Avis d'Experts IBM : 10 questions de sécurité à vous poser avant de choisir un fournisseur SaaS

Le SaaS, on va tous y passer, pour le meilleur et. pour le meilleur.

Pour éviter les mauvaises surprises, voici quelques questions utiles qui touchent à la sécurité du service, et qu'il vaut mieux vous poser avant de choisir votre fournisseur de logiciel en SaaS.

1. Qui sera le « propriétaire » de ce service dans votre entreprise ? Il va probablement le financer, et il devra décider qui est autorisé à utiliser le service.

2. Qui seront les utilisateurs de ce service ? Internes, clients, ou partenaires, il faudra les identifier. Profitez-en pour vérifier que le service s'intègrera simplement avec votre SSO (Single Sign On) d'entreprise.

3. Votre entreprise utilise-t-elle déjà des services similaires (même sans l'accord de la DSI) ? Souvent, il vaudra mieux faire converger tous les collaborateurs vers un service unique ; ce qui pourrait vouloir dire réutiliser le service actuel plutôt que d'en choisir un nouveau.

4. Quelles sont les données qui vont être transmises dans le Cloud ? Vous devez respecter la réglementation qui s'applique à vos clients, votre secteur d'activité et à votre pays. N'oubliez pas de prendre en compte la réglementation européenne et à la nationalité de vos utilisateurs.

5. Les conditions de service (SLAs) proposées par le fournisseur sont-elles compatibles avec l'importance que le service représente pour votre entreprise ? Difficile de faire reposer le suivi de vos clients sur un service qui n'assure pas de haute disponibilité.

6. Comment sera gérée la réversibilité du contrat ? Il faudra alors récupérer vos données et vous assurer qu'elles ont été effacées dans le Cloud. Pour la mise en place, en général, on peut espérer que le fournisseur vous aidera.

7. Quelles mesures prend votre fournisseur pour surveiller ses systèmes, détecter les attaques et les contrer ? Posez-lui quelques questions liées à l'actualité de la sécurité. Début 2018, vous pouvez par exemple vous renseigner sur sa posture face à Meltdown et au RGPD (Règlement général sur la protection des données).

8. Faut-il apporter une couche de sécurité supplémentaire pour ce service ? Cela pourrait par exemple consister à masquer certaines données qui sont transférées dans le Cloud ou à collecter les logs de fonctionnement du service distant, ce qui sous-entend que le fournisseur vous y autorise.

9. Comment allez-vous pouvoir interagir avec le fournisseur ? Il doit vous avertir des problèmes qu'il rencontre. Et vous devez également pouvoir lui notifier un incident de votre côté.

10. Et pour finir, avez-vous obtenu rapidement des réponses claires aux 9 premières questions ? Si votre fournisseur vous demande un délai pour clarifier sa position face à ces questions, c'est mauvais signe sur sa maturité.

Le site securityIntelligence.com est une excellente source d'informations complémentaires dans le domaine de la sécurité informatique, et en particulier sur la sécurité du Cloud.

Pour en savoir plus sur la sécurité du cloud, je vous conseille cet article : Lacking Cloud Security Policies Leave 60 Percent of Data at Risk

Thierry Matusiak, Architecte Logiciel - IBM.