Sous‑traitants, freelances, ESN : le trou noir de votre sécurité des données

On parle beaucoup de cyberattaques sophistiquées, très peu des sous‑traitants, freelances et ESN qui manipulent vos données au quotidien. Pourtant, c'est souvent là que se nichent les plus belles fuites de données, dans un angle mort juridique et technique que votre sécurité informatique couvre mal.

Externalisation massive, contrôle minimal : un cocktail explosif

En France, la plupart des PME et ETI fonctionnent désormais avec un écosystème de prestataires : développement, maintenance, marketing, support, paie, comptabilité, parfois même une DSI externalisée. Chacun de ces acteurs a un pied dans votre système d'information, parfois plusieurs.

Les scandales récents impliquant des hébergeurs ou des prestataires de santé l'ont montré : une faille chez un sous‑traitant peut avoir des conséquences désastreuses pour le donneur d'ordre, y compris sur le terrain du RGPD. Pourtant, dans de nombreuses entreprises, la sélection des prestataires tient plus du ressenti que de l'analyse de risque.

Le résultat est une situation absurde : on durcit les mots de passe internes et on laisse un intégrateur externe repartir avec un dump complet de la base clients sur son ordinateur portable personnel. Et tout le monde trouve cela normal.

Ce que le RGPD vous impose réellement sur vos sous‑traitants

Le RGPD n'est pas seulement une affaire de mentions légales sur votre site. Dès qu'un prestataire traite des données personnelles pour votre compte, il devient un sous‑traitant au sens du règlement, et vous restez responsable du choix de ce sous‑traitant et des garanties qu'il apporte.

Les obligations trop souvent ignorées

• Contrat de sous‑traitance conforme à l'article 28 du RGPD.
• Instructions écrites sur les finalités et les moyens du traitement.
• Vérification des mesures de sécurité mises en oeuvre par le sous‑traitant.
• Encadrement strict du recours à d'éventuels sous‑traitants ultérieurs.

La CNIL rappelle régulièrement ces exigences, mais elles restent étonnamment peu appliquées en dehors des très grands groupes. Pourtant, lors d'un contrôle ou d'une notification de violation de données, la question "qui avait accès, chez qui et avec quelles garanties ?" revient immanquablement.

Cartographier votre écosystème de prestataires

Première étape, souvent brutale : lister tous ceux qui manipulent vos données au sens large. Pas seulement l'ESN qui gère votre ERP, mais aussi :

• L'agence marketing qui accède à votre CRM.
• Le cabinet de paie qui traite les données RH.
• Le prestataire de maintenance qui se connecte à distance à vos serveurs.
• Les freelances qui interviennent ponctuellement sur des projets sensibles.

Ce travail peut s'intégrer à un audit de 1er niveau : on ne se contente pas de regarder l'intérieur du système, on suit les flux là où ils sortent réellement, contrats et VPN compris.

Pour chaque prestataire, répondre à quelques questions simples

1. Quelles données traite‑t-il exactement (catégories, volumes, sensibilité) ?
2. Depuis quels lieux et quels équipements y accède‑t-il ?
3. Quels contrôles techniques sont en place sur ces accès ?
4. Quel niveau de traçabilité avez‑vous sur ces interventions ?

Des réponses honnêtes à ces questions suffisent souvent à identifier deux ou trois bombes à retardement dans n'importe quelle entreprise un minimum structurée.

Freelances et petites structures : les plus vulnérables, donc les plus risqués

Les indépendants et les petites sociétés, en particulier dans le développement, le design ou le conseil, n'ont pas toujours les moyens, ni parfois la culture, de mettre en place des mesures de sécurité robustes. Pourtant, ce sont eux qui se retrouvent avec des copies locales de vos fichiers les plus sensibles.

Le mythe du "petit risque"

On entend encore trop souvent : "Ce n'est qu'un freelance, il n'a accès qu'à un dossier." Sauf que ce dossier est parfois un export CRM complet, un plan de réseau ou les spécifications fonctionnelles détaillées d'un futur produit.

Dans un cas d'accompagnement récent, une PME industrielle d'Ile‑de‑France a découvert qu'un développeur freelance conservait sur son poste personnel des archives de plusieurs années de projets clients, sans chiffrement ni sauvegarde correcte. Un cambriolage à son domicile aurait suffi à provoquer une fuite massive, totalement hors du radar de l'entreprise.

Mettre de l'ordre : contrats, accès, outils

Il n'est pas question de traiter vos partenaires comme des adversaires, mais de sortir de la naïveté. La confiance n'exclut pas le contrôle ; au contraire, elle le suppose.

Des contrats qui disent vraiment quelque chose

Reprendre systématiquement les contrats avec les prestataires qui accèdent à des données sensibles, en veillant à :

• Définir précisément les données concernées.
• Encadrer les conditions d'accès (lieux, équipements, horaires).
• Prévoir l'effacement ou la restitution des données en fin de mission.
• Imposer des obligations minimales de sécurité technique.

Ces éléments ne sont pas une lubie de juriste : ils vous protègent aussi en cas de contentieux ou de contrôle, et posent un cadre clair à la relation.

Limiter et journaliser les accès techniques

Sur le plan technique, la logique est la même qu'en interne, mais elle est rarement appliquée :

1. Chaque prestataire dispose de comptes nominatifs, distincts des comptes internes.
2. Les droits sont strictement limités aux projets et environnements nécessaires.
3. Les connexions distantes sont chiffrées, tracées et idéalement supervisées.

Les solutions de prévention de fuite de données peuvent ici jouer un rôle important : empêcher certains types de fichiers de quitter l'entreprise, même via un compte externe légitime, ou tracer ces sorties pour pouvoir les auditer.

Storytelling : l'ESN qui en savait beaucoup trop

Une ETI de services a confié la refonte de son SI à une grande ESN bien connue. Contrats signés, SLA, réunions : tout était carré sur le papier. Mais personne n'a réellement regardé comment cela se traduisait côté accès.

Lors d'un audit, il est apparu que plusieurs consultants externes disposaient de droits d'administrateur sur l'ensemble des environnements, y compris de production, et pouvaient techniquement :

• Consulter les bases de données complètes.
• Extraire des historiques de connexions.
• Créer de nouveaux comptes sans validation interne.

Aucun procès d'intention ici : la plupart faisaient simplement leur travail. Mais en termes de maîtrise du risque, c'était un aveu d'impuissance. La société a alors revu son modèle, restreint les droits, mis en place des solutions de traçabilité et d'alerte, et clarifié contractuellement ce qui était acceptable ou non.

Par où commencer sans déclarer la guerre à vos prestataires ?

Il est tout à fait possible de sécuriser la relation avec vos partenaires sans la transformer en champ de mines.

Trois actions réalistes dans les trois prochains mois

• Cartographier vos prestataires critiques et prioriser ceux qui accèdent aux données clients ou RH.
• Organiser un point dédié avec chacun pour aborder explicitement la sécurité des données.
• Planifier un audit gratuit de 1er niveau en incluant ces partenaires dans le périmètre.

L'enjeu n'est pas de faire de jolies présentations, mais de réduire effectivement les chemins possibles de fuite de données. Cela suppose parfois de changer de prestataire ou de hausser votre niveau d'exigence. Ce n'est pas confortable, mais c'est précisément ce que l'on attend aujourd'hui d'une direction d'entreprise responsable.

Infosophie accompagne ce type de démarche, avec une vision très terrain des flux réels, bien loin des schémas trop parfaits. Parce que l'essentiel ne se passe pas dans les procédures, mais dans les connexions qui, au quotidien, lient votre système d'information à ceux des autres.