Votre consultant a les clés du SI client : qui paie la fuite ?
Vos consultants en régie disposent d'accès privilégiés au SI de vos clients. Quand une fuite passe par leurs identifiants, c'est l'ESN qui est en première ligne.
- Un consultant en régie obtient souvent des droits d'accès étendus au système d'information du client, parfois supérieurs à ceux d'un salarié interne.
- Une fuite de données ou une compromission survenant via les identifiants du consultant fait remonter la responsabilité vers l'ESN, son employeur et donneur d'ordre.
- Les clients soumis à NIS2 ou DORA imposent désormais des exigences de cybersécurité contractuelles à leurs prestataires, ESN comprises.
- L'assurance cyber active une cellule de crise, prend en charge l'expertise et la notification, et couvre la responsabilité de l'ESN envers le client.
Le consultant en régie, ce maillon à fort privilège
Quand une ESN place un consultant chez un client, elle ne fournit pas seulement une compétence : elle introduit dans le système d'information du client un accès humain de confiance. Un administrateur système obtient les droits root sur des serveurs critiques. Un développeur accède aux dépôts de code, aux clés d'API, aux bases de production. Un consultant data manipule des fichiers entiers de données clients. Souvent, ces droits sont plus étendus que ceux d'un salarié interne, parce qu'ils sont accordés vite, largement, et révoqués tard.
Ce maillon est précieux et fragile à la fois. Précieux, car il porte la valeur de la prestation. Fragile, car il concentre un risque cyber considérable : le consultant devient une porte d'entrée potentielle vers les actifs les plus sensibles du client. Et cette porte, c'est l'ESN qui l'a ouverte.
Trois façons dont l'incident remonte à l'ESN
Le risque ne suppose aucune malveillance pour se matérialiser. Trois scénarios reviennent régulièrement :
- L'identifiant compromis : le poste ou les accès du consultant sont piratés (hameçonnage, mot de passe réutilisé, ordinateur infecté). L'attaquant entre dans le SI client en empruntant son identité. L'enquête désigne le consultant — donc l'ESN — comme vecteur initial.
- L'erreur de manipulation : le consultant copie une base de production sur un environnement non sécurisé, expose un bucket cloud, envoie par erreur un fichier sensible. La fuite est involontaire mais bien réelle.
- Le départ mal géré : la mission se termine, les accès ne sont pas révoqués, des données restent sur le matériel du consultant ou de l'ESN. Une copie oubliée est une fuite en sursis.
Dans chacun de ces cas, le client subit une violation de données personnelles ou une compromission de son SI. Et sa première question est invariable : « par où est-ce entré ? » Si la réponse pointe vers votre consultant, la responsabilité de l'ESN — en tant qu'employeur et donneur d'ordre — est immédiatement sur la table.
Confidentialité et secret : des engagements qui vous obligent
L'accès privilégié s'accompagne presque toujours d'engagements contractuels lourds, que beaucoup d'ESN signent sans en mesurer la portée. Les contrats de prestation comportent des clauses de confidentialité strictes, parfois assorties de pénalités forfaitaires en cas de manquement. Selon le secteur du client, s'ajoutent des obligations de secret renforcé : secret bancaire, secret médical, secret des affaires.
Sur le plan des données personnelles, l'ESN qui traite des données pour le compte du client est généralement sous-traitant au sens du RGPD (article 28). Ce statut n'est pas une formalité : il impose un contrat encadrant les traitements, des mesures de sécurité, la gestion des sous-traitants ultérieurs et le sort des données en fin de mission. Il fait peser sur l'ESN une responsabilité propre, distincte de celle du client.
Le consultant a accès, mais c'est l'ESN qui a contractualisé l'accès. La chaîne de responsabilité ne s'arrête pas à la personne assise au clavier : elle remonte à l'entreprise qui l'a placée.
NIS2 et DORA : la pression réglementaire descend jusqu'à vous
Le cadre réglementaire s'est durci, et il atteint désormais les prestataires. La directive NIS2 élargit considérablement le périmètre des entités tenues à des obligations de cybersécurité, et impose à ces entités de maîtriser le risque lié à leur chaîne d'approvisionnement — leurs fournisseurs et prestataires informatiques compris. Pour le secteur financier, le règlement DORA va plus loin encore en encadrant strictement les prestataires de services informatiques tiers.
La conséquence concrète pour une ESN est directe : vos clients régulés vous répercutent leurs obligations par voie contractuelle. On vous demande désormais des audits de sécurité, des engagements sur la gestion des accès, des délais de notification d'incident, des clauses d'audit, parfois des certifications. Ne pas tenir ces engagements, c'est s'exposer à la rupture du contrat et à une mise en cause si un incident survient.
Autrement dit, la cybersécurité de l'ESN n'est plus un sujet purement interne : elle est devenue une condition d'accès au marché, et un terrain de responsabilité contractuelle vis-à-vis de clients de plus en plus exigeants.
Ce que coûte un incident qui passe par vos consultants
Quand un incident se déclare via un consultant, l'ESN ne peut pas se contenter d'attendre : elle est entraînée dans une gestion de crise coûteuse, qu'elle en soit la cause directe ou non.
| Poste | Nature du coût |
|---|---|
| Cellule de crise | Experts forensic, juriste RGPD, communication d'urgence |
| Expertise forensic | Identifier le vecteur, l'ampleur et les données touchées |
| Notification réglementaire | Information du client, et selon les cas de la CNIL et des personnes concernées |
| Pénalités contractuelles | Clauses de confidentialité et SLA de sécurité non tenus |
| Préjudice du client | Interruption d'activité, perte de données, atteinte à l'image |
| Réputation de l'ESN | Perte du client et difficulté à en convaincre d'autres |
Pour une ESN, le coup le plus dur n'est pas toujours financier : c'est la confiance. Tout son modèle repose sur la capacité à placer des collaborateurs dans des environnements sensibles. Un incident notoire imputé à l'un de ses consultants fragilise l'argument commercial central de l'entreprise.
Sécuriser l'accès, et transférer le risque résiduel
La maîtrise du risque passe par une discipline opérationnelle stricte autour des accès :
- Appliquez le moindre privilège : exigez du client des droits limités au strict nécessaire de la mission, et tracez ces accès.
- Sécurisez le poste du consultant : chiffrement, gestion centralisée, authentification forte, interdiction du stockage local non maîtrisé des données client.
- Ritualisez la fin de mission : checklist de révocation des accès, restitution et destruction des données, preuve conservée.
- Sensibilisez vos consultants à l'hameçonnage et à l'hygiène numérique : le facteur humain reste le premier vecteur.
- Cartographiez vos obligations NIS2, DORA et RGPD client par client, et alignez vos engagements contractuels sur ce que vous pouvez réellement tenir.
Aucune politique de sécurité n'élimine pourtant le risque résiduel : une attaque sophistiquée, une erreur humaine, un accès oublié. L'assurance cyber de l'ESN prend alors le relais : elle active une cellule d'urgence (forensic, juriste, communication), finance la notification et la remédiation, couvre les pertes d'exploitation et la responsabilité de l'ESN envers le client au titre de la violation. Pour la faute professionnelle elle-même — un défaut de sécurisation que l'on vous reprocherait — la RC Pro reste le complément naturel. Le détail des garanties dédiées au placement de consultants figure sur la fiche assurance ESN / SSII.
Questions fréquentes
Oui, en grande partie. En tant qu'employeur et donneur d'ordre, l'ESN porte la responsabilité des agissements de ses consultants dans le cadre de leurs missions. Si une compromission ou une fuite passe par les accès d'un consultant placé en régie, la responsabilité de l'ESN envers le client est directement engagée.
Oui, de deux façons. Elle peut être directement assujettie selon son activité et sa taille, et surtout ses clients régulés lui répercutent leurs obligations par contrat : gestion des accès, notification d'incident, audits de sécurité. Ne pas tenir ces engagements expose à la rupture du contrat et à une mise en cause.
L'ESN qui traite des données personnelles pour le compte de son client est généralement sous-traitant au sens du RGPD. Ce statut impose un contrat encadrant les traitements, des mesures de sécurité et le sort des données en fin de mission, et fait peser une responsabilité propre sur l'ESN en cas de violation.
Déclencher sans délai une cellule de crise, lancer une expertise forensic pour identifier le vecteur et l'ampleur, informer le client et, selon les cas, la CNIL sous 72 heures et les personnes concernées. Une assurance cyber active immédiatement ces moyens et pilote la réponse, ce qu'une ESN ne peut généralement pas faire seule.
Non, elles sont complémentaires. La cyber couvre la gestion de l'incident de sécurité (forensic, notification, remédiation, perte d'exploitation) et la responsabilité liée à la violation de données. La RC Pro couvre la faute professionnelle, par exemple un défaut de sécurisation ou un manquement de conseil reproché à l'ESN.
Souscrivez votre assurance pro en 2 minutes
Toutes nos protections pour votre activité de ESN / SSII — attestation immédiate, sans engagement.
* Tarifs indicatifs « à partir de », selon votre profil, votre activité et les garanties choisies. · Voir la fiche ESN / SSII →
Article rédigé et vérifié par l'équipe Insurio — Tutassûr, courtier en assurance immatriculé à l'ORIAS sous le n° 22001730. Information à caractère général ne se substituant pas aux conditions de votre contrat.