Communications et sécurité

Une checklist complète sécurite pour vos logiciels dans le cloud

Pour les éditeurs de logiciels indépendants (ISV) qui explorent ou élargissent leur présence dans le cloud, assurer la sécurité de leurs clients n’est pas une option, mais un must. La confiance que vos clients placent dans vos logiciels, l’intégrité de leurs données, et votre réputation dépendent de la sécurité de votre infrastructure cloud.

Ce guide est conçu comme une checklist complète pour les ISV afin d’évaluer les mesures de sécurité de leur fournisseur cloud, garantissant ainsi que l’environnement cloud dans lequel ils opèrent est bien protégé contre les menaces et conforme aux standards de sécurité les plus élevés.

1 – Qualité et emplacement du centre de données

Assurez-vous que le fournisseur de cloud qui gère votre infrastructure utilise des centres de données de haute qualité, en France, et avec une sécurité physique stricte, des contrôles environnementaux et un emplacement conforme aux lois sur la souveraineté des données. La résilience du centre de données aux menaces et son emplacement géographique peuvent avoir un impact significatif sur la confidentialité des données, la conformité et votre nombre de clients.

Mesures de sécurité

  • Agents de sécurité 24/24
  • Enregistrement continu 24/7
  • Détecteur de métaux et tourniquet d’entrée pour l’accès au CTD.
  • Caméras extérieures et intérieures (portes d’accès, couloirs).
  • Multiples couches de sécurité physique (accès périmétrique, bâtiment, locaux techniques, armoires rack, etc.).

Protection environnementale

  • Refroidissement continu (24/24).
  • Équipement de climatisation redondant.
  • Température de entre 15 ºC et 32 ºC
  • Maximum 60% de taux d’humidité relative
  • Systèmes anti-incendies conçus pour éteindre tout incendie en quelques secondes (détecteurs de fumée, démarrage automatique des systèmes d’extinction, boutons manuels d’arrêt d’urgence dans tous les locaux, détecteurs optiques et ioniques, alarmes surveillées 24/7, etc.)

2 – Conformité à la norme ISO 27001

Vérifiez que votre fournisseur de cloud est certifié ISO 27001. Cette norme internationale de gestion de la sécurité de l’information témoigne d’une approche robuste pour gérer les informations sensibles de l’entreprise et garantir la sécurité des données. C’est très souvent une attente de la part de vos clients qu’il est important de prendre en compte.

  • Certifié ISO 27001

3 – Architecture de redondance efficace

Vérifiez la redondance de l’architecture du fournisseur pour assurer une disponibilité et un fonctionnement continus de vos logiciels dans le cloud. Les systèmes redondants réduisent la probabilité qu’une seule panne ou erreur puisse causer l’échec complet du système – il est donc essentiel que l’architecture soit adaptée à vos besoins.

  • Redondance des serveurs dans plusieurs pays de l’Union Européenne
  • Redondance des serveurs
  • Redondance au niveau des nœuds de computation
  • Redondance au niveau du stockage
  • Redondance au niveau des réseaux de données

4 – Protection DDoS complète

Assurez vous que votre fournisseur prévienne et filtre les attaques par déni de services distribués (DDoS). Une mitigation efficace des attaques DDoS est cruciale pour protéger vos services contre une saturation par des attaques de trafic ciblées.

  • Systèmes anti DDoS
  • Système logiciel de détection d’intrusion (IDS)
  • Système de prévention d’intrusion (IPS)
  • Pare-feu

5 – Normes de cryptage des données

Assurez-vous que le fournisseur utilise un chiffrement solide pour les données de vos clients. Le chiffrement est une barrière essentielle contre l’accès non autorisé et constitue un pilier de la confidentialité et de l’intégrité des données. Vérifiez que le fournisseur de cloud prend en charge l’authentification à deux facteurs (2FA) pour une couche de sécurité supplémentaire. La 2FA réduit considérablement le risque d’accès non autorisé, protégeant ainsi les comptes d’utilisateur et les données sensibles.

  • Système de cryptage des données
  • Authentification à deux facteurs 2FA

6 – Politiques de sauvegarde et de restauration

Évaluez les politiques de sauvegarde et de restauration du fournisseur. Des sauvegardes régulières et sécurisées ainsi qu’un processus de restauration efficace sont essentiels pour garantir l’intégrité des données et une récupération rapide en cas de perte de données.

  • Programmation des instantanés à intervalles réguliers (par heure, par jour, par semaine)
  • Possibilité effectuer des sauvegardes manuelles, soit hebdomadaires ou mensuelles
  • Utilisation de la méthode 3-2-1

7 – Un SLA clair

Examinez les accords de niveau de service (SLA) pour des engagements de sécurité explicites et des mesures en cas de violations ou d’indisponibilité. Les SLA doivent définir les responsabilités du fournisseur, les métriques de performance et les compensations en cas de défaillance du service.

  • Couverture 24/7 pour incidents critiques
  • Couverture toute la journée du Lundi au Vendredi pour tout autre type d’incidents
  • Temps de réponse de maximum une heure pour les incidents critiques
  • Système de compensation

8 – Capacités de Disaster Recovery

Assurez vous que votre fournisseur cloud propose une offre de Disaster Recovery pour vos serveurs. Un plan de Disaster Recovery solide est essentiel pour minimiser les temps d’arrêt et maintenir la continuité du service dans toutes les circonstances.

Plus d’informations

En assurant la mise en place de ces mesures de sécurité, vous protégez non seulement les données de vos clients, mais renforcez également votre réputation en tant que fournisseur de logiciels fiable et sécurisé. La sécurité doit être un pilier fondamental de votre stratégie cloud. Avancez avec la confiance que vos opérations numériques sont sécurisées et résilientes. Après avoir pris en compte ces éléments, il est important de comparer les différents fournisseurs de cloud pour trouver celui qui répondra le mieux à vos besoins et soutiendra votre croissance en tant qu’ISV.

Si vous aspirez à faire de votre infrastructure cloud un levier de compétitivité, jetez un œil à notre e-book ‘Êtes-vous un ISV ? Optimisez dès maintenant votre infrastructure cloud pour plus de rentabilité !‘ qui vous donnera des insights plus approfondis pour vous aider à accroître votre efficacité et rentabilité.

Manuel Pérez Gómez-Miranda
13 Septembre 2024