Dossier de sécurité décisionnel en mode Software as a service

Extraits

[...] Il faut quand même noter que l'entreprise devient dépendante des télécommunications en adoptant une solution SaaS. La liaison avec son prestataire de service doit se faire sans aucune interruption, sinon l'activité de l'entreprise pourrait être paralysée, et provoquer un chômage technique. Ce risque est nettement présent dans les PME ou TPE, dans lesquelles la technologie de communication avec le prestataire est bien souvent une liaison ADSL classique, voir grand public, ne garantissant pas une qualité de service optimum. D'après Stephen Ibaraki, analyste industriel, les responsables informatiques doivent soumettre au fournisseur de services une liste de contrôle des dispositifs de sécurité, y compris le cryptage des données sensibles, les politiques de confidentialité, le plan de reprise après sinistre, les procédures de continuité de l'activité et les dispositifs de sécurité physiques La réversibilité des données La réversibilité des données est la capacité à quitter le fournisseur SaaS tout en récupérant ses données. [...]

[...] Le client a à sa disposition une interface Web pour diriger le service. Les communications sont faites avec le protocole https (sécurisé avec SSL v3) et requièrent donc un navigateur compatible avec ces protocoles (les navigateurs modernes le sont généralement). Architecture du système QualysGuard 16 SaaS et décisionnel en France Interface web de QualysGuard Enterprise Le prix de ce service est fonction du nombre d'équipements à auditer. Pour le scan interne, Phillipe Courteau indique qu'il faut compter entre 2 et 50 dollars par équipement audité, prix annuel, auquel s'ajoute la location du boîtier (QualysGuard Scanner Appliances) dollars annuels. [...]

[...] De plus, Qualys dispose de scanners (Internet Remote Scanners) disponibles par internet permettant à ses clients d'auditer la sécurité du périmètre de leur réseau, en scannant les équipements façades directement en contact avec l'internet. L'application et la base de données des vulnérabilités (mise à jour quotidiennement) sont hébergées dans les SOCs pour QualysGuard Secure Operations Centers. Ces datacenters font l'objet d'une sécurité physique et logique renforcée. Toutes les données sont cryptées du début à la fin et assurent une confidentialité des communications. Seul le mot de passe du client peut les décrypter et ce mot de passe n'est stocké nulle part sur les serveurs QualysGuard. [...]

[...] Cette opération peut poser problème aux utilisateurs novices. De plus sur la majorité des navigateurs web la consultation des listes de certificats révoqués n'est pas activée par défaut : toute la sécurité de SSL reposant sur ces certificats ce qui pose un grave problème de sécurité SaaS et décisionnel en France Une solution pour le client est de télécharger une version modifiée de son navigateur pour pouvoir utiliser de nouvelles fonctionnalités (skins, plugins . Rien ne certifie que le navigateur n'a pas été modifié et que son autorité de certification en soit bien une Les Datacenter ou l'hébergement des données sécurisé Un Datacenter (centre de données en français) se définit comme une infrastructure (locaux, baies, liaison réseaux, sécurité . [...]

[...] La norme ISO 27001 est un standard reconnu internationalement et attribué aux fournisseurs de solutions ISMS (Information Security Management System) démontrant une protection efficace de leurs informations et de celles de leurs clients. Les trois data centers actuels de Salesforce.com et ses principales implantations dans le monde ont été certifiés par BSI International (entreprise qui se charge de certifier les produits et les systèmes de gestion). Salesforce.com a également mis en œuvre depuis 2004 des audits bisannuels au titre des standards SAS 70 (Statement on Auditing Standards No. [...]