Ça y est, c'est décidé, vous allez déléguer la gestion complète de certaines activités logicielles (conception, développement, déploiement, support, hébergement, maintenance) à un partenaire afin d'économiser des coûts. Salaires des collaborateurs, de leurs vacances, gestion électronique des documents, applications métier, tout sera en ligne afin d'économiser des coûts à tous les niveaux: infrastructure, ressources humaines, opérations, et j'en passe.

C'est le Software as a Service, le SaaS (ou l'ASP pour ceux qui ont compris qu'on n'a rien inventé mais que ça excite le marketing d'avoir de nouveaux mots) c'est certainement estampillé cloud computing, c'est tendance, c'est génial et ça le fait lorsque vous en parlez à d'autres directeurs!

Pourtant, vos données ne sont désormais plus chez vous. Elles sont ailleurs.

Où sont-elles? Qui les protège? Comment sont-elles protégées? Quelles sont les garanties de sécurité dont vous disposez? Les avez-vous contractualisées?

Pour vous aider à gérer ces risques, vous trouverez ci-après une liste de points de contrôles à valider en amont de la conclusion d'un accord avec votre partenaire.



Points de contrôle de sécurité - logiciel en tant que service (SaaS)


  • Examinez l'historique de la qualité de service du fournisseur. Demandez des références clients et contactez-les afin d'obtenir des informations sur des aspects tels que la protection des données, la fiabilité des services et le traitement des incidents de sécurité.
  • Vérifiez que les exigences de sécurité soient contractualisées, en particulier les exigences de sécurité d'architecture (sécurisation des systèmes et du réseau) et des logiciels (sécurité applicative).
  • Assurez-vous d'avoir la possibilité de tester la sécurité de leur services. Vous devez pouvoir le faire sur une base périodique raisonnable (annuelle ou bisannuelle), soit déléguer cette tâche à votre sous-traitant, soit demander l'accès aux rapports de tests effectués par un prestataire indépendant de votre fournisseur. Le test de sécurité doit vous permettre d'évaluer la résistance de l'infrastructure aux attaques (réseaux/systèmes), la résistance aux attaques techniques sur la couche logicielle, ainsi que la résistance aux attaques d'étanchéité sur la couche métier (confidentialité et intégrité inter-utilisateurs et inter-clients).
  • Exigez des garanties solides concernant la mise à jour des systèmes. Le niveau de qualité de service à la mode Six Sigma exige la mise en oeuvre de 99,9997% des correctifs de sécurité dans les heures qui suivent l'annonce publique de la faille.
  • N'acceptez pas une politique de sécurisation "silencieuse." Demandez à être notifié lorsque des changements relatifs à la sécurité sont opérés et qu'ils soient directement rapportés à votre CISO (ou RSSI). Vérifiez qu'une interface est mise à votre disposition pour consulter l'historique des failles de sécurité qui ont été corrigées par le passé (changelog).
  • Assurez-vous que le cycle de développement logiciel de votre fournisseur inclut des points de contrôle relatifs à la sécurité. En particulier, vérifiez l'adhésion à des pratiques de développement sécurisé (conformité avec les référentiels Top 10 de l'OWASP ou Top 25 du CWE/SANS par exemple). Demandez à ce que la description du processus de développement soit annexée au contrat de services.
  • Vérifiez la politique et les protocoles de récupération et destruction des données dans le cas où vous souhaiterez résilier la relation avec votre fournisseur. Observez en particulier les procédures de 1) restitution de vos données (les rapatrier chez vous) 2) retrait du réseau (les rendre inaccessibles en ligne) 3) suppression de leur infrastructure. Sachez combien de temps chacune de ces procédures vous demandera en temps et argent si elle venait à être activée.
  • Vérifiez la robustesse du chiffrement des données (algorithmes et tailles des clés utilisés) et la gestion des secrets associés (cycles de rotation, génération, circulation, sauvegarde, révocation, destruction des clés de chiffrement). Assurez-vous qu'il soit possible de forcer le chiffrement de toutes les communications établies avec le fournisseur (canal SSL).
  • Assurez-vous que l'équipement des utilisateurs ne constituera pas le maillon faible de l'infrastructure: identifiez les navigateurs sur lesquels les garanties de support sont fournies et la réactivité du fournisseur par rapport à l'évolution des navigateurs. S'il vous dit que sa suite de services est compatible IE version 6 et 7, méfiez-vous.
  • Assurez-vous de pouvoir restreindre l'accès à votre service, selon l'origine des connexions et leur horaire. Restrictions par adresse IP, classes d'adresses IP et par tranche horaire.
  • Assurez-vous d'avoir la possibilité d'empêcher l'accès à votre service par tout autre réseau que celui de l'entreprise. En cas d'accès à distance, les collaborateurs devront au préalable établir un tunnel sécurisé (VPN) entre leur poste de travail et le réseau d'entreprise. Même si ce n'est pas votre objectif immédiat, assurez-vous de pouvoir mettre en oeuvre cette protection.
  • Maintenez toujours le contrôle administratif et technique des noms de domaines que vous assignez à des services hébergés. Ne déléguez jamais cette responsabilité à l'hébergeur!
  • Exigez de connaître en tout temps l'emplacement géographique de vos données stockées. Votre fournisseur dispose-t-il de plusieurs centres de données distribués sur plusieurs pays? Fait-il appel à des prestataires de serveurs de cache? Où les sauvegardes sont-elles entreposées? Par quels pays transitent-elles? Assurez-vous que vous ne vous exposez pas à des dispositions légales pouvant vous porter préjudice, en particulier si le service hébergera des données personnelles (sur vos collaborateurs ou vos clients), médicales ou financières.

Et le conseil le plus important: faites-vous accompagner d'un professionnel en la matière si vous ne vous sentez pas certain-e de pouvoir vérifier les points ci-dessus!

Certains éléments de cette liste ont été repris d'un article initialement publié sur Net-security.org.