{"id":3528,"date":"2013-03-19T13:30:42","date_gmt":"2013-03-19T12:30:42","guid":{"rendered":"http:\/\/www.solucominsight.fr\/?p=3528"},"modified":"2019-12-31T11:43:38","modified_gmt":"2019-12-31T10:43:38","slug":"saas-et-securite-entreprises-ne-mettez-pas-vos-responsabilites-dans-les-nuages","status":"publish","type":"post","link":"https:\/\/www.riskinsight-wavestone.com\/en\/2013\/03\/saas-et-securite-entreprises-ne-mettez-pas-vos-responsabilites-dans-les-nuages\/","title":{"rendered":"SaaS et s\u00e9curit\u00e9 : entreprises, ne mettez pas vos responsabilit\u00e9s dans les nuages !"},"content":{"rendered":"

A l\u2019heure o\u00f9 le SaaS est le mode de Cloud computing le plus repr\u00e9sent\u00e9 au sein des grands comptes, quelques ann\u00e9es de recul sur le sujet am\u00e8nent \u00e0 un constat clair\u00a0en termes de s\u00e9curit\u00e9 : choisir \u00ab\u00a0le bon\u00a0\u00bb fournisseur SaaS ne suffit pas. \u00a0L\u2019entreprise n\u2019externalise pas sa responsabilit\u00e9 avec sa messagerie\u2026\u00a0 Elle reste la garante du maintien de son niveau de s\u00e9curit\u00e9 dans le temps.<\/em><\/p>\n

La s\u00e9curit\u00e9, une question n\u00e9glig\u00e9e apr\u00e8s la phase de contractualisation<\/h2>\n

Les limites pos\u00e9es par le SaaS sont aujourd\u2019hui bien connues : difficult\u00e9s d\u2019adaptation du service aux besoins de l\u2019entreprise, absence de possibilit\u00e9s d\u2019audit, questions r\u00e9glementaires, etc.<\/p>\n

Pourtant, de plus en plus de services cloud sont adopt\u00e9s, sans que la s\u00e9curit\u00e9 ne soit n\u00e9cessairement un frein. Pour cela, une d\u00e9marche classique d\u2019analyse de risque est men\u00e9e en \u00e9valuant les contraintes l\u00e9gales \/ r\u00e9glementaires, \u00a0les m\u00e9canismes de protection des donn\u00e9es, la gestion de la s\u00e9curit\u00e9 par le fournisseur, ou encore les conditions de r\u00e9versibilit\u00e9 de la donn\u00e9e.<\/p>\n

Cette d\u00e9marche est de plus en plus ma\u00eetris\u00e9e\u00a0: de nombreux retours d\u2019exp\u00e9rience et un outillage qui se professionnalise*<\/strong> am\u00e8nent \u00e0 faire des choix \u00e9clair\u00e9s, en toute connaissance de cause des risques encourus, et donc parfois accept\u00e9s.<\/p>\n

Malheureusement, la d\u00e9marche s\u00e9curit\u00e9 s\u2019arr\u00eate souvent l\u00e0\u00a0: \u00e0 partir du moment o\u00f9 le sujet a \u00e9t\u00e9 trait\u00e9 lors de la contractualisation, on consid\u00e8re qu\u2019un bon niveau est assur\u00e9, puisque l\u2019on a exig\u00e9 du prestataire de s\u2019en occuper\u00a0!<\/p>\n

Le maintien de la s\u00e9curit\u00e9 dans le temps est un enjeu r\u00e9guli\u00e8rement oubli\u00e9, alors m\u00eame qu\u2019il est en partie du ressort de l\u2019entreprise, et pas seulement \u00e0 la charge du fournisseur.<\/p>\n

Des sujets \u00e0 inscrire dans la dur\u00e9e<\/h2>\n

Pour s\u2019assurer que la solution cloud est d\u00e9ploy\u00e9e avec le bon niveau de s\u00e9curit\u00e9, et maintenir celui-ci dans le temps, quatre grands th\u00e8mes sont \u00e0 aborder en priorit\u00e9. S\u2019il s\u2019agit de bonnes pratiques habituelles sur un SI d\u2019entreprise, il faut aujourd\u2019hui les adapter, voire les renforcer pour le SaaS.<\/p>\n

\"\"<\/a>
Les responsabilit\u00e9s de l\u2019entreprise pour le maintien de la s\u00e9curit\u00e9 du SaaS dans le temps<\/em><\/span><\/figcaption><\/figure>\n