Avis d’Expert – IBM : 10 questions de sécurité à vous poser avant de choisir un fournisseur SaaS

Sécurité
ibm-securite-cloud
Sponsorisé par IBM

Un nouvel Avis d’Experts IBM sur les précautions à prendre en termes de sécurité IT lorsqu’une entreprise cherche un fournisseur SaaS.

Le SaaS, on va tous y passer, pour le meilleur et… pour le meilleur.

Pour éviter les mauvaises surprises, voici quelques questions utiles qui touchent à la sécurité du service, et qu’il vaut mieux vous poser avant de choisir votre fournisseur de logiciel en SaaS.

1. Qui sera le “propriétaire” de ce service dans votre entreprise ? Il va probablement payer, et il devra décider qui est autorisé à utiliser le service.

2. Qui seront les utilisateurs de ce service ? Internes, clients, ou partenaires, il faudra les identifier. Profitez-en pour vérifier que le service s’intègrera simplement avec votre SSO (Single Sign On) d’entreprise.

3. Votre entreprise utilise-t-elle déjà des services similaires (même sans l’accord de la DSI) ? Souvent, il vaudra mieux faire converger tous les collaborateurs vers un service unique ; et ça pourrait vouloir dire réutiliser le service actuel plutôt que d’en choisir un nouveau.

4. Quelles sont les données qui vont être transmises dans le Cloud ? Vous devez respecter la réglementation qui s’applique à vos clients, votre secteur d’activité et à votre pays, probablement la France si vous lisez ce texte. Attention également à la réglementation européenne et à la nationalité de vos utilisateurs.

5. Les conditions de service (SLAs) proposées par le fournisseur sont-elles compatibles avec l’importance que le service représente pour votre entreprise ? Difficile de faire reposer le suivi de vos clients sur un service qui n’assure pas de haute disponibilité.

6. Comment sera gérée la réversibilité du contrat ? Il faudra alors récupérer vos données et vous assurer qu’elles ont été effacées dans le Cloud. Pour la mise en place, en général, on peut espérer que le fournisseur vous aidera…

7. Quelles mesures prend votre fournisseur pour surveiller ses systèmes, détecter les attaques et les contrer ? Posez-lui quelques questions liées à l’actualité de la sécurité. Début 2018, vous pouvez par exemple vous renseigner sur sa posture face à Meltdown et au RGPD. S’il vous demande d’épeler, mauvaise pioche…

8. Faut-il apporter une couche de sécurité supplémentaire pour ce service ? Ça pourrait par exemple consister à masquer certaines données qui partent dans le Cloud ou à collecter les logs de fonctionnement du service distant, ce qui sous-entend que le fournisseur vous y autorise.

9. Comment allez-vous pouvoir interagir avec le fournisseur ? Il doit vous avertir des problèmes qu’il rencontre. Et vous devez également pouvoir lui notifier un incident de votre côté.

10. Et pour finir, avez-vous obtenu rapidement des réponses claires aux 9 premières questions ? Si votre fournisseur vous demande un délai pour clarifier sa position face à ces questions, c’est mauvais signe sur sa maturité.

Le site SecurityIntelligence.com est une excellente source d’informations complémentaires dans le domaine de la sécurité informatique, et en particulier sur la sécurité du Cloud.

Pour en savoir plus sur la sécurité du cloud, je vous conseille cet article : Lacking Cloud Security Policies Leave 60 Percent of Data at Risk

Auteur
En savoir plus 
Architecte Logiciel
IBM
Thierry Matusiak est architecte logiciel chez IBM depuis plus de 15 ans, où il a acquis une solide expérience dans le développement applicatif, l’intégration de systèmes d’information complexes, la sécurité, la conformité et la gestion des risques informatiques. Il est membre actif du Clusif. Il a donné des cours dans plusieurs universités françaises sur les architectures web et les technologies de modélisation. Il est titulaire d’un MBA (Warwick - 2015), avec un double focus sur le SaaS et sur les fusions/acquisitions.
En savoir plus 

Livres blancs A la Une