e-novinfo cyber security
Prestataires SaaS et sécurité de vos données
L'arrivée des logiciels SaaS
Il y a encore quelques années, tous les logiciels d’une entreprise étaient hébergés on premise, dans l’infrastructure IT de l’entreprise.
Puis, le SaaS (Software as a Service) est arrivé et a bousculé le marché. En effet, cette solution possède de nombreux avantages :
- économie financière
- utilisation depuis des supports multiples
- adaptation à la mobilité des entreprises d’aujourd’hui
Dernier point positif et non des moindres : l’externalisation de l’hébergement des logiciels permettait d’offrir aux PME une sécurité souvent accrue grâce aux moyens financiers mobilisés par leur prestataire dus à leur spécialisation.
Plus flexible, moins cher et plus sécurisé : le SaaS est encore aujourd’hui une solution plébiscitée aussi bien par les entreprises que par les éditeurs de logiciels.
Avec la solution SaaS, vous confiez la sécurité de vos données à votre prestataire. Toutefois, vous avez toujours des responsabilités vis-à-vis de vos clients.
Vous ne choisissez pas seulement une solution, mais une entreprise à qui vous allez confier vos données. C’est pourquoi il est important de lui poser les bonnes questions.
Vous avez trouvé un prestataire pour une solution SaaS ?
Pour la sécurité de vos données
Quelle(s) certification(s) liée(s) à la cybersécurité possédez-vous ?
Les certifications les plus reconnues dans ce domaine sont ISO 27001 et ISAE 3402. Ces deux certifications exigeantes imposent des contrôles internes et externes réguliers dans une démarche d’amélioration continue. A l’inverse de ces certifications, les labels sécurité ne comportent pas toujours de contrôle externe. Sur le long terme, ce type de label ne vous offre donc aucune garantie.
Quelles sont vos solutions de sauvegarde ?
La réponse du prestataire devrait contenir au moins trois éléments.
Tout d’abord, le chiffrement des données, qui permet que vos données ne puissent être lues que par des personnes autorisées disposant de clés de déchiffrement.
Ensuite, les sauvegardes doivent être régulières, redondantes et hébergées dans des emplacements sécurisés.
Enfin, les sauvegardes doivent être immutables, c’est-à-dire qu’elles ne peuvent pas être altérées (modifiées ou supprimées) par qui que ce soit, y compris par l’administrateur du système.
Quelles sont vos solutions de continuité d'activité ?
La continuité ou la reprise de l’activité après un incident est un aspect majeur de la sécurité des données. Il est important de vous assurer que l’entreprise prestataire possède les ressources nécessaires à la reprise d’activité ainsi qu’un plan documenté et testé. Ce n’est qu’ainsi qu’il pourra vous garantir une restauration rapide des services et des données en cas de catastrophe naturelle, d’erreur humaine ou de toute autre perturbation.
Le plan de reprise d’activité de votre prestataire devra, en outre, inclure une partie dédiée à la protection contre les cyberattaques (par exemple contre les ransomware).
Testez-vous régulièrement votre sécurité ?
Les tests de sécurité consistent le plus souvent en des tests d’intrusion ou des audits de la part d’entreprises externes expertes dans la cybersécurité.
Il est normal que votre prestataire refuse de vous fournir le rapport d'un test de sécurité
Ces rapports contiennent des informations sensibles qu'ils ne peuvent pas communiquer.
Il est normal que votre prestataire n'ait pas de certificat "d'inviolabilité" à vous montrer
Aucune entreprise, même experte en cybersécurité, ne peut vous garantir un risque zéro. Elles n'établissent donc pas de tels certificats lors des audits et tests d'intrusion, y compris lorsque ceux-ci ne révèlent aucune faille de sécurité.
Votre entreprise peut demander et/ou financer un test d'intrusion
Là encore, pour des raisons de confidentialité, vous n'aurez pas accès au rapport complet. Vous devriez toutefois, normalement, avoir accès à une partie du rapport.
Où mes données seront-elles hébergées ?
Une entreprise réticente à vous donner cette information devrait éveiller votre méfiance. Vous pouvez également demander à visiter le lieu d’hébergement (pour cette requête, en revanche, le prestataire peut refuser sans que cela soit un signal inquiétant).
Pourriez-vous me donner une liste de vos mesures de sécurité physique ?
La majorité des prestataires pourront vous fournir un tel document. Celui-ci vous permettra d’en savoir plus les mesures de sécurité physiques mises en place pour protéger leur(s) centre(s) de données: surveillance vidéo, installation électrique, système de refroidissement, analyse des risques et mesures prévues contre les sinistres comme les incendies et les inondations.
Est-ce que vous faites appel à des sous-traitants ?
Si le prestataire a sous-traité une partie du traitement de vos données, par exemple leur hébergement sur un cloud public type Microsoft Azur ou AWS, vous devez le savoir. En effet, une cyberattaque sur ces éventuels sous-traitants impacterait également vos données. Leur niveau de sécurité vous importe donc tout autant que celui de votre prestataire SaaS.
Ainsi, si le prestataire fait appel à des sous-traitants, n’hésitez pas à lui demander s’ils possèdent une certification ISAE 3402, ce qui serait un signal positif.
D'une façon général, le prestataire doit se montrer transparent
La cybersécurité est un domaine extrêmement complexe qui nécessite des compétences pointues. C’est pour cette raison que des certifications existent, établies par des experts, afin de vous guider dans votre choix. Les certifications ISO 27001 et ISAE 3402 sont ainsi des indicateurs très positifs car ils sont une garantie pour vous d’un niveau de sécurité très élevé.
Pour les autres points, il se peut que vous ne possédiez pas les compétences pour évaluer le niveau de sécurité de votre prestataire. Le plus important sera alors de voir si la personne en face de vous se montre transparente, répond à vos questions et vous fournit des explications sur leur manière de fonctionner.
Vous pouvez chercher des réponses sur le site web de votre prestataire ou dans sa documentation. Toutefois, vérifiez que les informations correspondent bien au service auquel vous avez souscrit.
Mon prestataire SaaS ne me paraît pas fournir le niveau de sécurité suffisant. Que faire ?
Si vous vous rendez compte que votre prestataire SaaS actuel ne fournit pas une sécurité suffisante, n’hésitez pas, en premier lieu, à lui demander si le niveau de sécurité que vous demandez est payant.
Si, malgré tout, votre prestataire ne semble pas pouvoir vous offrir les garanties énoncées ci-dessus, nous vous conseillons bien sûr de changer de prestataire dès que possible.
Les données hébergées chez ce prestataire sont sensibles
Vos données peuvent être sensibles du point de vue de la protection des données nLPD ou parce qu’elles sont nécessaires à la bonne marche de votre entreprise. Dans les deux cas, il vous faudra trouver un nouveau prestataire dont vous vous serez assuré de la sécurité grâce aux questions ci-dessus. Migrez ensuite vos données chez ce nouveau prestataire.
Les données hébergées chez ce prestataire ne sont pas sensibles
Dans le cas où ces données ne seraient pas sensibles, ce qui signifie que votre entreprise ne serait pas impactée en cas de fuite de ces données et n’en a pas besoin pour fonctionner, vous avez le choix. Vous pouvez choisir de les migrer chez votre nouveau prestataire ou de repartir de zéro (sans historique de données) avec le nouveau. Dans cette seconde option, assurez-vous de la suppression de vos données chez votre ancien prestataire et demandez-lui un document le certifiant.
