Pour répondre à la demande accrue, les éditeurs de solutions de cybersécurité ont élargi leur offre vers un modèle de consommation SaaS.
Plusieurs familles d’outils, jusqu’alors distribués essentiellement en mode « on premise », ont franchi le pas : antimalware, WAF, proxy, SIEM, etc. Cette tendance à déporter les services de sécurité vers le cloud comporte de nombreux avantages, mais aussi des inconvénients à prendre au sérieux. Déplacer vers le cloud des fonctions clés de sécurité et les données sensibles associées reste un saut dans l’inconnu.
Contrer cette tendance au « cloud camouflage » implique d’aider les décisionnaires à faire valoir leurs exigences de transparence sur le niveau de sécurité de l’éditeur et d’éclairer les entreprises et organisations sur les produits cloud qu’ils consomment. Sans attendre le législateur, voici les questions clés que vous devriez vous poser lors de la sélection d’une solution SaaS, ainsi que des pistes pour vous assurer d’obtenir les informations indispensables :
Localisation
Où est localisée l’infrastructure d’hébergement qui porte le service SaaS ?
- en France ?
- dans l’Union Européenne ?
- sur d’autres continents ?
➡️ Ces éléments sont parfois communiqués publiquement par l’éditeur dans ses conditions générales d’utilisation (CGU). Il est cependant parfois nécessaire de poser la question de façon explicite.
Réputation
- Quelle est la réputation de l’éditeur ?
- A-t-il été l’objet de fuites de données ou d’attaques informatiques médiatisées ?
- Ses produits sont-ils souvent touchés par des vulnérabilités (common vulnerabilities and exposures / CVE) ?
➡️ Vous trouverez généralement les réponses dans l’Internet public. Il vous faudra simplement prendre le temps d’effectuer ces recherches. Si l’éditeur publie des références sur son site, pourquoi ne pas interroger ses clients pour obtenir un retour d’expérience ?
Conformité
- Quel est le niveau de l’éditeur en termes de conformité ?
- Quelles sont les certifications et qualifications qu’il a obtenues ?
- Ses certifications sont-elles compatibles avec les contraintes légales et règlementaires qui vous sont applicables ?
➡️ En général, l’éditeur a tout intérêt à faire la publicité de ses certifications ou qualifications (ISO 27001, HDS, SecNumCloud…) Cependant, nous vous recommandons de creuser un peu plus le sujet :
- Demandez une copie de la certification et faites bien attention au périmètre couvert. Un abus fréquent consiste en effet à cacher le fait que la certification couvre un très petit périmètre
- Si l’éditeur est certifié ISO 27001, demandez-lui sa Déclaration d’Applicabilité
- Demandez à l’éditeur des rapports d’audit, par exemple ISAE 3402 ou SOC 2, idéalement de type 2
- Demandez-lui de présenter sa politique de protection des données, ainsi que les mesures prises pour assurer le respect du RGPD
- Vérifiez si l’éditeur apparaît bien dans les registres publics maintenus par les autorités de qualification comme l’ANSSI (en France) ou l’ENISA (en Europe)
- Soumettez à l’éditeur des questionnaires de sécurité, par exemple basés sur le CAIQ (Consensus Assessments Initiative Questionnaire) qui est librement mis à disposition par la CSA (Cloud Security Alliance)
- Négociez la possibilité de réaliser des audits de conformité
Maturité
- Quelle est la maturité de l’éditeur dans le développement logiciel de sa solution ?
➡️ Une partie de la réponse devrait être fournie par les éléments de conformité que nous avons déjà cités, mais nous vous recommandons de demander des éléments supplémentaires :
- Les développeurs bénéficient-ils de formations ou sensibilisations à la sécurité du code informatique ?
- L’éditeur a-t-il adopté les pratiques DevSecOps ?
- Réalise-t-il régulièrement des tests d’intrusion sur sa propre solution ? Si oui, accepte-t-il de partager a minima des résumés exécutifs de ses derniers tests ?
- L’éditeur accepte-t-il que les clients réalisent des tests d’intrusion par leurs propres moyens ?
Obtenir plus d’informations et de transparence sur les services de sécurité SaaS est une attente légitime, qui va devenir plus criante à mesure que s’opère la migration vers le cloud des solutions de sécurité. Aiguillonnés par les utilisateurs, les éditeurs de solutions seront plus susceptibles de faire globalement monter le niveau de protection des systèmes d’information en France. Et nous pourrons ainsi, collectivement, accélérer la lutte contre la cybermalveillance.