Pour la plupart des sociétés et plus particulièrement celles qui sont nouvelles dans l’approche du SaaS, les étapes de choix du fournisseur et de la bonne application peuvent être problématiques. Pourquoi ? Parce que le SaaS est fondamentalement différent du modèle on-premise (achat d’une licence et installation sur site). C’est pourquoi plusieurs critères de choix doivent être pris en compte afin de faire le choix le plus « intelligent » possible.
La question de la sécurité informatique est probablement le point le plus important pour toute société souhaitant s’équiper de solutions en mode SaaS. En réalité certaines refusent le SaaS par peur des failles de sécurités - des craintes qui, dans la majorité des cas, sont infondées.
Il est vrai que les politiques de sécurité, les technologies et les moyens mis en œuvre varient d’un fournisseur d’applications SaaS à l’autre. C’est pourquoi il est primordial de se renseigner en amont sur les infrastructures et les méthodes de protection utilisées dans leur datacenter. Par exemple, quels protocoles de garantie de continuité de l’activité sont en place en cas d’incendie ou autres catastrophes naturelles ?, ou comment garantissent-ils le blocage des applications et des données aux accès non autorisés ?...
Ce qu’il est important de vérifier :
Il est important d’immédiatement écarter de votre liste tout fournisseur qui ne possède pas des procédures claires et éprouvées en matière de sécurité informatique. Ce que vous devez rechercher est un fournisseur qui vous garantisse des environnements disposant des meilleurs standards mondiaux au niveau de la sécurité – ce qui inclut :
- Un datacenter sécurisé certifié SAS70 et que le site est conforme aux plus hauts standards en matière de refroidissement, d’énergie et autres facteurs contribuant à la performance système et hardware.
- Des Firewalls redondants pour bloquer les accès non autorisés tout en permettant aux utilisateurs autorisés d’accéder facilement aux fonctionnalités et aux données dont ils ont besoin.
- Des systèmes de détection d’intrusion qui surveillent les environnements et alertent les équipes du datacenter en cas de failles potentielles.
- Des protocoles de sécurisation des échanges sur Internet (type SSL, HTTPS, SFTP…) qui protègent les applications web dont les données sont transférées du serveur distant à l’utilisateur (et réciproquement).
- La certification de sécurité des applications tierces afin de valider que l’environnement est entièrement protégé.
En posant les bonnes questions sur la sécurité des infrastructures Cloud, vous pourrez être certain que les risques de failles ou d’intrusions seront virtuellement éliminés.
Traduction de l’article SAManage « Top ten questions to your SaaS vendor : Security »: http://www.samanage.com/blog/2010/08/top-questions-for-your-saas-vendor-security/
