Blog GlobalSign

15 déc. 2017

Cinq questions de sécurité à poser à votre fournisseur SaaS

On croise tous les jours des fournisseurs SaaS (Software as a Service) qui assortissent leurs offres de promesses de facilité, de simplicité et d’économies. Même si le cloud se porte bien, particuliers et professionnels doivent néanmoins se méfier des risques potentiels et des graves problèmes de management susceptibles de survenir après l’adoption d’une solution SaaS.

Avant même d’envisager de vous abonner à une solution SaaS, réfléchissez aux questions essentielles à poser à votre fournisseur potentiel.

Comment stockez-vous nos données de cartes bancaires ?

Certains sites Web stockent les données chiffrées de carte bancaire dans des bases de données SQL. Or, on ne connaît jamais le niveau de sécurité de ces bases de données. Pour éviter tout risque, assurez-vous que vos données de carte bancaire ne seront pas stockées sur le propre serveur de votre fournisseur.

Idéalement, une entreprise utilise une passerelle de paiement ou un serveur tiers pour traiter et stocker vos informations de paiement. Même s’il est impossible de se protéger de 100 % des attaques, ces sociétés tierces possèdent les infrastructures et dispositifs de sécurité adaptés pour traiter vos données.

Êtes-vous conforme à la norme PCI ?

La norme PCI DSS (Payment Card Industry Data Security Standard) est un ensemble de standards de sécurité créé pour garantir le maintien d’un certain niveau de sécurité dans les entreprises qui stockent, traitent ou transmettent les données des détenteurs de cartes (principales cartes de crédit à débit immédiat ou différé, cartes prépayées et autres cartes bancaires).

Interrogez votre fournisseur sur sa conformité avec la norme PCI. Hormis l’utilisation d’un réseau sécurisé pour traiter les paiements, tout fournisseur SaaS doit avoir mis en place un ensemble sécurisé de protocoles d’accès physiques. Posez des questions sur la manière dont les employés accèdent aux données des détenteurs de cartes.

Vérifiez que ces informations ne sont accessibles qu’aux personnes autorisées et tâchez de savoir si l’accès physique à ces informations est bien interdit aux personnes n’ayant pas de contacts avec les clients et ne gérant pas les paiements. Pour prévenir toute fuite de données sensibles, les centres de contacts interdisent généralement les téléphones mobiles sur les plateaux. D’autres environnements similaires ont choisi la voie de la dématérialisation totale… difficile, dans un contexte « zéro papier », pour un employé de noter des données sensibles quelque part.

Que faites-vous de nos données si nous décidons de nous passer de vos services ?

Lorsque vous confiez vos données à une société SaaS, vous ne devriez pas avoir à craindre de vous retrouver pieds et poings liés à ce fournisseur. Dans ses conditions d’utilisation de ses services, le fournisseur doit clairement indiquer que vous restez propriétaire des données que vous créez et stockez sur son serveur. Vous devriez également être en mesure de sauvegarder et d’exporter vos données pour pouvoir y accéder facilement dans le cas où vous décideriez de vous désabonner.

Par ailleurs, le format d’export de vos données ne doit pas être un format propriétaire pour éviter tout problème de compatibilité si jamais vous changez de fournisseur.

Proposez-vous des accords de SLA ?

Tout achat d’une nouvelle voiture d’un nouveau téléphone est généralement assorti d’une garantie. Un promoteur immobilier est tenu de présenter au propriétaire les plans réalisés par un architecte lors de la construction d’une maison. Même chose pour le SaaS : l’accord de niveau de service (SLA) garantit que le service fourni sera conforme aux promesses ; cet accord est censé proposer des solutions, lorsque le fournisseur ne peut tenir ses engagements.

Interrogez votre fournisseur cloud sur la disponibilité de service (ex. : uptime 99,99 %), les scénarios de pannes, les mesures de reprise sur sinistre, les procédures pour traiter les problèmes, les délais de résolution escomptés, etc. Lisez attentivement l’accord de SLA de votre fournisseur. Assurez-vous de bien comprendre sa définition du temps de disponibilité et d’indisponibilité. Et s’il le faut, prenez connaissance de tous les détails techniques.

Avez-vous déjà été victime d’une violation de sécurité ?

Demandez à votre fournisseur SaaS potentiel de vous transmettre un historique détaillé des violations de sécurité survenues dans son entreprise. Cette question vous permet d’en savoir plus sur sa capacité à corriger le tir après de tels incidents et sur les actions prises pour éviter qu’elles ne se reproduisent à l’avenir. Cela vous donne également une bonne indication du type de sécurité mis en place.

La sécurité physique compte également, même si elle est souvent négligée. Interrogez votre fournisseur sur l’existence de certaines règles pour empêcher qu’un individu puisse télécharger des données, à l’insu de tous, depuis vos serveurs vers une clé USB, puis quitter les lieux sans être inquiété.

Si le cloud représente une solution extrêmement viable pour les entreprises de toute taille d’aujourd’hui, il n’en reste pas moins que les clients doivent poser les bonnes questions pour s’assurer que leur fournisseur SaaS sera capable de répondre à leurs exigences. Après tout, le client, c’est vous. ET vous devez pouvoir vous assurer que vos données sont en sécurité et restent sous votre contrôle.

À propos de l’auteur

Klaris Chua est une professionnelle du marketing et des contenus numériques. Elle a écrit de nombreux articles sur la communication des petites entreprises. Cette ancienne reporter d’un journal sur les entreprises n’a pas choisi la voie classique de l’écriture. Vous pouvez la contacter via Twitter.

Note : ce billet de blog a été écrit par un rédacteur externe afin de varier les contenus proposés à nos lecteurs. Les opinions exprimées par l’auteur de cet article sont exclusivement les siennes et ne reflètent pas nécessairement les opinions de GlobalSign.

Partager ce blog