Sécurité

10 questions de sécurité à vous poser avant de choisir un fournisseur SaaS

Share this post:

Un nouvel Avis d’Experts IBM sur les précautions à prendre en termes de sécurité IT lorsqu’une entreprise cherche un fournisseur SaaS.

Le SaaS, on va tous y passer, pour le meilleur et… pour le meilleur.

Pour éviter les mauvaises surprises, voici quelques questions utiles qui touchent à la sécurité du service, et qu’il vaut mieux vous poser avant de choisir votre fournisseur de logiciel en SaaS.

1. Qui sera le “propriétaire” de ce service dans votre entreprise ? Il va probablement le financer, et il devra décider qui est autorisé à utiliser le service.

2. Qui seront les utilisateurs de ce service ? Internes, clients, ou partenaires, il faudra les identifier. Profitez-en pour vérifier que le service s’intègrera simplement avec votre SSO (Single Sign On) d’entreprise.

3. Votre entreprise utilise-t-elle déjà des services similaires (même sans l’accord de la DSI) ? Souvent, il vaudra mieux faire converger tous les collaborateurs vers un service unique ; ce qui pourrait vouloir dire réutiliser le service actuel plutôt que d’en choisir un nouveau.

4. Quelles sont les données qui vont être transmises dans le Cloud ? Vous devez respecter la réglementation qui s’applique à vos clients, votre secteur d’activité et à votre pays. N’oubliez pas de prendre en compte la réglementation européenne et à la nationalité de vos utilisateurs.

5. Les conditions de service (SLAs) proposées par le fournisseur sont-elles compatibles avec l’importance que le service représente pour votre entreprise ? Difficile de faire reposer le suivi de vos clients sur un service qui n’assure pas de haute disponibilité.

6. Comment sera gérée la réversibilité du contrat ? Il faudra alors récupérer vos données et vous assurer qu’elles ont été effacées dans le Cloud. Pour la mise en place, en général, on peut espérer que le fournisseur vous aidera…

7. Quelles mesures prend votre fournisseur pour surveiller ses systèmes, détecter les attaques et les contrer ? Posez-lui quelques questions liées à l’actualité de la sécurité. Début 2018, vous pouvez par exemple vous renseigner sur sa posture face à Meltdown et au RGPD (Règlement général sur la protection des données).

8. Faut-il apporter une couche de sécurité supplémentaire pour ce service ? Cela pourrait par exemple consister à masquer certaines données qui sont transférées dans le Cloud ou à collecter les logs de fonctionnement du service distant, ce qui sous-entend que le fournisseur vous y autorise.

9. Comment allez-vous pouvoir interagir avec le fournisseur ? Il doit vous avertir des problèmes qu’il rencontre. Et vous devez également pouvoir lui notifier un incident de votre côté.

10. Et pour finir, avez-vous obtenu rapidement des réponses claires aux 9 premières questions ? Si votre fournisseur vous demande un délai pour clarifier sa position face à ces questions, c’est mauvais signe sur sa maturité.

Le site securityIntelligence.com est une excellente source d’informations complémentaires dans le domaine de la sécurité informatique, et en particulier sur la sécurité du Cloud.

Pour en savoir plus sur la sécurité du cloud, je vous conseille cet article : Lacking Cloud Security Policies Leave 60 Percent of Data at Risk

 

IBM Information Security Architect

More Sécurité stories
3 juillet 2024

Intégration par design : la clé de la réussite de la transformation cloud

La transformation cloud est un processus complexe qui nécessite une planification méticuleuse et une exécution soignée pour réussir. Alors que les organisations se lancent dans la transformation du cloud, elles se concentrent souvent sur la migration des applications et des données vers le cloud, négligeant un aspect critique : l’intégration. L’un des défis majeurs que […]

Continue reading

12 juin 2024

Comment bien préparer la migration d’un parc applicatif dans le cloud avec IBM Consulting (2/2) ?

Dans notre article « Comment bien préparer la migration d’un parc applicatif dans le cloud avec IBM Consulting (1/2) ? », nous avons présenté les différentes étapes du pré-assessment technique qui consiste à analyser l’ensemble des applications du patrimoine applicatif. Dans cette seconde partie, nous allons détailler l’assessment technique à réaliser pour chacune des applications.   Phase […]

Continue reading

12 juin 2024

Comment bien préparer la migration d’un parc applicatif dans le cloud avec IBM Consulting (1/2) ?

Contrairement aux applications conçues et développées spécifiquement pour un environnement cloud, un parc applicatif « on premises » a généralement été bâti au fil du temps, avec des technologies datant d’époques différentes. Il est par nature plus ou moins hétérogène. Pour différentes raisons (par exemple la scalabilité horizontale et verticale de manière automatique en fonction du besoin, […]

Continue reading