Cloud Computing: La sécurité en question

Pour la plupart des sociétés et plus particulièrement celles qui sont nouvelles dans l’approche du SaaS, les étapes de choix du fournisseur et de la bonne application peuvent être problématiques. Pourquoi ? Parce que le SaaS est fondamentalement différent du modèle on-premise (achat d’une licence et installation sur site). C’est pourquoi plusieurs critères de choix doivent être pris en compte afin de faire le choix le plus « intelligent » possible.

La question de la sécurité informatique est probablement le point le plus important pour toute société souhaitant s’équiper de solutions en mode SaaS. En réalité certaines refusent le SaaS par peur des failles de sécurités -  des craintes qui, dans la majorité des cas, sont infondées.

Il est vrai que les politiques de sécurité, les technologies et les moyens mis en œuvre varient d’un fournisseur d’applications SaaS à l’autre. C’est pourquoi il est primordial de se renseigner en amont sur les infrastructures et les méthodes de protection utilisées dans leur datacenter. Par exemple, quels protocoles de garantie de continuité de l’activité sont en place en cas d’incendie  ou autres catastrophes naturelles ?, ou comment garantissent-ils le blocage des applications et des données aux accès non autorisés ?...

Ce qu’il est important de vérifier :

Il est important d’immédiatement écarter de votre liste tout fournisseur qui ne possède pas des procédures claires et éprouvées en matière de sécurité informatique. Ce que vous devez  rechercher est un fournisseur qui vous garantisse des environnements disposant des meilleurs standards mondiaux au niveau de la sécurité – ce qui inclut :

• Un datacenter sécurisé certifié SAS70 et que le site est conforme aux plus hauts standards en matière de refroidissement, d’énergie et autres facteurs contribuant à la performance système et hardware.
• Des Firewalls redondants pour bloquer les accès non autorisés tout en permettant aux utilisateurs autorisés d’accéder facilement aux fonctionnalités et aux données dont ils ont besoin.
• Des systèmes de détection d’intrusion qui surveillent les environnements et alertent les équipes du datacenter en cas de failles potentielles.
• Des protocoles  de sécurisation des échanges sur Internet (type SSL, HTTPS, SFTP…) qui protègent les applications web dont les données sont transférées du serveur distant à l’utilisateur (et réciproquement).
• La certification de sécurité des applications tierces afin de valider que l’environnement est entièrement protégé.

En posant les bonnes questions sur la sécurité des infrastructures Cloud, vous pourrez être certain que les risques de failles ou d’intrusions seront virtuellement éliminés.

Traduction de l’article SAManage « Top ten questions to your SaaS vendor : Security »: http://www.samanage.com/blog/2010/08/top-questions-for-your-saas-vendor-security/

10 questions à poser à votre fournisseur SaaS

Vous voulez acquérir une solution SaaS mais le processus de sélection et d’évaluation vous effraie ?..., vous n’êtes pas un cas isolé !
Les systèmes SaaS sont si radicalement différents de leurs homologues « on premise » (sur site) que bon nombre d’entreprises restent perplexes au moment de sélectionner la solution adéquat – certaines rebroussent même chemin et choisissent une installation locale malgré les frais supplémentaires liés au « on premise » (infrastructure, maintenance, updates, personnel, locaux...).

Les quelques lignes qui vont suivre sont là pour vous simplifier la vie ! Si vous êtes sur le point d’adopter une solution SaaS, voici quelques points que vous devrez absolument aborder avec  votre fournisseur :

1. Sécurité

C’est une des principales préoccupations des utilisateurs de solutions SaaS. N’hésitez pas à demander des détails poussés sur les outils et protocoles de protection en place dans le datacenter de votre fournisseur SaaS. Vos applications et vos données sont cruciales pour votre activité et elles se doivent d’être protégées contre toute tentative d’intrusion. Choisissez un fournisseur vous garantissant la disponibilité, des options de monitoring 24/7, la présence de systèmes redondés (firewall, switchs, BP…), de systèmes de détection d’intrusion, des options de connexions au data center intégrées (VPN, VPNIPSEC, SSL, bande passante dédiée, mutualisée, garantie…). Assurez-vous enfin que le datacenter réponde aux normes de sécurité SAS70 Type II.
Voir l’article : Cloud Computing : la sécurité en question

2. Hébergement et accessibilité de vos données

Votre fournisseur SaaS  va superviser  le stockage et la gestion de vos données. Il est donc important de vérifier les  politiques de sauvegardes, de rétention et de restauration en rigueur. Assurez-vous que vos données soient intégralement protégées et facilement récupérables (soyez attentif aux clauses de réversibilité) au cas ou votre fournisseur cesse son activité ou que vous décidiez d’opter pour un autre fournisseur ou un autre hébergeur.

3. Performance et disponibilité

La disponibilité est un facteur primordial pour le succès de votre projet SaaS. C’est pourquoi le fournisseur que vous choisirez devra vous fournir toutes les informations sur la disponibilité (au de 99.5% à 99.9%) et sa garantie, et posséder des process pour assurer la continuité d’activité en cas de problème (PRA, redondance, RTO, RPO…).

4. Support

Quels types de services sont fournis par votre fournisseur pour vous assurer une utilisation optimale de votre solution SaaS ? Qui pouvez-vous contacter en cas de besoin? Idéalement le support doit être flexible, accessible et être assuré par des professionnels hautement qualifiés.

5. Mises à jour et maintenance

Vous voudrez toujours utiliser la dernière version disponible de votre solution SaaS ! Questionnez votre fournisseur sur l’intégration d’une plateforme de maintenance, de recette, de pré-production ; sur la gestion des changements applicatifs, des changements systèmes et réseaux ; et si ces mises à jour ont un impact sur la disponibilité de votre système SaaS dans les périodes d’activité (évidemment la réponse doit absolument être négative !).

6. Intégration

Dans la plupart des cas vous aurez déjà lourdement investit dans un système « on premise » (sur site) et vous devez vous assurer que votre nouvelle solution SaaS s’intègrera facilement avec votre système actuel. Evitez à tout prix les fournisseurs aux capacités d’intégration limitées ou vous préconisant de nombreuses journées de développement (codage) pour faire communiquer vos systèmes. Privilégiez plutôt les fournisseurs utilisant des APIs gagent de rapidité et d’économie pour votre projet d’intégration. Vérifiez enfin quels sont les besoins en ressources nécessaires à l’intégration et si ceux-ci sont pris en compte dans l’offre de votre fournisseur.

7. Capacité d’utilisation

Les systèmes à l’ergonomie peu intuitive peuvent poser deux types de problèmes :
- Ils peuvent s’avérer très couteux car nécessiteront beaucoup de développements spécifiques pour le rendre conforme à vos attentes,
- Les utilisateurs peuvent être réticents à son utilisation car il n’est pas adapté à leur « méthode » de travail.
Vous devrez choisir en priorité une solution qui soit prête à l’emploi et dont le déploiement se fera rapidement sans que sa prise en main requière des semaines de formation.
Tous les fournisseurs vous diront que leur solution est la plus « user-friendly », mais encore faut-il le vérifier. N’hésitez pas à demander des démonstrations personnalisées en leur indiquant vos problématiques spécifiques afin de voir, en conditions réelles, comment la solution SaaS y répond. Evitez enfin les solutions « Try & buy » car les solutions SaaS nécessitent un minimum de formation et l’utilisation spontanée de ce type de solution peut vous induire en erreur sur leur simplicité d’utilisation ou sur leur capacité à répondre à vos besoins.

8. Flexibilité contractuelle

Vous ne voulez pas embourber dans un contrat long duquel il vous sera difficile – et couteux- de sortir. Favorisez un fournisseur proposant différentes durées de contrats et n’hésitez pas à négocier les prix dans le cas ou vous souscrivez à un contrat sur une longue période.  Vérifiez bien les conditions en rigueur en cas de rupture du contrat et notamment le montant des pénalités qui vous seront réclamées. En règle générale les contrats SaaS courent sur une période allant de 2 à 3 ans.

9. Infrastructure

Il y a eu de nombreux débats sur: infrastructure dédiée vs infrastructure mutualisée. La plupart des experts s’accordent à dire que les architectures mutualisées sont supérieures en beaucoup de points. Elles permettent une meilleure évolutivité, elles sont plus performantes, elles simplifient les mises à jour et permettent un meilleur contrôle de votre fournisseur SaaS (une machine est toujours plus facile à gérer que 10 !). N’hésitez pas à demander à votre fournisseur de quelles infrastructures il dispose et quels sont ses conseils pour votre cas particulier. Bien évidement, en fonction de la confidentialité, de vos besoins en développements spécifiques ou de l’importance des données que vous y installerez (ou si ce sont des contraintes légales), vous devrez peut-être opter pour une infrastructure dédiée.

10. Références

Quelque soit votre fournisseur SaaS, il doit être en mesure de vous mettre en relation (sur demande) avec quelques uns de ses clients prêts à témoigner sur les performances globales de leur solution hébergée. Méfiez-vous des fournisseurs qui ne vous laisseront pas aborder des sujets cruciaux tels que la disponibilité, l’accessibilité, la sécurité ou la qualité du support.

Contactez-nous à contact@aspaway.fr ou au 01 46 67 88 88pour toute question.

Traduction de l’article SAManage « 10-questions-every-cio-should-ask-a-saas-vendor »: http://www.samanage.com/blog/2010/08/10-questions-every-cio-should-ask-a-saas-vendor/