Le SaaS, on va tous y passer, pour le meilleur et… pour le meilleur.
Pour éviter les mauvaises surprises, voici quelques questions utiles qui touchent à la sécurité du service, et qu’il vaut mieux vous poser avant de choisir votre fournisseur de logiciel en SaaS.
1. Qui sera le « propriétaire » de ce service dans votre entreprise ? Il va probablement payer, et il devra décider qui est autorisé à utiliser le service.
2. Qui seront les utilisateurs de ce service ? Internes, clients, ou partenaires, il faudra les identifier. Profitez-en pour vérifier que le service s’intègrera simplement avec votre SSO (Single Sign On) d’entreprise.
3. Votre entreprise utilise-t-elle déjà des services similaires (même sans l’accord de la DSI) ? Souvent, il vaudra mieux faire converger tous les collaborateurs vers un service unique ; et ça pourrait vouloir dire réutiliser le service actuel plutôt que d’en choisir un nouveau.
4. Quelles sont les données qui vont être transmises dans le Cloud ? Vous devez respecter la réglementation qui s’applique à vos clients, votre secteur d’activité et à votre pays, probablement la France si vous lisez ce texte. Attention également à la réglementation européenne et à la nationalité de vos utilisateurs.
5. Les conditions de service (SLAs) proposées par le fournisseur sont-elles compatibles avec l’importance que le service représente pour votre entreprise ? Difficile de faire reposer le suivi de vos clients sur un service qui n’assure pas de haute disponibilité.
6. Comment sera gérée la réversibilité du contrat ? Il faudra alors récupérer vos données et vous assurer qu’elles ont été effacées dans le Cloud. Pour la mise en place, en général, on peut espérer que le fournisseur vous aidera…
7. Quelles mesures prend votre fournisseur pour surveiller ses systèmes, détecter les attaques et les contrer ? Posez-lui quelques questions liées à l’actualité de la sécurité. Début 2018, vous pouvez par exemple vous renseigner sur sa posture face à Meltdown et au RGPD. S’il vous demande d’épeler, mauvaise pioche…
8. Faut-il apporter une couche de sécurité supplémentaire pour ce service ? Ça pourrait par exemple consister à masquer certaines données qui partent dans le Cloud ou à collecter les logs de fonctionnement du service distant, ce qui sous-entend que le fournisseur vous y autorise.
9. Comment allez-vous pouvoir interagir avec le fournisseur ? Il doit vous avertir des problèmes qu’il rencontre. Et vous devez également pouvoir lui notifier un incident de votre côté.
10. Et pour finir, avez-vous obtenu rapidement des réponses claires aux 9 premières questions ? Si votre fournisseur vous demande un délai pour clarifier sa position face à ces questions, c’est mauvais signe sur sa maturité.
Le site SecurityIntelligence.com est une excellente source d’informations complémentaires dans le domaine de la sécurité informatique, et en particulier sur la sécurité du Cloud.
Pour en savoir plus sur la sécurité du cloud, je vous conseille cet article : Lacking Cloud Security Policies Leave 60 Percent of Data at Risk
La transformation cloud est un enjeu majeur pour les entreprises, mais elle doit être anticipée…
Même avec un budget serré, de nombreux outils peuvent aider les professionnels de la sécurité…
Voici des recommandations à appliquer dès que possible pour minimiser l'impact d'une attaque de ransomwares.
Si les bouleversements survenus en 2020 nous ont clairement imposé des contraintes incontournables, on peut…
De nouvelles menaces sont particulièrement dangereuses pour les TPE/PME, qui doivent désormais mettre à jour…
Les opérateurs de ransomwares sont de plus en plus organisés avec des systèmes de vente…