CRM, ERP, logiciels de comptabilité et de gestion des ressources, outils marketing et de gestion de projet. L’entreprise d’aujourd’hui s’appuie sur de nombreuses plateformes aux rôles variés mais qui, de plus en plus, ont un point commun : elles sont offertes sous forme d’abonnement et sont livrées en cloud, c’est-à-dire qu’elles sont livrées en mode Software-as-a-Service (SaaS). Cet article vous présente la meilleure manière de s’assurer de la sécurité des plateformes SaaS.

Chiffres clés du SaaS

La révolution SaaS est l’un des principaux moteurs de la transformation digitale, en grande partie parce qu’elle rend les technologies accessibles aux entreprises de toutes tailles. En effet, une étude conduite par McKinsey anticipe une croissance annuelle de 20% du marché SaaS ; un marché qui devrait en conséquence atteindre près de 200 milliards de dollars d’ici 2024. La moitié des entreprises interrogées par McKinsey dans le cadre de cette étude affirment avoir utilisé jusqu’à 20 solutions SaaS et un quart d’entre elles disent en avoir utilisé plus de 80.

L’attrait des offres SaaS est donc indéniable : elles permettent au client de se concentrer sur les résultats plutôt que sur les coûts et permettent un déploiement rapide des solutions. Le déploiement en mode SaaS assure un impact financier réduit, constituant un coût de fonctionnement (OPEX) plutôt qu’un coût d’investissement (CAPEX), et assurent ainsi davantage de flexibilité et des délais d’approbation plus courts. Les solutions SaaS ont aussi l’avantage d’être universellement accessibles — où que l’utilisateur se trouve et quel que soit le système d’exploitation utilisé. De plus, selon Forbes, l’utilisation de ce type de solution renforce les relations clients-fournisseur SaaS.

Cependant, ce nouveaux mode présente également certaines vulnérabilités caractéristiques auxquelles il convient de faire attention afin de bénéficier au mieux des avantages tout en limitant les risques. La question de la sécurité des plateformes SaaS est particulièrement importante. Avec les logiciels classiques « on premise », l’entreprise maintient le contrôle de l’accès au produit, et elle est responsable de son infrastructure et de sa sécurité. Avec les solutions SaaS, cette responsabilité revient au fournisseur de la plateforme.

Cela explique en grande partie la réticence de certaines entreprises à adopter ce modèle. En effet, 92% des entreprises interrogées dans le cadre de l’étude McKinsey disent avoir adopté une solution d’automatisation en SaaS, mais beaucoup d’entre elles se disent réticentes à l’utiliser dans le cadre d’activités qui requièrent le traitement de données d’utilisateurs et autres informations et documents sensibles.

Choisir son prestataire

L’automatisation des processus métiers présente donc des défis importants. Les suites d’automatisation traitent un très grand nombre de données de nature variée et l’intervention humaine pour assurer le fonctionnement est minimale. Pour garantir la sécurité, tous les processus et tout risque potentiel doivent être pris en compte et un système de sauvegarde continu doit être en place.

Quelles sont donc les questions à se poser en priorité en matière de sécurité des plateformes SaaS lors du choix d’un prestataire ?

En nous basant sur notre expérience et sur nos certifications, ainsi que sur les standards existants de bonne pratiques (par exemple, standards définis par le National Cyber Security Center britannique ou par des revues spécialisés), nous avons mis au point une liste qui devrait pouvoir vous guider dans ce choix.

1. Sécurité de l’infrastructure physique

L’infrastructure physique est l’un des aspects les plus négligés des plateformes as-a-service, bien qu’elle en soit souvent le plus important (« Infrastructure-as-a-Service »). Certains prestataires utilisent leur propre infrastructure, cependant, la majorité font appel aux services spécialisés d’opérateurs cloud (Google, Microsoft, Amazon). Cela ne les absout pas des responsabilités suivantes :

Fonctionnement continu et disponibilité – Soit par contrat ou par engagement SLA, le prestataire SaaS doit s’engager à assurer un niveau de disponibilité élevé de ses services.

Sauvegardes et récupération en cas de sinistre –Un système de sauvegarde et de récupération des données en cas de sinistre doit être défini, précisant la régularité des sauvegardes, ainsi que le délai de récupération en cas de sinistre.

Stabilité et portabilité – La clé pour à la fois maintenir la stabilité et assurer la portabilité (au cas où le prestataire SaaS ne peut plus fournir le service) est d’utiliser un accès sécurisé mais standard à votre infrastructure physique, permettant une intervention rapide et efficace.

2. Sécurité des données

La sécurité des données comprend autant le mode de traitement des données au sein du système SaaS que le format des données.

Sécurité de l’information –Des normes telles que ISO 27001 pour la sécurité des informations garantissent que votre fournisseur est en mesure de gérer en toute sécurité le stockage d’informations dans le cloud ou par des parties tierces.

Data in Transit and Data at Rest Protection – L’utilisation d’une norme éprouvée telle que la norme TLS (Transport Layer Security) permet de renforcer la confidentialité et d’accélérer les échanges de données. L’obtention d’un certificat TLS n’est pas bien difficile, cependant, il faut être particulièrement attentif lors de sa configuration.

Le chiffrement et les certificats numériques (se basant sur la norme AS2 par exemple) peuvent renforcer encore davantage la sécurité des transactions, et la sécurité de cloud peu aisément assurer les données au repos.

Chiffrement de bout en bout – Un système de chiffrement de bout en bout assure que toutes les interactions entre utilisateur et serveur sont sécurisées. Pour cela, une certification SSL est recommandée (notamment par SaaS Metrics).

Protection API – Le contrôle de l’accès à l’API de plateforme SaaS prévient l’accès non-autorisé aux systèmes de l’entreprise et accélère l’intégration.

Contrôle des données et tests de vulnérabilité – L’accès à chaque couche de données doit être garanti, tandis que des tests de vulnérabilité doivent être effectués continuellement afin de détecter tout problème potentiel dans la manière dont les données sont échangées entre l’entreprise et son fournisseur.

 3. Sécurité utilisateur

Le facteur humain est souvent le maillon faible de l’écosystème de l’entreprise. C’est un sujet que nous avons récemment traité dans le cadre du risque de fraude par courriel.

La sensibilisation et la formation des utilisateurs constituent de bons points de départ, mais celles-ci devraient également être accompagnées de mesures de sécurité supplémentaires contre l’erreur humaine.

Chiffrement des données d’identification utilisateur – L’utilisation d’un système type coffre-fort numérique pour la sécurisation des clés, certificats et mots de passe sur toutes les plateformes est essentielle.

Gestion des identités et des accès – La gestion des identités permet de confirmer l’identité de chaque utilisateur. Assurez-vous que votre prestataire respecte un standard de l’identité (tel que Okta) et utilise un point d’accès sûr. En ce qui concerne la gestion des accès, les privilèges utilisateurs doivent être clairement définis et permettre une révocation facile des accès et privilèges si nécessaire.

Logs utilisateur – Chaque accès et transfert de fichier doit être suivi et enregistré. Dans le cas de documents financiers tels que les factures, les pistes d’audit sont même obligatoires.

Accès universel – L’accès à distance entièrement sécurisé sur l’interface de la plateforme SaaS doit être garanti.

4. Réponse aux incidents

Une équipe de réponse aux incidents doit être composée de personnel à la fois de votre prestataire SaaS et de votre entreprise ; il est donc important que chaque partie respecte un seuil de principes communs.

Disponibilité – Une équipe de réponse aux incidents doit être capable d’adresser les problèmes liés aux composants hardware et software, mais aussi les problèmes commerciaux et de gestion de compte. Dans certains cas, plusieurs équipes peuvent être mises en place, de façon à assurer une veille continue.

Visibilité – Les administrateurs système doivent pouvoir disposer d’une visibilité complète sur l’activité de la base d’utilisateur. Un système de reporting interne doit donc être en place. De plus, un système de planification et de suivi de l’analyse commerciale devrait également offrir une visibilité financière sur l’ensemble des processus (pas seulement techniques).

Transparence – Les incidents ainsi que leurs causes et les délais estimés de résolution doivent être communiqués clairement. Cela requiert la définition de SLA (Service Level Agreement) détaillant les mesures de prévention et de réponse aux incidents.

Initiative – Les utilisateurs doivent disposer des moyens nécessaires afin de déclarer tout incident et pour recevoir le support nécessaire — et doivent être encouragés à les utiliser.

 5. Standards et certifications

Les standards et certifications ne sont pas strictement nécessaires mais peuvent vous guider dans votre choix de prestataire SaaS. Ces standards et certifications peuvent être répartis selon plusieurs catégories :

Les normes de sécurité de l’information (par exemple, ISO 27001) sont très utiles, quel que soit le domaine d’activité concerné.

Les normes d’échange électronique des données (par exemple, ISO 20022) peut être utilisé en complément.

Les certifications pour le stockage de documents sont utiles pour les plateformes qui gèrent des volumes importants de données.

Les certifications de formats varient selon le secteur d’activité. Elles sont pertinentes pour les entreprises souhaitant se conformer à la legislation internationale (telle que la directive européenne 2014/55/EU sur la facturation électronique et ses standards).

Les certifications de protection des données – Bien mieux que par de simples accords de confidentialité, la conformité au RGPD peut être assurée grâce à ce type de certification afin de garantir réellement l’engagement de protection des données.

Alors que les entreprises se dirigent progressivement vers un modèle du Everything-as-a-Service, les questions liées à la sécurité des solutions de ce type deviennent de plus en plus pressantes. En vérifiant comment ces questions sont adressées par votre futur prestataire SaaS, vous pourrez protéger votre entrepris, ainsi que la qualité et la disponibilité des services que vous offrez à vos propres clients.

L’offre DocProcess

DocProcess développe des solutions pour l’automatisation en cloud de l’écosystème de l’entreprise – c’est-à-dire des solutions qui permettent d’automatiser à la fois les processus au sein de l’entreprise et les processus entre entreprises partenaires (acheteurs, fournisseurs, institutions financières).

Notre plateforme prend en charge les cas d’utilisation les plus communs : Purchase-to-Pay, Order-to-Cash, Record-to-Report, Paiements et Rapprochements, processus Supply Chain. Elle élimine le papier et le travail manuel et offre ainsi aux managers et aux employés un contrôle optimal sur leur temps et leurs finances.

En tant qu’entreprise d’automatisation des processus métier, nous assurons un modèle de haute disponibilité de notre infrastructure, ainsi qu’un système de protection contre les sinistres et une méthode de récupération à la pointe. Nos plateformes sont sécurisées et certifiées sur de multiples critères de sécurité.

Pour en savoir plus sur nos mesures de sécurité, lisez notre page « Sécurité des Solutions ». Pour savoir comment DocProcess peut rendre vos processus métier plus efficaces, contactez nos consultants !

Vous voulez en savoir plus sur l’automatisation des processus métiers, la sécurité des documents, la facturation électronique et le l’entreprise du futur ?

Abonnez-vous à la newsletter