Checklist de sécurité et questionnaire d’évaluation SaaS

Introduction

Réaliser une évaluation de sécurité des logiciels en tant que service (SaaS) est un élément essentiel du protocole d'évaluation de la qualité de toute entreprise qui évalue ses fournisseurs potentiels. Les données stockées via le SaaS ne sont pas stockées sur site, ce qui signifie que les données sensibles et confidentielles sont davantage exposées à des failles de sécurité provenant de l'extérieur. Il est important que tous les nouveaux SaaS de votre portefeuille répondent aux normes réglementaires auxquelles votre entreprise est soumise.

Un questionnaire sur la sécurité SaaS permettra de connaître le lieu de stockage des données, les mesures de sécurité prises pour garantir la sécurité des données et s'assurer que le fournisseur est à jour avec les règles et les certificats de protection des données, ainsi qu’une variété d’autres informations.

Cette évaluation reposera sur les bonnes pratiques générales en matière de sécurité SaaS et sur une checklist bien définie.

Checklist de sécurité SaaS

Une checklist de sécurité SaaS est nécessaire lorsqu'une entreprise évalue la sécurité d'une nouvelle solution SaaS, et il est déconseillé d’acheter une solution de ce type sans avoir correctement évalué ses risques et obtenu le feu vert des équipes de sécurité internes.

Il s'agit d'un processus distinct de l'évaluation des risques technologiques qui permet d'évaluer les risques liés aux applications, de réduire les coûts et d'accroître l'agilité. La checklist d’une application de sécurité SaaS est dressée et remplie par le fournisseur externe avant de s’engager avec une entreprise.

Un élément important de ce processus est la mise en place d'un chiffrement de bout en bout, qui garantit que les données ne seront pas partagées avec des tiers et que le fournisseur ne pourra pas y accéder.

Informations générales

La première partie du questionnaire de sécurité SaaS porte sur des informations générales relatives au fournisseur avant de passer à des questions plus détaillées concernant la sécurité du fournisseur. Les informations générales comprennent les coordonnées ainsi que l'ancienneté de l'entreprise. Voici la liste complète des questions de la section des informations générales de la checklist de sécurité SaaS :

• Date de remplissage
• Nom du fournisseur
• Services/ Produits fournis
• Depuis combien de temps le fournisseur est-il en activité ?
• Quelle est l’année de fondation de l’entreprise du fournisseur ?
• Site(s) et siège du fournisseur
• Domaine(s) du site web du fournisseur
• Rempli par
• Fonction
• Courriel
• Téléphone

Sécurité de l’information

Cette section et les sous-sections qu'elle contient abordent en profondeur les informations relatives à la sécurité du produit. Chaque sous-section de la checklist de sécurité du SaaS permet d'évaluer si le produit est adapté à son objectif et conforme aux protocoles de sécurité de votre entreprise.

Sécurité organisationnelle

Cette sous-section de la checklist de sécurité SaaS indique les personnes en charge de la sécurité des informations et les politiques mises en œuvre pour garantir la sécurité des données entre l'entreprise et le fournisseur. Les questions sont les suivantes :

• Le fournisseur a-t-il désigné un responsable de la sécurité de l’information ?
• Quel est le nom du responsable de la sécurité de l'information ? Sa fonction ? Son rôle ?
• Politique de sécurité de l'information mise en œuvre  

Sécurité RH

Tout comme la sécurité organisationnelle, la sécurité des ressources humaines concerne les personnes avec lesquelles l'entreprise travaillera et le type d'accès qu'elles auront aux informations sensibles. Dans cette partie du questionnaire, le fournisseur indique s'il dispose de processus d'entrée et de sortie suffisants, s'il procède à des vérifications des antécédents et s'il reçoit une formation à la sécurité.

• Les collaborateurs ayant accès aux informations de [votre entreprise] ont-ils tous signé l'accord de non-divulgation du fournisseur ?
• Existe-t-il un processus d'entrée et de sortie des collaborateurs ?
• Le fournisseur vérifie-t-il les antécédents de tous les collaborateurs ?
• Une formation à la sécurité est-elle régulièrement dispensée aux collaborateurs ? Veuillez confirmer si ces formations sont dispensées au moment de l'embauche et si un rappel est effectué chaque année.

Site physique

Cette partie du questionnaire sur la sécurité SaaS indique l’emplacement des serveurs au sein du site physique et le type de sécurité physique utilisé pour protéger les données sensibles de l'entreprise.

• Veuillez indiquer l'emplacement des centres de données/salles de serveurs
• Emplacement où sont stockées les sauvegardes
• Disposez-vous d'une politique de sécurité physique et environnementale qui couvre à la fois le centre de données et les locaux du fournisseur ?

Sécurité de l’application et du réseau

Dans cette sous-section de la checklist de sécurité SaaS, l'entreprise demande si les applications et le réseau sont régulièrement testés pour détecter des failles de sécurité, et quels types de mesures de protection sont prises pour empêcher que cela ne se produise. 

• Vos applications et vos réseaux font-ils l’objet de tests d’intrusion ?
• Veuillez indiquer les mesures de protection prises concernant les risques liés au réseau (par exemple : pare-feu, HID, etc.)
• Des dispositifs contrôle de sélection et de gestion sont-ils en place concernant les mots de passe d’accès aux informations de [votre entreprise] ?
• Des dispositifs de gestion des identités et des accès sont-ils en place concernant l'accès aux informations de [votre entreprise] ?

Gestion d’actifs

Comment les actifs sont-ils gérés au sein de l'entreprise et comment les données et les informations de chacun des clients du fournisseur sont-elles stockées pour garantir leur cloisonnement ? Dans cette partie du questionnaire, le vendeur devra également décrire une méthodologie de gestion des risques.

• Disposez-vous d’une politique pour traiter les informations de [votre entreprise] comme confidentielles ?
• Les informations relatives à [votre entreprise] sont-elles traitées et stockées dans un emplacement logique distinct de celui des informations des fournisseurs et des autres clients ?
• Disposez-vous d'une méthodologie d'évaluation et de gestion des risques ?
• Une fois son contrat avec [votre entreprise] terminé ou résilié, le fournisseur nettoiera et détruira-t-il en toute sécurité (ou, si [votre entreprise] préfère cette option, renverra-t-il à [votre entreprise]) toutes les copies d’informations de [votre entreprise], y compris toutes les copies de sauvegarde et d'archivage, sous une forme électronique ou non ?

Acquisition, développement et maintenance du système

Cette sous-section du questionnaire de sécurité SaaS aborde la manière dont les applications limitent les risques et les processus mis en place pour le développement, les tests et les opérations. Le vendeur est tenu d’indiquer sa méthodologie de développement de logiciels et les mesures de sécurité sont intégrées au cycle de vie du développement des applications. 

• Les environnements de développement, de test et d'exploitation contenant les informations de [votre entreprise] sont-ils séparés les uns des autres ?
• L'application proposée à [votre entreprise] limite-t-elle les risques indiqués dans la liste Top 10 OWASP de 2017 ? 

Relations avec les sous-traitants

À quoi ressemble la relation entre le fournisseur et les sous-traitants tiers ? Il est important de préciser qui sont les sous-traitants et quels processus ils utilisent. Cette partie de la checklist de sécurité SaaS doit énumérer tous les sous-traitants.

• Le fournisseur fera-t-il appel à des sous-traitants tiers ? Si oui, lesquels ?

Gestion des incidents

Comme aucun incident n’est à exclure, cette section du questionnaire de sécurité SaaS demandera des informations sur les incidents survenus au cours de l'année écoulée et sur les processus de gestion des incidents en place. Le fournisseur doit indiquer sa politique de gestion des incidents. 

• Existe-t-il un processus documenté de gestion des incidents de sécurité pour détecter et traiter les incidents ?
• Des événements ou incidents importants se sont-ils produits lors de la prestation de vos services au cours des 12 derniers mois ? Veuillez fournir des informations sur les délais de réponse.

Gestion de la continuité des activités

Le fournisseur doit présenter son plan de continuité des activités et son plan de reprise après sinistre qui garantissent l’activation de protocoles en cas de failles ou d'autres problèmes éventuels. 

• Le fournisseur dispose-t-il d'un plan de continuité des activités et d'un plan de reprise après sinistre documentés ?

Sécurité des opérations

Cette section de la checklist de sécurité SaaS indique comment la sécurité des opérations est garantie ; quelle protection contre les logiciels malveillants est déployée ? Les journaux d'audit sont-ils conservés et examinés ? C'est important pour surveiller et enregistrer toute anomalie relevée lors des processus quotidiens.

• Les systèmes sont-ils dotés d'une capacité suffisante pour maintenir leur disponibilité en cas d'incident de sécurité, tel qu'une attaque par déni de service ?
• Une protection contre les logiciels malveillants est-elle déployée sur tous les systèmes (par exemple, serveurs, ordinateurs portables, ordinateurs de bureau) et maintenue à jour ?
• Des journaux d'audit sont-ils conservés et examinés pour toutes les actions des utilisateurs privilégiés ?
• Les journaux d'audit sont-ils conservés pendant au moins 90 jours ?

Sauvegarde et restauration

Dans cette section, le fournisseur décrit les politiques de sauvegarde et de restauration mises en place en cas de faille ou de panne du serveur. Ce type d’incident peut entraîner une interruption du service SaaS et mettre en danger les données de l'entreprise.

• Le fournisseur a-t-il mis en place une politique de sauvegarde et de restauration ?

Chiffrement

Dans cette section de la checklist de sécurité du SaaS, le fournisseur décrit la politique mise en place en matière de chiffrement des données, un élément très important qui permet de déterminer la mesure dans laquelle le fournisseur protège les données et les informations d'une organisation contre les menaces. 

• Les données sont-elles cryptées au repos et en transit ?

Élimination des données

Comment les données sensibles sont-elles éliminées, à la fois physiquement et par le biais du service ? Le fournisseur doit décrire les politiques d'élimination des données mises en place et s'assurer que tous les documents papier sont détruits en toute sécurité et que le matériel informatique est vidé conformément aux bonnes pratiques du secteur.

• Le fournisseur dispose-t-il d'une politique d'élimination des données ? Veuillez détailler les processus selon lesquels vous éliminez les documents papier et videz le matériel informatique en toute sécurité afin de protéger les données sensibles et/ou confidentielles.

Gestion du changement

Dans cette sous-section du questionnaire sur la sécurité SaaS, le fournisseur doit décrire le processus de gestion des changements mis en œuvre, lequel préserve la sécurité du service en cas de modification du système.

• Avez-vous mis en place un processus de gestion du changement ? Veuillez expliquer.

Normes de sécurité de l'information

Cette dernière section de la checklist de sécurité SaaS permet de s'assurer que le fournisseur SaaS dispose de tous les certificats externes et a dûment passé les évaluations importantes en matière de sécurité d'entreprise. Il lui est demandé de fournir des justificatifs récents. 

• Des audits et/ou des évaluations concernant la sécurité et la confidentialité sont-ils effectués régulièrement par du personnel qualifié ? Veuillez inclure le rapport d'audit externe le plus récent (par exemple, SOC I, SOC 2, ISO 27001, etc.) le cas échéant.

Conclusion

Une fois la checklist de sécurité SaaS remplie, l'entreprise déterminera si les réponses aux questions sont suffisantes et confirment que la sécurité des données et des informations sensibles est garantie. Le cas échéant, l’entreprise peut passer à l'étape suivante du processus de mise en œuvre du SaaS.

Une bonne évaluation de la sécurité est indispensable après une détection de shadow IT, car elle apporte de la sérénité aux entreprises qui mettent en œuvre de nouvelles solutions SaaS et est indispensable à la réussite de la relation entre les deux parties.