Sécurité

10 questions de sécurité à vous poser avant de choisir un fournisseur SaaS

Share this post:

Un nouvel Avis d’Experts IBM sur les précautions à prendre en termes de sécurité IT lorsqu’une entreprise cherche un fournisseur SaaS.

Le SaaS, on va tous y passer, pour le meilleur et… pour le meilleur.

Pour éviter les mauvaises surprises, voici quelques questions utiles qui touchent à la sécurité du service, et qu’il vaut mieux vous poser avant de choisir votre fournisseur de logiciel en SaaS.

1. Qui sera le “propriétaire” de ce service dans votre entreprise ? Il va probablement le financer, et il devra décider qui est autorisé à utiliser le service.

2. Qui seront les utilisateurs de ce service ? Internes, clients, ou partenaires, il faudra les identifier. Profitez-en pour vérifier que le service s’intègrera simplement avec votre SSO (Single Sign On) d’entreprise.

3. Votre entreprise utilise-t-elle déjà des services similaires (même sans l’accord de la DSI) ? Souvent, il vaudra mieux faire converger tous les collaborateurs vers un service unique ; ce qui pourrait vouloir dire réutiliser le service actuel plutôt que d’en choisir un nouveau.

4. Quelles sont les données qui vont être transmises dans le Cloud ? Vous devez respecter la réglementation qui s’applique à vos clients, votre secteur d’activité et à votre pays. N’oubliez pas de prendre en compte la réglementation européenne et à la nationalité de vos utilisateurs.

5. Les conditions de service (SLAs) proposées par le fournisseur sont-elles compatibles avec l’importance que le service représente pour votre entreprise ? Difficile de faire reposer le suivi de vos clients sur un service qui n’assure pas de haute disponibilité.

6. Comment sera gérée la réversibilité du contrat ? Il faudra alors récupérer vos données et vous assurer qu’elles ont été effacées dans le Cloud. Pour la mise en place, en général, on peut espérer que le fournisseur vous aidera…

7. Quelles mesures prend votre fournisseur pour surveiller ses systèmes, détecter les attaques et les contrer ? Posez-lui quelques questions liées à l’actualité de la sécurité. Début 2018, vous pouvez par exemple vous renseigner sur sa posture face à Meltdown et au RGPD (Règlement général sur la protection des données).

8. Faut-il apporter une couche de sécurité supplémentaire pour ce service ? Cela pourrait par exemple consister à masquer certaines données qui sont transférées dans le Cloud ou à collecter les logs de fonctionnement du service distant, ce qui sous-entend que le fournisseur vous y autorise.

9. Comment allez-vous pouvoir interagir avec le fournisseur ? Il doit vous avertir des problèmes qu’il rencontre. Et vous devez également pouvoir lui notifier un incident de votre côté.

10. Et pour finir, avez-vous obtenu rapidement des réponses claires aux 9 premières questions ? Si votre fournisseur vous demande un délai pour clarifier sa position face à ces questions, c’est mauvais signe sur sa maturité.

Le site securityIntelligence.com est une excellente source d’informations complémentaires dans le domaine de la sécurité informatique, et en particulier sur la sécurité du Cloud.

Pour en savoir plus sur la sécurité du cloud, je vous conseille cet article : Lacking Cloud Security Policies Leave 60 Percent of Data at Risk

 

IBM Information Security Architect

More Sécurité stories
28 avril 2021

Ressources pour se former à enseigner et pratiquer la Data Science

La Data Science est une des compétences les plus demandées sur le marché de l’emploi, tant pour les profils « Business » que pour les techniciens et ingénieurs. De nombreuses formations intègrent cette notion dans leurs cursus. Cependant, les établissements manquent d’enseignants compétents et d’outils pour former leurs étudiants. Voici un panorama des ressources à la disposition […]

Continue reading

16 avril 2021

Construire, moderniser, sécuriser et opérer votre IT avec IBM IS

  Le « Move to Cloud » et l’intégration d’environnements hybrides De nouveaux rôles clés émergent pour accélérer l’innovation en entreprise tout en maîtrisant les coûts. L’usage du Cloud en entreprise représente, en effet, une opportunité extraordinaire d’innovation. Mais aussi une menace sur l’intégrité, le contrôle des données et la gestion des assets informatiques. « Le « Move to […]

Continue reading

6 avril 2021

La flexibilité du Cloud sans externaliser vos données

Nous constatons une accélération digitale qui entraîne la croissance du Cloud. Pour répondre à ces besoins, sans renoncer à la sécurité de vos données, une alternative se présente : le Cloud privé.   Move to Cloud Lors d’une évolution ou migration d’un environnement qu’il soit SAP ou non, une infrastructure solide est nécessaire pour accompagner […]

Continue reading