.

1.1 L’identification des périmètres et des contrôles
Lors de cette phase, parfois appelée « analyse des enjeux », le périmètre et les modalités d’audit pour
chacun des sous-traitants sont définis. Dans certains cas, une analyse des risques a déjà été réalisée et les clients ont déjà défini certains points de contrôles stratégiques pour le métier soustraité. Les auditeurs pourront donc avoir un regard externe sur les contrôles et, le cas échéant, faire des propositions d’améliorations. Dans le cas contraire, la réalisation d’une analyse de risque rapide devra être effectuée, afin de déterminer une priorisation des audits ainsi que les contrôles vitaux qui devront
être réalisés.
L’objectif de cette phase est de prendre en compte le contexte de la sous-traitance au regard des risques,
afin de limiter certains domaines d’audit, qui ne s’appliqueront pas selon le type d’activité sous-traitée. Par exemple, le fait d’externaliser l’impression des courriers clients ou le support informatique des utilisateurs n’induit pas les mêmes risques métier et devront donc être audités de façons différentes.

1.2 La planification des audits
Si elle n’est pas adressée sous la forme d’une gestion des risques classique, la question de l’ordonnancement des audits pourra se poser. La question peut paraître difficile de prime abord, mais généralement à l’issue de la phase d’identification des périmètres et des contrôles (phase précédente), le client et les auditeurs auront une bonne visibilité des risques liés à chaque sous-traitant. Ils pourront alors définir un calendrier de réalisation. L’étape finale consistera à planifier les audits avec les différents sous-traitants.

1.3 Les comités de suivi
Différents comités peuvent intervenir durant le programme d’audit afin de suivre la sécurité des sous-traitants. L’objectif est de contrôler un certain nombre de sous-traitants selon un calendrier défini,
puis de faire des points réguliers, généralement sous la forme d’un « comité de pilotage sécurité » avec le
client et ses équipes métiers. Les comités de suivi permettent de suivre l’avancement des audits, de discuter d’éventuels blocages, de faire le point sur les livrables, de faire la synthèse des non-conformités des sous-traitants audités depuis le dernier comité et de faire le suivi de l’application des recommandations des auditeurs chez les sous-traitants.

2. LES AUDITS
L’audit d’un sous-traitant peut être réalisé selon différentes modalités. Bien souvent elles sont liées
aux relations entretenues entre le client et son sous-traitant. Globalement, plus un client entretient une
étroite communication avec son sous-traitant, plus il sera aisé de réaliser un audit en profondeur. Le périmètre peut s’étendre d’un simple audit déclaratif (sur un ou deux jours) à un audit complet com
prenant une revue contractuelle, des audits organisationnels, d’architecture et physiques sur le site de
réalisation de la sous-traitance (d’une quinzaine de jours en moyenne).

2.1 La revue contractuelle
La revue contractuelle a deux objectifs : évaluer comment les risques ont été adressés au travers des
engagements contractuels entre le client et son sous-traitant, et également comment se déroule la vie du
contrat dans le cadre des services délivrés (revues périodiques, comités de pilotages, renouvellement…).
Le principe de cette analyse est de valider la présence dans les contrats d’un certain nombre de clauses spécifiques liées aux engagements du prestataire sur la sécurité. Les clauses à vérifier peuvent,
par exemple, être :
Obligations du prestataire : par son métier, le sous-traitant est souvent un expert du domaine sous
traité, il n’est pas rare qu’il puisse être consulté par le client lors de choix stratégiques qui portent sur
le métier réalisé (obligation de conseil, de mise en garde, de recommandations…).
Couverture des risques : sont identifiés dans ce chapitre les risques identifiés dans le cadre de cette
sous-traitance, ainsi que les moyens de traitements des risques mis à disposition par le client et le sous-traitant.
Clause de sous-traitance : certains sous-traitants font eux-mêmes appel à des sous-traitants. Il s’agit dans ce cas de « sous-traitance de sous-traitance », également appelée « cascade de sous-traitance ». Dans ce cas, ces liens doivent être précisés contractuellement afin que le client final ait connaissance du schéma
de sous-traitance global, notamment en précisant les différentes responsabilités qui incombent à chacun.
Confidentialité des données : dans ce chapitre sont indiquées par le client les clauses qu’il considère comme minimales au regard de la confidentialité des données. Si avant 2018, ces clauses étaient des déclinaisons de clauses internes ou spécifiques au métier réalisé par le sous-traitant, elles tendent
maintenant à être alignées sur le Règlement Général sur la Protection des Données (RGDP).
Localisation des données : la localisation des données fait partie des clauses qui tentent de limiter
la dissémination des informations du client. De nos jours avec les différentes solutions cloud existantes,
un sous-traitant peut se retrouver dans l’incapacité de garantir la localisation des données externalisées. Pour certains types de données, cette situation peut présenter un risque de fuite d’information.
Auditabilité: cette clause concerne le fait que le sous-traitant peut être audité par son client ou un représentant de ce dernier. Bien souvent les modalités d’audits (fréquences, topologies, logistique…)
sont décrites dans ce chapitre.
Réversibilité : les possibilités, à l’issue du contrat, pour un client de récupérer les données confiées à un tiers ou d’en reprendre l’exploitation, doivent être détaillées (par exemple, en cas de réinternalisation du métier ou lors de la reprise du service par un autre sous-traitant).
Résiliation : en cas de manquement à certaines obligations, notamment les clauses de sécurité,le client doit avoir la possibilité de résilier le contrat, s’il estime qu’il encoure un trop grand risque pour
ses données.
Comité de suivi : ce chapitre concerne la contractualisation des diffé­rents comités assurant le suivi de la prestation. La fréquence de réalisation et les livrables associés peuvent ainsi être définis contractuellement.
Les contrôles de sécurité : ces clauses sont souvent annexées au contrat, souvent sous la forme d’un document appelé Plan d’Assurance Sécurité (PAS). Cette analyse est souvent réalisée en partenariat avec un cabinet juridique afin de vérifier que les chapitres ont correctement été rédigés et protègent suffisamment le client.

2.2 Les contrôles de sécurité
Les contrôles de sécurité sont généralement établis sur des référentiels de sécurité tels que la norme ISO/IEC 27001, son guide 27002 ou les normes spécifiques qui y sont liées, les conseils de l’ANSSI dans son référentiel de gestion de la sous-traitance, du CLUSIF ou encore de la CNIL. Mais ils peuvent également être issus de guides internes du client en matière de gestion des prestataires.
La profondeur de l’audit est également importante et doit être adaptée au contexte. Par exemple, un prestataire d’externalisation des bandes de sauvegarde se verra notamment poser des questions relatives à tous les aspects de sécurité des ressources humaines et de sécurité physique.
En revanche, un sous-traitant réalisant une prestation de statistiques commerciales sera plutôt questionné sur la sécurisation des environnements hébergeant les données du client.

2.3 Les évaluations déclaratives
Ce type d’évaluations, qu’il est difficile d’appeler « audit », se base sur la confiance installée entre le client et son sous-traitant. Souvent réalisé sous la forme d’un questionnaire de sécurité à remplir par le responsable de la prestation, il permet au client de prendre connaissance du niveau de sécurité de son sous-traitant sans rentrer dans une démarche d’audit complet, souvent coûteux et plus compliqué à mettre en place.
Ces évaluations sont bien souvent réalisées à distance, par l’envoi d’un questionnaire, et permettent donc une gestion du projet d’audit beaucoup plus souple que les autres modalités d’audit. Les auditeurs réceptionnent le questionnaire du sous-traitant, analysent les réponses et tentent une analyse objective de la sécurité du sous-traitant, au regard de la qualité des réponses fournies et des preuves jointes en
annexes. Ils rédigeront ensuite un livrable d’audit résumant leur analyse. Cette méthode reste néanmoins moins fiable que les audits sur site.
Le sous-traitant étant libre de remonter les informations qui sont à son avantage, il peut tout à fait omettre les points de sécurité sur lesquels il n’est pas à l’aise, donnant alors une visibilité partielle de son
état de sécurité. À ce titre, il est conseillé de valider régulièrement ce type d’audit par un audit sur site afin de confronter le sous-traitant à ses déclarations.

3. LES AUDITS SUR SITE
Il s’agit d’une vérification sur le site de la prestation sous-traitée, afin de vérifier que ce qui a été contractualisé est bien en place.
3.1 Entretiens avec les équipes du sous-traitant
L’objectif de ces entretiens est d’analyser la prise
en compte de la sécurité, notamment les procédures qui peuvent entrer dans le cadre du contrat de sous
traitance. Cette revue couvre le système d’information du sous-traitant, le personnel et les procédures vis-à-vis du service sous-traité par le client afin d’en identifier les dysfonctionnements potentiels. Les thèmes
abordés dans le cadre de ce type de revue sont directement issus du référentiel choisi par le client et
préalablement agréé avec l’audité.
Dans la majeure partie des cas, on retrouvera les chapitres communs au management de la sécurité
de l’information. Il ne s’agit pas de tests techniques, mais plutôt d’un ensemble d’entretiens avec les
équipes projet et technique comprenant un jeu de questions-réponses visant à saisir la gouvernance
de la sécurité.
3.2 Revue physique des locaux du soustraitant
La phase de revue physique correspond à l’évaluation des dispositifs de contrôles qui sont en place au sein des locaux du prestataire de service dans le cadre des services sous-traités.
D’un point de vue métier, les auditeurs se verront présenter un cas « exemple » de la prestation, qui permet aux auditeurs de comprendre les différentes interactions que pourront avoir les équipes
du sous-traitant. D’un point de vue contrôles, les auditeurs en profiteront pour réaliser une série de contrôles physiques, basés sur les bonnes pratiques et normes en vigueur sur le sujet.
La visite des locaux peut permettre également de tester certaines protections présentées lors de la
phase d’entretiens précédente, afin d’attester de leur efficacité. Par exemple, si un sous-traitant déclare que le système d’information du client n’est accessible que depuis une zone particulière (le plus souvent un
bureau dédié à la prestation), les auditeurs pourront demander à tester les accès à l’infrastructure cliente
depuis un poste utilisateur situé hors de cette zone.
3.3 Restitution à chaud
À l’issue des phases précédentes, les auditeurs proposeront une restitution « à chaud » des résultats. L’objectif est que le sous-traitant soit préalablement informé des remontées que feront les auditeurs dans le livrable à destination du client.
3.4 Les tests d’intrusion
De par le métier spécifique de certains sous-traitants, il peut être intéressant de faire réaliser en complément d’autres types d’audit, des tests d’intrusion sur les infrastructures opérées par le sous-traitant pour le client. Cela concerne généralement ceux qui réalisent des développements ou des tierces maintenances (applicatives ou matérielles).
3.5 Tests d’intrusion externes
L’objectif pour les auditeurs va être de tester les infrastructures contenant des informations du client et mises à disposition par le sous-traitant généralement sur Internet.
Cela peut concerner des portails d’accès client, comme des extranets, ou encore des sites servant pour le suivi opérationnel de la prestation. Si tous ces développements se retrouvent sur Internet sans sécurisation particulière, ce sont les informations clientes qu’elles contiennent qui seraient directe
ment impactées. La démarche est ici celle d’un test d’intrusion externe classique, avec un focus particulier sur la confidentialité des données.
3.6 Tests d’intrusion internes
L’environnement interne dédié à la sous-traitance pourra également être testé. C’est particulièrement intéressant dans le cas où un sous-traitant opère pour le compte de plusieurs clients des services et environnements qui se doivent d’être cloisonnés les uns des autres au sein des mêmes locaux de prestations. En effet, bien souvent le fait d’utiliser des environnements séparés pour un sous-traitant est onéreux et va à l’encontre de ses méthodes d’optimisation financière propre à la prestation. Les sous-traitants vont donc trouver différentes techniques afin de tenter de respecter les contraintes imposées par le client sans avoir à recréer des environnements pour chaque client.
Là encore la démarche est celle d’un test d’intrusion interne standard, le périmètre audité étant cantonné
aux infrastructures dédiées à la prestation : réseaux, postes de travail serveurs, équipement partagé… et non la totalité du système d’information du sous-traitant.
3.7 Restitutions résultats
À l’issue de l’ensemble des phases d’audit sélectionnées pour un sous-traitant donné, les auditeurs réaliseront un livrable global retraçant les différentes phases de l’audit. L’objectif final pour le client est d’avoir une vision de la sécurité du sous-traitant et de répondre à la question : le prestataire permet-il la réalisation de la sous-traitance dans des conditions de sécurité suffisantes ?

4. LES LIMITES DE L’EXERCICE
4.1 Les compétences nécessaires
Plusieurs difficultés peuvent apparaître dans ce type de mission. Dans un premier temps, il est relativement difficile de trouver des auditeurs aussi à l’aise en audit organisationnel qu’en audit technique.
Cela est encore plus vrai si l’on prend en compte les spécificités liées au domaine d’activité du sous-traitant, qui sont parfois dans des activités de niche.
Identifier un unique profil compétent avec tous ces critères relève donc de l’exploit. De plus, malgré une planification des mois à l’avance, les audits sur site sont réalisés sur des durées souvent très courtes, devenant ainsi consommateurs d’énergie pour les auditeurs. Lors de la visite sur site, il faut aux auditeurs : organiser la réunion d’initialisation de la journée d’audit, présenter les modalités de l’audit, suivre le questionnaire d’audit dédié au contexte du sous-traitant, analyser les réponses des sous-traitants, tout en vérifiant les preuves présentées sur place. Pour tenter de répondre à ces deux problématiques, les équipes d’audits réalisent donc les audits sur site avec deux auditeurs. Même si l’engagement financier peut sembler supérieur, l’intérêt est de mixer les profils afin d’être le plus efficace possible lors des prises de notes et des analyses.
4.2 La charge des audits
Du côté de l’auditeur, le nombre de jours alloués à l’audit définit de facto la profondeur des audits qui pourront être réalisés par ces derniers. Il est donc important d’ajuster le type d’audit au regard des risques préalablement identifiés chez un sous-traitant donné. Du côté du client, bien que les audits soient réalisés
dans un temps limité, leur nombre est à multiplier par le nombre de sous-traitants, augmentant la facture totale. Ils auront donc naturellement tendance à limiter le type d’audit en les remplaçant par les
contrôles les plus sommaires.
Côté audités, les sous-traitants sont régulièrement mécontents de devoir consacrer un temps non négligeable à ce processus d’audit, pour répondre aux questionnaires de sécurité des clients (bien souvent
différents) et de devoir accueillir les auditeurs pour les visites sur site des différents contrats de prestations. À cela s’ajoutent le temps et les coups financiers liés à l’application des recommandations alors que les contrats de prestation négociés avec les clients sont très souvent ajustésau minimum avec un ratio de service à la limite de la rentabilité pour ces derniers. Rajouter plusieurs jours pour gérer des problématiques de sécurité n’a, pour la plupart, malheureusement pas été anticipé.
4.3 Les conflits d’intérêts
De par son contrat d’audit, l’auditeur est également sous-traitant et est donc assujetti aux mêmes obligations que n’importe quel autre sous-traitant du client. Attention donc aux conflits d’intérêts qui pourraient survenir de cette position. En effet, de par son métier, l’auditeur possède de nombreuses informations confidentielles sur le client et ses sous-traitants (contrats, informations financières, schémas de sous-traitance, vulnérabilités du sous-traitant et du client…) et se doit de respecter les accords contractualisés. Lorsque le planning d’audit et les noms des auditeurs sont communiqués à l’audité, ce dernier est en droit de récuser un auditeur en fournissant des arguments pour justifier son souhait.
3.4 Sous-traitance de sous-traitance
La « sous-traitance de sous-traitance » parfois appelée « sous-traitance de second rang » doit également être vérifiée lors des contrôles. En effet, même dans le cas où un sous-traitant serait conforme aux
exigences de sécurité imposées par son client, s’il fait appel au service d’un autre sous-traitant, ce dernier pourrait ne pas les respecter. Le client se retrouverait alors dans une situation à risque.

CONCLUSION
Qu’il soit initié sous couvert de réglementation ou bien suite à un renforcement de la gestion du risque de l’entreprise, il est essentiel de donner de l’importance au sujet. Si, au sein de l’entreprise, aucune démarche n’a pour l’heure été initiée, il est conseillé d’y aller pas à pas.
Dans un premier temps, il est possible de commencer par revoir les contrats entre le service juridique de l’entreprise et le sous-traitant. L’idée est de contrôler les clauses manquantes et d’y annexer les contraintes de sécurité qui seront applicables au renouvellement du contrat. Cela laisse également le temps aux sous-traitants de se préparer à ces nouvelles clauses, qui, pour certaines, vont potentiellement remettre en cause les manières de fonctionner. Ensuite, et afin d’y aller par étape, une proposition peut être de commencer par réaliser des audits sous forme déclarative. En effet, ce mode d’audit a l’avantage d’amener le sujet chez les sous-traitants de manière moins brutale qu’un audit sur site.
Puis, lorsque les premiers résultats des audits déclaratifs auront pu être analysés, des visites sur sites pourront être planifiées, parfois plusieurs mois à l’avance, afin que les sous-traitants puissent être conscients des délais de mise en conformité.
Enfin, il faudra également veiller à ne pas tomber dans le cercle vicieux de la réduction des coûts.
Souvent initiée par le service achat d’une entreprise, cette réduction des coûts va dans bien des situations, à l’encontre des demandes de sécurité initiées par le client.