Introduction
La cybersécurité est largement connue dans le monde de l’entreprise, mais l’attention se porte de plus en plus sur la cyber résilience vs cybersécurité et sur la distinction entre ces deux notions. Pour les équipes juridiques et les responsables de la gouvernance qui traitent des informations hautement sensibles et confidentielles, la cybersécurité est non négociable. Même sans être directement responsables de la mise en œuvre des mesures de sécurité, ils comprennent parfaitement les risques associés à un faible niveau de cyber résilience.
Aujourd’hui, la résilience est devenue une promesse générique sur le marché. Les fournisseurs affirment être sécurisés et se positionnent comme le socle d’une stratégie solide de cyber résilience. Cependant, la véritable question pour les équipes dirigeantes et les professionnels du droit est de savoir si ces affirmations tiennent. Cela se vérifie lorsque survient une perturbation.
Pour dépasser le discours marketing, la première étape consiste à comprendre la cyber résilience vs cybersécurité. Ensuite, les équipes juridiques, conformité et autres parties prenantes doivent exiger des réponses claires à une liste restreinte de questions avant de sélectionner tout prestataire amené à traiter des données sensibles de l’entreprise.
Cyber résilience vs cybersécurité
La cybersécurité est traditionnellement envisagée sous l’angle de la prévention : il s’agit de bloquer les incidents afin de réduire l’exposition aux risques. Par ailleurs, la cyber résilience désigne la capacité d’une organisation non seulement à prévenir les attaques. Mais elle implique aussi de réagir rapidement. En outre, elle vise aussi à maintenir ses opérations en cas de circonstances défavorables.
Cyber résilience et cybersécurité ne s’opposent pas réellement. Elles abordent les menaces cyber sous des angles différents. D’ailleurs, Gartner prévoit que d’ici 2028, la moitié des RSSI renommeront officiellement leurs programmes de cybersécurité en programmes de cyber résilience.
Pourquoi ? Parce que la cybersécurité seule ne suffit plus. Les incidents disruptifs sont inévitables, en particulier à mesure que les outils alimentés par l’IA s’intègrent dans les usages quotidiens. Ce qui compte désormais, c’est la préparation et la capacité de reprise. En outre, la cyber résilience adopte une vision plus large : elle vise à minimiser l’impact sur les objectifs business et à assurer la continuité d’activité. Elle ne vise pas uniquement à protéger les systèmes contre les incidents.
Ce changement explique également le bruit marketing croissant autour du concept et l’effet de mode qui peut l’accompagner. Pour les fonctions de gouvernance et les équipes juridiques, l’enjeu est direct : en cas de perturbation, l’organisation doit être en mesure de démontrer qu’elle a pris des décisions défendables. De plus, elle doit prouver qu’elle a respecté ses obligations réglementaires. Elle doit aussi avoir maintenu une chaîne de responsabilité claire. Elle doit également avoir géré ses tiers de manière rigoureuse.
5 questions à poser à votre prestataire
Afin de s’assurer qu’un prestataire ne se limite pas au strict minimum en matière de cybersécurité, raisonner en termes de cyber résilience vs cybersécurité peut être utile. Plusieurs questions peuvent guider les équipes dirigeantes. Cela est particulièrement crucial lors du choix d’une solution de legaltech. Qu’il s’agisse d’un outil de gestion des contrats (CLM), de gestion des entités ou d’une solution de gouvernance intégrée, ces questions constituent un socle d’analyse essentiel.
1. Êtes-vous certifié par un organisme indépendant et pouvez-vous en apporter la preuve ?
Il existe des exigences de conformité obligatoires et non obligatoires pour les éditeurs technologiques, et dans la legaltech, même les certifications non obligatoires ont leur importance. Tout fournisseur peut affirmer suivre les bonnes pratiques et mettre en avant des certifications. C’est un premier niveau rassurant. En effet, les certifications démontrent que les pratiques sont auditées et maintenues. Mais la vraie question est le niveau d’engagement réel du fournisseur.
Pour de nombreux prestataires legaltech, la certification SOC 2 est devenue incontournable. Elle vient compléter la norme ISO 27001 et est délivrée par des auditeurs externes. Pour obtenir la certification SOC 2, les systèmes du fournisseur doivent répondre à des standards définis en matière de sécurité, disponibilité, intégrité des traitements, confidentialité et protection de la vie privée.
À demander :
- L’ensemble des certifications actuelles en management de la sécurité de l’information (ISO 27001 et ISO 27701)
- Les rapports SOC 2 établis par des auditeurs indépendants, démontrant le contrôle opérationnel dans la durée
Les éditeurs legaltech présentent généralement leurs certifications sur une page dédiée. Par exemple, la suite DiliTrust affiche des certifications alignées sur ces standards et précise que sa politique de sécurité est validée par des certifications ISO et un rapport SOC 2.
2. Où les données sont-elles hébergées et quelles juridictions s’appliquent ?
Les équipes juridiques et de gouvernance connaissent l’importance stratégique de l’hébergement des données. En effet, tous les clients n’ont pas les mêmes exigences, et la localisation des données a des implications directes en matière de conformité réglementaire et de souveraineté.
Un fournisseur legaltech crédible doit expliquer clairement son modèle d’hébergement, les mesures de sécurité physique mises en place et la manière dont les dépendances transfrontalières sont gérées. Pour des solutions telles que la gestion des contrats ou la gestion des conseils d’administration, il est généralement préférable de travailler avec des prestataires disposant de serveurs répartis dans plusieurs régions. Il vaut mieux cela plutôt que de centraliser l’ensemble dans un seul pays.
À demander :
- Les options de résidence des données par région, lorsqu’elles existent
- La liste des sous-traitants (subprocessors) et la transparence sur les fournisseurs d’hébergement
- Des engagements écrits sur la juridiction applicable, le périmètre et les restrictions d’accès
À titre d’exemple, la suite DiliTrust s’engage en faveur d’un hébergement local et d’une surveillance continue pour prévenir les accès non autorisés. Ses serveurs sont situés dans différentes régions afin de répondre aux besoins de ses clients, notamment en Arabie Saoudite et aux Émirats arabes unis.
3. Appliquez-vous un modèle de « zero access » et comment est-il mis en œuvre ?
L’accès des équipes internes du fournisseur aux données clients est l’un des facteurs de risque les plus sous-estimés. L’hébergement et les certifications sont souvent considérés comme les fondations visibles de la cyber résilience, mais les contrôles d’accès internes peuvent dissimuler les failles les plus critiques.
Une posture de sécurité robuste suppose un modèle strict de gouvernance des accès, idéalement aligné sur un principe de « zero access ». Ce principe, à ne pas confondre avec le Zero Trust ou le Zero Trust Network Access, signifie que le prestataire ne dispose pas d’un accès interne par défaut aux données clients. Les données restent sous le contrôle exclusif du client, tout accès éventuel étant soumis à des procédures d’exception strictement encadrées et documentées.
À demander :
- Une présentation de la politique de contrôle des accès
- Les mécanismes de journalisation et d’audit des accès administrateurs
- Des preuves de revues périodiques des droits d’accès et de gestion des privilèges
