Le logiciel service (SaaS) est un modèle de prestation de services très prisé pour accroître l’efficacité des services en TI axés sur les activités opérationnelles. La facilité de mise en œuvre et les faibles coûts en TI des modèles de paiement à l’utilisation se sont avérés très attrayants pour les entreprises désireuses de bénéficier d’applications modernes sans devoir faire d’investissement majeur ni administrer ces services à l’interne.
Le fait que les services SaaS puissent être hébergés dans des environnements infonuagiques publics fait cependant surgir certaines préoccupations liées à la sécurité, notamment en raison du manque de contrôle et de visibilité sur les conditions de sécurité du fournisseur. Les données des clients sont en effet gouvernées selon le cadre de gestion du fournisseur SaaS plutôt qu’en fonction de celui du client.
Voici quelques-unes des questions que devraient se poser les organisations pour s’assurer que leur fournisseur SaaS assure la confidentialité et l’intégrité des données transmises ou stockées.
- Est-ce que des mécanismes appropriés de chiffrement sont utilisés pour les données en cours de transmission ou stockées?
- Est-ce que les plus récentes versions approuvées des protocoles SSL et TLS sont utilisées pour protéger les données acheminées par les systèmes client au fournisseur SaaS?
- Est-ce que le fournisseur a recours à la gestion des clés de chiffrement pour protéger les données sensibles stockées? Est-ce que des algorithmes approuvés par un organe directeur sont mis en œuvre? Est-ce que les clés de chiffrement sont changées régulièrement? Est-ce que des produits avancés de chiffrement sont disponibles pour fournir un accès utilisateur précis et privilégié aux champs de données cryptés tout en maintenant le chiffrement des données pour les autres utilisateurs?
- Est-ce que le fournisseur SaaS a passé les audits de conformité nationaux ou internationaux avec succès concernant l’hébergement des données sensibles, p. ex. information sur les normes de l’industrie des cartes de paiement, données personnelles ou renseignements permettant d’établir l’identité des personnes? Si oui, est-ce que les résultats d’audit sont accessibles afin de vérifier que les contrôles sont en place? Des résultats d’évaluation propres aux centres de traitement de données peuvent également être obtenus à des fins d’analyse et de vérification. Si le fournisseur propose des services dans l’Union européenne, se conforme-t-il aux nouvelles exigences du règlement général sur la protection des données?
- Quelles approches et quels emplacements de sauvegarde et de réplication des données sont utilisés? Dans certains cas, les fournisseurs SaaS dupliquent les données des clients dans de nombreux centres de traitement pour maintenir un basculement ou un niveau élevé de disponibilité. La réplication des données peut également se faire en différents emplacements géographiques, voire au-delà des frontières nationales. Les clients devraient chercher à connaître les législations des endroits où seront conservées des copies de leurs données.
- Pour les clients gouvernementaux, est-ce que le fournisseur détient les certifications ou les autorisations pertinentes, p. ex. FedRAMP pour les organismes gouvernementaux américains ou G-Cloud pour les gouvernements du Royaume-Uni?
- Est-ce que le fournisseur SaaS administre les services en mode agent afin de restreindre l’accès au réseau client?
- Est-ce que le fournisseur a recours au développement de logiciels et à l’ingénierie de produits SaaS pour assurer la sécurité tout au long du cycle de vie du développement de ces produits?
Les clients ayant recours au logiciel service pourraient également communiquer avec l’équipe de sécurité du fournisseur pour connaître les détails de la gestion de la sécurité ainsi que des contrôles de sécurité opérationnelle et technique employés pour protéger les données.
Il existe aussi des mesures pouvant être prises par les clients eux-mêmes. Ils peuvent par exemple utiliser un pare-feu de filtrage sortant pour restreindre l’accès des réseaux internes aux adresses IP requises pour fournir les services SaaS, ou restreindre l’accès aux services SaaS à un sous-ensemble d’adresses IP internes. Les clients peuvent également mettre en œuvre des contrôles d’accès fondés sur les rôles et utiliser une authentification à facteurs multiples pour assurer l’intégrité des accès.
CGI peut aider les organisations à évaluer la sécurité de leurs environnements SaaS et de la technologie de proxy ou de segmentation en unité. Nos services sont offerts par l’entremise de CGI Unify360, notre suite de gestion des environnements informatiques hybrides. Nous évaluons constamment les nouvelles technologies en matière de sécurité afin d’assurer la confidentialité des données traitées ou stockées. De telles technologies sont particulièrement pertinentes pour nos clients dont les données sont stockées dans un nuage ou par un fournisseur SaaS établi dans un pays différent du leur.
Si le sujet de la sécurité du nuage vous intéresse, je vous invite à lire le récent billet de blogue de mon collègue Paul Douthit : Sécurité infonuagique et atteinte d’objectifs de conformité – Leçons apprises.