De meerderheid van de recente compromitteringen gedocumenteerd door ENISA in 2024 richt zich niet langer rechtstreeks op het doelbedrijf, maar op zijn IT-leveranciers: uitbesteders, integrators, leveranciers van beheerde diensten. Deze aanvalsvector via de keten van onderaanneming herdefinieert de selectiecriteria voor een partner in IT-beveiliging. We bespreken hier de technische punten die een werkelijk gestructureerde ondersteuning onderscheiden van een eenvoudige operationele delegatie.
Beveiliging van de IT-supply chain: het risico dat uw leverancier u laat lopen
Een slecht geauditeerde cybersecuritypartner wordt zelf een aanvalsvector. Het rapport ENISA Threat Landscape 2024 meldt een aanzienlijke stijging van de compromitteringen via IT-leveranciers in plaats van via het klantbedrijf. Het NIST formaliseert deze benadering in zijn herziening SP 800-161 Rev.1 van mei 2024 door een systematische beoordeling van leveranciersrisico’s op te leggen als een centrale component van elke beschermingsstrategie.
Aanvullende lectuur : Hoe een route online op te slaan voor uw reizen?
Concreet raden we aan om van elke kandidaat-partner een conformiteitsdossier te eisen dat zijn eigen praktijken documenteert: beheer van de toegang tot uw systemen, netwerkisolatie tussen zijn verschillende klanten, beleid voor het rouleren van geheimen. Een leverancier die deze elementen niet kan bieden, vormt een structureel risico, geen beveiligingswinst.
De ANSSI heeft dit kader sinds 2024 versterkt door eisen voor contractuele cyberresilience op te nemen voor kritieke digitale dienstverleners: continuïteitsplannen, PRA, regelmatige tests. Cloudhosting en uitbesteders die niet aan deze eisen voldoen, lopen het risico om kwalificaties zoals SecNumCloud te verliezen. Als uw huidige partner deze verplichtingen niet vermeldt in zijn contractuele verplichtingen, is dat een waarschuwingssignaal.
Zie ook : Hoe de ruimte en het comfort van uw huis in A te optimaliseren voor een warme sfeer
Bedrijven die hun aanpak willen structureren met een gekwalificeerde leverancier kunnen meer te weten komen over Cydlab, wiens ondersteuning zich specifiek richt op de beoordeling en beveiliging van deze vertrouwensketen.
Technische criteria voor het kiezen van een MSSP dat bij uw bedrijf past
Niet alle Managed Security Service Providers zijn gelijk. De keuze is gebaseerd op verifieerbare criteria, niet op commerciële beloftes. We identificeren drie concrete differentiatie-aspecten.
Detectiecapaciteit en responstijd
Het Microsoft Digital Defense Report 2025 documenteert dat KMO’s die vertrouwen op een gecertificeerde partner om hun cloudbeveiligingstools te beheren de duur van niet-gedetecteerde compromitteringen aanzienlijk verminderen. Deze vermindering komt voort uit 24/7 monitoring die een intern team van drie of vier personen simpelweg niet kan bieden. Controleer of uw leverancier een operationele SOC aanbiedt met toegewijde analisten, of dat hij zich beperkt tot het doorgeven van geautomatiseerde waarschuwingen zonder menselijke triage.
Integratie met uw bestaande omgeving
Een goede MSSP plakt zijn technische stack niet op uw infrastructuur. Hij past zich aan uw bestaande systemen aan: bestaande SIEM, al uitgerolde EDR, identiteitsbeheer. Stel de vraag naar interoperabiliteit vóór die van de prijs. Een partner die een volledige vervanging van uw oplossingen vereist om te functioneren, voegt complexiteit toe, en dus risico.
Meetbare contractuele verplichtingen
De indicatoren die in het contract moeten worden onderhandeld, zijn geen generieke SLA’s voor beschikbaarheid. Wat telt:
- De gemiddelde tijd voor kwalificatie van een incident (MTTQ), verschillend van de eenvoudige detectietijd, omdat het de werkelijke analysecapaciteit meet
- De frequentie en reikwijdte van de penetratietests die in het contract zijn opgenomen, met technische rapportage die door uw team kan worden benut
- De terugkeerclausules: voorwaarden voor het terughalen van uw gegevens, logboeken van gebeurtenissen en configuraties in geval van contractbeëindiging
SOAR-orchestratie en automatisering van bedreigingsreacties
De automatisering van de incidentrespons via SOAR-platforms (Security Orchestration, Automation and Response) vormt een technische hefboom die door populaire artikelen wordt onderschat. Een partner die SOAR implementeert, beperkt zich niet tot detectie: hij correleert waarschuwingen van meerdere bronnen (firewalls, EDR, proxy, e-mail) en activeert geautomatiseerde remedial playbooks binnen enkele seconden.
Swimlane documenteert bijvoorbeeld gebruiksgevallen waarin de orchestratie het volume van handmatig door analisten behandelde waarschuwingen vermindert, waardoor zij zich kunnen concentreren op incidenten met hoge urgentie. Voor een KMO betekent dit dat een partner die is uitgerust met SOAR een reactieniveau biedt dat vergelijkbaar is met dat van een interne SOC van een groot bedrijf, zonder de loonkosten te dragen.
We zien dat de waarde van een MSSP wordt gemeten aan zijn vermogen om detectie, contextuele verrijking en geautomatiseerde respons te combineren. Een leverancier die alleen passieve monitoring aanbiedt, zonder orchestratiecapaciteit, laat een reactietijd achter die niet compatibel is met de huidige bedreigingen (snelle verspreiding van ransomware, gegevensexfiltratie binnen enkele uren).
Cloud governance en SecNumCloud-kwalificatie: wat uw contract moet bevatten
De overstap naar de cloud vermenigvuldigt de contactpunten tussen uw organisatie en uw leverancier. De SecNumCloud v3.2 kwalificatie die door de ANSSI wordt verleend, legt aan hostingproviders een basis van verifieerbare technische eisen op: gegevensversleuteling in rust en tijdens verzending, gegevenslocatie op het grondgebied, uitgebreide logging van administratieve toegang.
Voor een bedrijf dat zijn beveiliging uitbesteedt, is de vraag niet “bent u gecertificeerd”, maar “welke SecNumCloud-eisen past u toe, zelfs zonder formele certificering”. Veel tussenleveranciers vertrouwen op gekwalificeerde hostingproviders zonder deze eisen door te geven in hun eigen gegevensbeheer van klanten.
De punten die u in uw cloudcontract moet controleren:
- Is de eindhostingprovider genoemd en gekwalificeerd, of behoudt de leverancier zich het recht voor om uw gegevens te migreren zonder melding
- Worden de logboeken van administratieve toegang in realtime ter beschikking gesteld, of alleen op verzoek na een incident
- Is het business continuity plan (PRA) in de afgelopen twaalf maanden getest, met een gedeeld resultaatrapport
Een partner die zijn PRA test en de resultaten deelt, biedt betere bescherming dan een partner die zich beperkt tot documentatie. Het verschil tussen een nuttig cybersecuritycontract en een decoratief contract ligt in deze operationele details, die zelden vooraf worden onderhandeld en altijd worden betreurd na een incident.