PolySécure Podcast

Parce que… c’est l’épisode 0x698!

Shameless plug

29 janvier 2026 - The Coming AI Hackers

25 et 26 février 2026 - SéQCure 2026

CfP




31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

Description

Introduction

Dans cet épisode, David Bizeul et Nicolas explorent l’interopérabilité entre composants de sécurité et présentent le projet Open XDR Architecture (OXA). La discussion met en lumière les défis de l’approche “best of breed” face à la plateformisation du marché de la cybersécurité, ainsi que les solutions innovantes pour favoriser l’interopérabilité.

L’approche best of breed et ses défis

David Bizeul se définit comme un fervent défenseur de l’approche best of breed, qui consiste à sélectionner la meilleure solution pour chaque problème spécifique en cybersécurité. Cette philosophie s’inscrit dans l’ADN de Sekoia, où l’ouverture et l’interopérabilité constituent des valeurs fondamentales. Cependant, cette approche se heurte à une réalité complexe : bien qu’un produit puisse être excellent dans son domaine, il ne représente qu’une lettre dans l’alphabet complet d’un workflow de cybersécurité.

Le principal défi réside dans la compétition avec les grandes plateformes intégrées. Ces acteurs, principalement américains, ont pu racheter la concurrence pour des centaines de millions ou des milliards de dollars, créant des offres complètes de A à Z. Face à cette concentration, les éditeurs spécialisés doivent trouver des moyens alternatifs de créer de la valeur pour leurs clients sans disposer des mêmes ressources financières.

Le projet Open XDR Architecture (OXA)

Pour répondre à ces enjeux, trois sociétés françaises - Sekoia, Arfanglab et Glims - ont collaboré pour créer OXA. Sekoia propose une plateforme SOC, Arfanglab une solution EDR, et Glims une solution d’analyse de malware. Ensemble, ils ont développé une architecture ouverte permettant de faire du XDR (Extended Detection and Response) en favorisant l’interopérabilité entre différentes solutions technologiques de qualité.

L’objectif d’OXA est de se positionner face aux acteurs plateformisants, non pas en suivant leur modèle d’acquisition agressive, mais en promouvant les standards, l’interopérabilité et des formats de données ouverts. Cette approche vise à faciliter les workflows entre différents composants de sécurité.

Les différentes couches d’OXA

Formats de données

La première couche concerne les formats de données générés et consommés par les différentes solutions. Historiquement, le marché souffrait d’une prolifération de formats propriétaires, rendant l’intégration extrêmement complexe. OXA s’appuie sur des standards existants comme OCSF (Open Cyber Security Framework), qui définit un cadre pour les différents types de produits et leurs champs de données pertinents. L’objectif n’est pas de réinventer la roue, mais de promouvoir ce qui existe déjà et fonctionne bien.

Spécifications d’API

La deuxième couche aborde l’automatisation et la communication entre produits. Contrairement aux formats de données, il n’existe pas sur le marché de spécification d’API standardisée pour la cybersécurité. Chaque éditeur développe ses propres API propriétaires pour communiquer avec les EDR, firewalls ou SIEM. OXA propose une spécification d’API définissant comment les composants de sécurité devraient interagir : comment suspendre un processus sur un EDR, comment ajouter une règle de détection dans un SIEM, etc.

Cette standardisation permet de gagner énormément de temps d’ingénierie. Au lieu de passer trois jours d’intégration pour chaque nouveau produit, multiplié par cent produits (soit 300 jours de travail), une API standardisée permettrait de minimiser drastiquement ces délais d’intégration, bénéficiant à l’ensemble de la communauté.

Distribution de Threat Intelligence

La troisième couche concerne la dissémination de la Threat Intelligence. L’idée est qu’un client ayant déjà payé pour une source de Threat Intelligence devrait pouvoir la distribuer à tous ses produits de sécurité, et non seulement à quelques-uns. Cela permet d’agir plus rapidement, plus près de la menace, en diffusant l’information directement aux équipements réseau ou endpoints avant même que les alertes n’arrivent au SIEM.

L’analogie médicale et la spécialisation

Nicolas établit une analogie pertinente avec la médecine pour illustrer l’évolution de la cybersécurité. Il y a 15 ans, le domaine était relativement limité et rudimentaire, comparable à la médecine générale d’il y a un siècle. Aujourd’hui, comme en médecine où personne n’accepterait qu’un généraliste pratique une neurochirurgie, la cybersécurité nécessite des spécialistes. La plateformisation ne fait plus sens dans un contexte où chaque domaine requiert une expertise pointue.

Cette spécialisation se reflète également au niveau des professionnels et des entreprises. Il est désormais impossible pour une personne de maîtriser tous les aspects de la cybersécurité, tout comme une entreprise ne peut exceller dans tous les domaines simultanément.

Vision future et Cyber Security Mesh Architecture

David Bizeul établit un parallèle intéressant entre OXA et le concept de Cyber Security Mesh Architecture (CSMA) proposé par Gartner. Le CSMA représente une vision du marché où la cybersécurité est pensée comme un ensemble de composants travaillant en chaîne. OXA constitue une manière d’opérationnaliser cette vision, offrant aux clients la possibilité de choisir les meilleurs produits pour leur contexte spécifique tout en garantissant leur interopérabilité.

Le projet intègre également un système de labels (bronze, silver, gold) permettant aux éditeurs de s’autodéclarer compatibles avec différents niveaux d’interopérabilité OXA. L’objectif est d’encourager les clients à favoriser l’interopérabilité plutôt que la plateformisation dans leurs appels d’offres et budgets.

Avantages pour l’innovation

Un aspect particulièrement intéressant d’OXA est son potentiel pour favoriser l’innovation. Une startup avec une simple preuve de concept peut se rendre compatible OXA et être rapidement intégrée dans des workflows matures de grands groupes. Par exemple, une startup développant une solution d’analyse de deepfakes pourrait être sollicitée dans un workflow de cybersécurité dès ses débuts, là où elle aurait dû attendre trois ans de maturation dans un modèle classique.

Pour les utilisateurs, cette approche offre également une résilience accrue : si un produit ne satisfait plus ou si l’éditeur fait faillite, il peut être facilement remplacé par un autre produit compatible OXA, sans disruption majeure du workflow.

Conclusion

Le projet OXA, disponible sur le repository GitHub d’Open Cyber Alliance, représente une approche innovante pour repenser l’interopérabilité en cybersécurité. En promouvant les standards ouverts et en facilitant la collaboration entre solutions spécialisées, OXA offre une alternative crédible à la plateformisation dominante, au bénéfice tant des éditeurs que des utilisateurs finaux.

Notes

Open XDR Architecture: redefining the contours of XDR

Open XDR architecture

Open Cybersecurity Alliance

Github opencybersecurityalliance/oxa

Collaborateurs

Nicolas-Loïc Fortin

David Bizeul

Crédits

Montage par Intrasecure inc

Locaux réels par Sekoia

Parce que… c’est l’épisode 0x697!

Shameless plug

29 janvier 2026 - The Coming AI Hackers

25 et 26 février 2026 - SéQCure 2026

CfP




31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

Description

Introduction : Le contrat comme socle de démarrage

Dans cet épisode spécial PME consacré aux fournisseurs de services gérés (MSP), les experts Cyndie Feltz, Nicolas Milot et Dominique Derrier abordent un sujet crucial : le contrat MSP. Après avoir défini ce qu’est un MSP dans un épisode précédent, ils se concentrent maintenant sur l’importance de bien formaliser la relation contractuelle, qui constitue le socle de démarrage de tout partenariat MSP. Le contrat définit la portée du travail, la valeur apportée et les modalités du partenariat entre l’entreprise et son fournisseur de services.

L’importance de la formalisation

Lorsqu’une entreprise décide de confier une partie de ses activités TI à un MSP, elle lui confie ce qu’elle a de plus précieux : ses systèmes d’information. Cette démarche ne peut se faire à la légère ou sur une simple entente verbale. Il est essentiel de formaliser les règles et les attentes dès le départ. Comme le soulignent les intervenants, quand tout va bien, personne ne se pose de questions, mais lorsque des problèmes surviennent, il devient crucial d’avoir un contrat clair pour apporter les éclaircissements nécessaires.

La clarification des rôles et responsabilités

Un des éléments fondamentaux à définir avant de signer un contrat est de déterminer précisément qui sera en charge de quoi. Selon le niveau de service choisi, le MSP peut effectuer des tâches très basiques, comme la simple revente de licences avec un service minimal, ou prendre en charge l’ensemble des opérations TI de l’entreprise. Il existe une multitude d’options sur le marché, et il est impératif de choisir celle qui convient le mieux aux besoins spécifiques de l’entreprise.

L’erreur à éviter est de présumer que le MSP répondra automatiquement à tous les besoins sans vérifier ce qui est réellement inclus dans le contrat. Par exemple, si un MSP vend des licences Microsoft, cela ne signifie pas nécessairement qu’il assurera la configuration et la gestion de la console. De même, la vente d’une solution de sauvegarde comme Veeam ne garantit pas que le MSP gérera les backups au quotidien.

Les trois niveaux de service : buy, build, run

Dominique Derrier introduit une distinction importante entre trois niveaux de service :


Buy (achat/revente) : L’achat et la revente de licences, permettant de profiter des effets de volume du MSP pour réaliser des économies ou accéder à des produits normalement réservés aux grandes entreprises.




Build (mise en place) : La configuration initiale et le déploiement des solutions, incluant la première mise en marche et l’initialisation des systèmes.




Run (opérationnel) : La gestion quotidienne et l’opérationnalisation des services TI.



Il est crucial de bien comprendre ces trois volets lors de l’achat de services MSP. Posséder un produit sans l’avoir installé ni opérationnalisé, ou inversement, avoir la mise en place sans l’opération quotidienne, crée des lacunes problématiques dans la couverture des besoins TI.

Le partenariat d’affaires et la vision à long terme

Les experts insistent sur la notion de partenariat d’affaires. Le MSP doit être perçu comme un véritable partenaire, car en cas d’incident, c’est lui qui sera là pour remonter les systèmes et assurer la continuité des opérations. Cette relation de confiance est essentielle, particulièrement dans l’adversité. Il faut éviter à tout prix de se retrouver dans une situation où, lors d’un incident, personne ne sait qui est responsable de quoi, ajoutant une complexité et une tension inutiles à un moment critique.

Lors du choix d’un MSP, il est important de ne pas penser uniquement au présent, mais aussi de se projeter dans l’avenir. Il faut évaluer la capacité du fournisseur à accompagner l’entreprise sur une durée de cinq ans ou plus.

Les limites et l’importance de la transparence

Un bon MSP doit être transparent sur ce qui n’est pas inclus dans le contrat. Les intervenants mettent en garde contre les vendeurs évasifs qui évitent de parler des exclusions par peur de perdre la vente. Un vendeur de confiance présentera de manière très concrète ce qui est inclus et ce qui ne l’est pas. Cette transparence est un indicateur de fiabilité.

L’entreprise cliente doit se sentir écoutée et comprendre que le MSP cherche réellement à répondre à ses besoins spécifiques, plutôt que de simplement vendre le service le plus cher. Dans certains cas complexes, il peut être judicieux d’engager un consultant ou un RSSI virtuel pour accompagner le choix du MSP.

Les clauses contractuelles essentielles

Plusieurs clauses importantes doivent figurer dans un contrat MSP :

Clause d’auditabilité : Elle permet à l’entreprise de se réserver le droit de demander un audit du MSP. Même si cet audit n’est jamais réalisé, cette clause garde une porte ouverte et maintient une certaine vigilance.

Service Level Agreements (SLA) avec pénalités : Les SLA doivent inclure des pénalités en cas de non-respect des engagements. Cependant, ces SLA doivent être bilatéraux. Le client doit aussi s’engager, par exemple à répondre dans un délai raisonnable aux demandes du MSP concernant les mises à jour de sécurité.

Clause de réversibilité : Cette clause définit les modalités de séparation au cas où l’entreprise souhaiterait changer de MSP. Paradoxalement, l’existence de cette clause tend à prolonger la durée des contrats, car elle crée de la transparence et évite le sentiment d’être piégé.

La responsabilisation mutuelle

Comme le souligne Cyndie, les attentes envers un MSP sont similaires à celles envers des employés internes. On attend du personnel TI interne qu’il assure le service convenu, qu’il lève la main lorsqu’il est débordé, et qu’il respecte les rôles et responsabilités établis. Il en va de même pour un MSP.

Conclusion

Le contrat MSP n’est pas un document à prendre à la légère. Il constitue la fondation d’un partenariat qui peut durer plusieurs années. Comme dans un mariage, selon l’analogie de Dominique, il vaut mieux avoir un bon contrat sur lequel se replier quand les choses vont mal, même si l’espoir est de ne jamais en arriver là. L’objectif n’est pas de discréditer les MSP, mais de s’assurer que le contrat protège à la fois le client et le fournisseur, permettant ainsi une collaboration fructueuse et durable.

Collaborateurs

Nicolas-Loïc Fortin

Dominique Derrier

Cyndie Feltz

Nicholas Milot

Crédits

Montage par Intrasecure inc

Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x696!

Shameless plug

29 janvier 2026 - The Coming AI Hackers

25 et 26 février 2026 - SéQCure 2026

CfP




31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

Notes

IA

Grok…

What Should We Learn From How Attackers Leveraged AI in 2025?

LLMs are Accelerating the Ransomware Lifecycle to Gain Speed, Volume, and Multilingual Reach

Prompt injection

Anthropic’s Files API exfiltration risk resurfaces in Cowork

New One-Click Microsoft Copilot Vulnerability Grants Attackers Undetected Access to Sensitive Data

Claude Cowork – Quand l’IA d’Anthropic se fait exfiltrer vos fichiers




Signal

Signal creator Moxie Marlinspike wants to do for AI what he did for messaging

‘Signal’ President and VP warn agentic AI is insecure, unreliable, and a surveillance nightmare




‘Most Severe AI Vulnerability to Date’ Hits ServiceNow

ChatGPT will get ads. Free and Go users first




Souveraineté

Cloudflare CEO threatens to pull out of Italy

Italy’s privacy watchdog, scourge of US big tech, hit by corruption probe

La France remet ça et ordonne aux VPNs de bloquer encore plus de sites pirates

China bans U.S. and Israeli cybersecurity software over security concerns

SéQCure 2021 - Splinternet par Franck Desert

AWS flips switch on Euro cloud as sovereignty fears mount

Dutch experts warn U.S. takeover of DigiD platform poses national security risks

Escaping the trap of US tech dependence




Privacy

Privacy and Cybersecurity Laws in 2026 Pose Challenges

Police Unmask Millions of Surveillance Targets Because of Flock Redaction Error

UK backtracks on digital ID requirement for right to work

France fines telcos €42M for issues leading to 2024 breach

US regulator tells GM to hit the brakes on customer tracking

Foreigners’ data stolen in hack of French immigration agency




Red

Facebook login thieves now using browser-in-browser trick

More than 40 countries impacted by North Korea IT worker scams, crypto thefts

Never-before-seen Linux malware is “far more advanced than typical”

Predator spyware demonstrates troubleshooting, researcher-dodging capabilities

OGhidra - Dopage à l’IA pour Ghidra en local

China spies used Maduro capture as lure to phish US agencies

A simple CodeBuild flaw put every AWS environment at risk

Pourquoi votre vieux serveur Windows est une bombe à retardement, et comment la désamorcer

Windows? Linux? Browser? Same Executable




Blue

Selectively showing “act on your behalf” warning for GitHub Apps is in public preview

Python Software Foundation News: Anthropic invests $1.5 million in the Python Software Foundation and open source security

Microsoft January 2026 Patch Tuesday fixes 3 zero-days, 114 flaws

CISO Succession Crisis Highlights How Turnover Amplifies Risks




Divers

Internet monitoring experts say Iran blackout likely to continue

Access to Elon Musk’s Starlink internet service is now free in Iran as regime continues brutal crackdown on protests

Poland says it repelled major cyberattack on power grid, blames Russia

Judge tosses CrowdStrike shareholder suit over 2024 outage

1980s Hacker Manifesto




Collaborateurs

Nicolas-Loïc Fortin

Crédits

Montage par Intrasecure inc

Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x695!

Shameless plug

25 et 26 février 2026 - SéQCure 2026

CfP




31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

Description

Introduction

Sandra Aubert, fondatrice de FF2R (From Fiction to Reality), révolutionne l’approche de la sensibilisation aux risques majeurs en entreprise. Son concept audacieux : transformer la formation en cybersécurité et autres sujets arides en séries cinématographiques addictives, façon Netflix. Cette innovation marque une rupture totale avec les méthodes traditionnelles de sensibilisation.

Une nouvelle approche de la formation

Contrairement aux capsules de sensibilisation classiques - souvent stériles et dépourvues d’émotions - Sandra Aubert propose une plateforme de streaming à la demande qui diffuse des séries immersives et fictives. L’objectif : rendre la formation aussi captivante qu’une série que l’on dévore en une soirée.

Son projet phare, Plan Blanc, illustre parfaitement cette approche. Commandée par le ministère de la Santé, l’ARS et la Fédération hospitalière de France, cette série en six épisodes de trois minutes plonge le spectateur au cœur d’une cyberattaque majeure dans un CHU. Pour la première fois, on entre dans la cellule de crise et on vit l’effondrement d’un système hospitalier avec des comédiens professionnels.

La force du cinéma au service de la pédagogie

Ce qui distingue FF2R, c’est l’authenticité cinématographique. Sandra Aubert et son réalisateur signature, Valérian Cadissi, ne font pas de simples vidéos : ils créent du véritable cinéma. Chaque production respecte les codes du septième art : scénario travaillé, acteurs professionnels, tournage dans des lieux réels, colorimétrie soignée, musiques originales composées sur mesure.

Les personnages, comme Cassandre et Thomas dans Plan Blanc, sont développés avec une psychologie complète. L’équipe maîtrise l’art du cliffhanger pour créer l’envie de voir l’épisode suivant immédiatement. Le résultat : des séries qui pourraient être diffusées sur n’importe quelle plateforme de streaming grand public.

L’alliance de la créativité et de l’expertise technique

La réussite de cette approche repose sur un équilibre délicat entre créativité et rigueur technique. Pour Plan Blanc, Sandra Aubert s’est entourée de Steven Garnier, expert en cybersécurité au ministère de la Santé, garantissant ainsi l’exactitude technique du scénario.

Cette collaboration permet de créer des contenus crédibles et respectueux de la réalité du terrain. Les professionnels de la cybersécurité qui découvrent Plan Blanc témoignent : “C’est vraiment comme ça que ça se passe”. La série aborde tous les sujets - phishing, piggy backing, social engineering - sans tomber ni dans l’anxiogène ni dans le ridicule.

Une méthodologie adaptée à l’ère moderne

Sandra Aubert a compris les réalités de notre époque : la bande passante d’attention est faible, le temps est précieux, et personne ne veut subir une formation. Sa solution : proposer des épisodes courts (3-4 minutes) que l’on peut regarder quand on le souhaite, dans son canapé, potentiellement en famille.

Cette approche crée une nouvelle méthodologie : on ne se forme plus, on “binge-learn”. Le format court et addictif, inspiré des neurosciences, maximise la rétention d’information en générant des émotions fortes. Comme dans une histoire d’amour, on n’oublie jamais ce qu’on a ressenti.

Des résultats impressionnants

Les chiffres parlent d’eux-mêmes : la plateforme affiche un taux de rétention de 86%, et les utilisateurs reviennent en moyenne entre 4 et 7 fois regarder la même série. Au-delà de la consommation individuelle, les séries servent aussi d’outils de discussion en entreprise. Les managers les utilisent en réunion pour lancer des sujets, créant ainsi des moments de convivialité et de partage plus engageants qu’un PowerPoint traditionnel.

Une production artisanale et personnalisée

FF2R refuse la facilité du catalogue standardisé. Chaque production est du sur-mesure, adaptée aux besoins spécifiques de l’entreprise cliente. L’équipe va jusqu’à organiser des castings en interne pour intégrer les employés comme acteurs secondaires ou figurants. Voir son collègue jouer dans la série crée un effet de proximité et d’engagement supplémentaire.

Cette approche artisanale est rendue possible par une équipe réduite de sept personnes seulement - un exploit dans le monde du cinéma. Cette agilité permet de livrer des projets complets (plateforme et série) en moins de trois mois, tout en maintenant une qualité digne des grandes productions.

Un impact qui dépasse le cadre professionnel

L’innovation de Sandra Aubert va au-delà de la simple sensibilisation. Elle crée une culture de vigilance en entreprise tout en touchant potentiellement la sphère personnelle. Regarder ces séries en famille permet de sensibiliser aussi les proches aux risques cyber, créant un langage commun et des réflexes de sécurité qui transcendent la frontière travail-vie personnelle.

Cette dimension humaine est centrale : les séries montrent que derrière les crises, il y a des hommes et des femmes qui peuvent craquer sous la pression. Elles rappellent que la faille est souvent humaine, mais que cette “parfaite imperfection” est aussi notre force.

Vers l’avenir

Sandra Aubert ne compte pas s’arrêter là. Elle constitue un comité d’experts en cybersécurité pour enrichir ses futures productions et prépare déjà une suite à Plan Blanc. Son catalogue s’étend aussi à d’autres domaines : financement du terrorisme, déontologie, conformité. Elle envisage même d’ouvrir un bureau à Montréal pour conquérir le marché québécois.

Conclusion

En transformant la sensibilisation en cybersécurité en expérience cinématographique, Sandra Aubert prouve qu’il est possible de concilier rigueur pédagogique et plaisir de consommation. Son approche rappelle que depuis la nuit des temps, l’humanité transmet ses connaissances à travers les histoires. FF2R réinvente simplement cette tradition ancestrale avec les outils du XXIe siècle, démontrant que la meilleure façon d’apprendre reste celle qui nous fait ressentir des émotions.

Notes

À venir

Collaborateurs

Nicolas-Loïc Fortin

Sandra Aubert

Crédits

Montage par Intrasecure inc

Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x694!

Shameless plug

25 et 26 février 2026 - SéQCure 2026

CfP




31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

Description

Introduction

Dans cet épisode spécial consacré aux PME, l’équipe composée de Cyndie Fletz, Nicolas Milot et Dominique Derrier explore un sujet crucial pour les entreprises modernes : le rôle des MSP (Managed Service Providers) et leur contribution à la gestion des technologies de l’information. Cette discussion vise à démystifier ce qu’est un MSP, à clarifier son utilité et à mettre en lumière les bonnes pratiques d’engagement avec ces partenaires technologiques.

Qu’est-ce qu’un MSP ?

Un MSP, ou Managed Service Provider, est une entreprise spécialisée en technologies de l’information qui permet aux organisations d’externaliser la gestion de leur infrastructure TI plutôt que d’embaucher du personnel technique en interne. Il s’agit essentiellement d’impartition de services TI, où une compagnie confie la responsabilité de ses systèmes informatiques à un fournisseur externe spécialisé.

Contrairement à ce que l’on pourrait penser, ce concept n’est pas nouveau. L’impartition de services TI existe depuis les années 1980, soit depuis plus de quarante ans. Cette longévité s’explique par le fait que les entreprises ont rapidement compris que leur mission principale n’était généralement pas de gérer une infrastructure technologique complexe, mais plutôt de se concentrer sur leur cœur de métier.

Les raisons d’engager un MSP

L’expertise spécialisée

La première raison justifiant le recours à un MSP est l’accès à une expertise technique appropriée. Gérer correctement une infrastructure TI ne s’improvise pas et ne peut être fait “à la fin de semaine”. Lorsqu’une entreprise commence à croître et que les risques liés aux technologies augmentent, il devient essentiel de faire appel à des professionnels capables d’effectuer les maintenances, les mises à jour et d’assurer le bon fonctionnement continu des systèmes.

La gestion du risque

Le choix d’un MSP relève principalement d’un calcul de risque. Les entreprises doivent se poser la question fondamentale : combien coûterait une panne de nos systèmes ? Est-il préférable d’investir dans la prévention ou de risquer des réparations coûteuses en cas de défaillance majeure ? Cette réflexion s’applique à toutes les tailles d’entreprise, même celles de 15 à 20 employés utilisant uniquement des services cloud comme Google Drive.

L’analogie du garagiste

L’entretien informatique peut être comparé à l’entretien automobile. Tout comme une voiture nécessite des changements d’huile réguliers, des rotations de pneus et diverses vérifications périodiques, les systèmes TI requièrent une maintenance constante. Ignorer ces besoins d’entretien peut conduire à des défaillances catastrophiques, similaires à un moteur qui cesse de fonctionner par manque d’huile. Le coût de remplacement d’une infrastructure TI complètement défaillante, comme celui d’un moteur automobile, peut s’avérer prohibitif et souvent supérieur au coût d’un entretien préventif régulier.

Le MSP agit donc comme un garagiste spécialisé qui possède les outils, les connaissances et l’expérience nécessaires pour maintenir les systèmes en bon état de fonctionnement. La plupart des dirigeants d’entreprise, bien qu’ils puissent “mettre de l’essence” (effectuer des tâches basiques), ne possèdent pas les compétences pour “changer les roulements de roue” (effectuer des opérations techniques complexes).

La disponibilité et l’hygiène informatique

Les MSP jouent un rôle crucial dans l’un des trois piliers de la cybersécurité : la disponibilité (aux côtés de l’intégrité et de la confidentialité). Ils assurent que les actifs informatiques restent opérationnels, permettant aux entreprises d’émettre des factures, de traiter des commandes et de servir leurs clients sans interruption.

L’hygiène informatique, concept développé par les professionnels de la sécurité pour rendre la maintenance accessible au grand public, implique des actions régulières comme l’application de correctifs, la mise à jour des logiciels et la protection antivirus. Cette responsabilité incombe au propriétaire de l’entreprise, qui doit décider s’il possède les compétences nécessaires pour l’assumer en interne ou s’il est préférable de la confier à un MSP dont c’est la mission première.

Ce qu’un MSP n’est pas

Il est essentiel de comprendre qu’engager un MSP ne délègue pas la responsabilité ultime des données et de la sécurité de l’entreprise. En cas de fuite de données ou d’incident de sécurité, c’est l’entreprise cliente qui demeure légalement responsable, pas le MSP. Cette réalité souligne l’importance de choisir soigneusement son partenaire MSP et de maintenir une relation de collaboration active.

L’analogie de la garderie

Une métaphore particulièrement éloquente compare le MSP à une garderie. Tout comme les parents confient ce qu’ils ont de plus précieux – leurs enfants – à une garderie pendant qu’ils travaillent, les entreprises confient leurs systèmes informatiques à un MSP. Dans les deux cas, on s’attend à :

Des soins quotidiens appropriés

Une intervention rapide en cas de problème mineur

Une communication immédiate pour les situations graves

Un rapport régulier sur l’état général

Une optimisation et un développement continus

Cependant, tout comme les parents ne délèguent pas l’éducation complète de leurs enfants à la garderie, les entreprises ne peuvent pas déléguer entièrement toutes leurs responsabilités TI au MSP. Il existe des paramètres clairs définis dans le contrat qui établissent les responsabilités de chaque partie.

L’importance du partenariat et de la vérification

La relation avec un MSP doit être vue comme un véritable partenariat plutôt qu’une simple relation client-fournisseur. Il est crucial de bien définir les termes de l’engagement dès le début : quels services sont couverts, quels sont les horaires d’intervention, quelles sont les limites de responsabilité ?

De plus, tout comme des parents vérifient avec leurs enfants comment s’est passée leur journée à la garderie, les entreprises doivent auditer régulièrement le travail de leur MSP. Cette approche de “confiance zéro” (zero trust) garantit que les rapports fournis correspondent à la réalité et que les maintenances promises sont effectivement réalisées.

Conclusion

Le choix d’un MSP représente une décision stratégique importante pour toute PME. Ces partenaires permettent d’accéder à une expertise technique de haut niveau, assurent la résilience des systèmes, maintiennent l’hygiène informatique et contribuent à la disponibilité continue des actifs technologiques. Cependant, cette relation nécessite une définition claire des responsabilités, une communication régulière et une vérification périodique pour garantir que le partenariat fonctionne de manière optimale. En fin de compte, pour les entreprises modernes où la technologie est essentielle au fonctionnement quotidien, le MSP devient un allié indispensable dans la réussite et la croissance de l’organisation.

Collaborateurs

Nicolas-Loïc Fortin

Dominique Derrier

Cyndie Feltz

Nicholas Milot

Crédits

Montage par Intrasecure inc

Locaux virtuels par Riverside.fm