Projet SIRH SAAS - Sécurité : les questions à se poser
Le | Sirh saas
Mener un projet SaaS implique nécessairement des questions de sécurité. Quelles sont-elles ? Par quelles actions les entreprises devront-elles passer pour garantir leur sécurité ? Quelles clauses peuvent être ajoutées au contrat ?
Le niveau de criticité des données
C’est la première question que devrait se poser l’entreprise
Mes données sont-elles critiques ou non ? Leur degré de confidentialité est-il élevé comme il peut l’être dans le secteur bancaire ou dans l’industrie de pointe ? « Les entreprises disposent déjà de normes de sécurité au niveau de leur SI. La question est de savoir si la solution va pouvoir répondre à ces normes », explique Yann Guezennec, fondateur du cabinet Altays. Et si les solutions SaaS disponibles sur le marché sont incapables d’assurer le niveau de sécurité requis par l’entreprise, mieux vaut ne pas choisir ce type d’outils et conserver ses données en interne.
L’audit en amont
Mais quelles sont les faiblesse chez les éditeurs ? « Elles se situent à trois niveaux : dans les infrastructures d’hébergement, à travers les intrusions et dans le codage des applications », liste l’expert RH. L’entreprise a donc tout intérêt à s’informer sur le passif des éditeurs en matière de sécurité. Elle peut également s’appuyer sur un audit qui pourrait être mené en amont. « Les éditeurs doivent contribuer à des audits et émettre des préconisations. Ils doivent être prêts à jouer le jeu », déclare Yann Guezennec. Rien n’empêche non plus l’entreprise de demander les références de l’éditeur en termes de clients. Un grand acteur du secteur bancaire pourrait être un bon indice de la capacité de l’éditeur à sécuriser ses outils.
Le respect de normes préétablies
Une série d’actions peuvent être menées par l’entreprise pour garantir sa sécurité auprès de l’éditeur : exiger des informations régulières sur les mises à jour de service, communiquer une politique de mots de passe à mettre en oeuvre, demander que l’éditeur participe à des audits.
Les clauses spécifiques
La politique de mot de passe peut faire partie des clauses au contrat. L’entreprise peut y spécifier la règle du chiffrement du mot de passe, les conditions de réinitialisation, exiger des liens de déconnexion accessibles sur toutes les pages. La politique de sauvegarde peut également apparaître en tant que clause. « On peut considérer que ce n’est pas vraiment de l’ordre de la sécurité mais les sauvegardes sont bien hébergées quelque part et par des personnes », fait remarquer Yann Guezennec. Un détail à ne pas oublier.
Aurélie Le Caignec