Quelles sont les obligations de sécurité fournies par une plateforme SaaS ?

Le Software as a service ou SaaS est un modèle de distribution de logiciel en ligne représentant une partie du Cloud Computing, et demeure exclusivement proposé par un fournisseur tiers. Cet organisme est l’hôte de toutes les applications comme celles dédiées à la création de signatures électronique, et les mettent à disposition des clients via internet. L’échange d’informations relativement sensibles passant par le SaaS implique des enjeux importants, ce qui a notamment mené à l’instauration d’obligations de mise en conformité RGPD afin d’assurer la sécurité des données des usagers.

Sécuriser la collecte et la diffusion d’informations

  • Le cloisonnement de données
Les plateformes SaaS fonctionnent en délivrant un rôle spécifique définissant les privilèges à un usager (admin, gestionnaire, utilisateur, etc.). L’établissement de ce niveau hiérarchique permet en outre de restreindre les droits et réduire la vulnérabilité d’un compte. L’hébergement des clients sur la même infrastructure, serveur et base de données sera aussi assisté par contrôle d’authentification et de droits tout en diminuant le risque d’accès non autorisé.
  • Cryptage de l’information
Le chiffrement des données est obligatoire dans le but de maintenir la confidentialité, et la procédure doit alors être appliquée durant le transfert et le stockage. De ce fait, une interception ou une fuite de ces dernières s’accompagnera de l’exécution d’un protocole les rendant inutilisables et illisibles. Par exemple, les garanties de la signature électronique permettent aux prestataires responsables de valider l’authenticité d’un document, et qui pourra donc être utilisé en justice en cas de litige.

La résilience des services

  • Qualité de services
La délivrance d’une bonne qualité de services est également fondamentale pour un service uniquement accessible sur le web, et chaque éditeur de plateforme est tenu de ne pas subir une dégradation de celle-ci. En effet, les fournisseurs d’application SaaS doivent rester attentifs face aux altérations des fonctionnalités, et prévenir en plus les situations d’inaccessibilité. L’inondation de paquets reste d’ailleurs une problématique fréquente dont les remédiations peuvent causer de nouvelles vulnérabilités.
  • Renforcer la compatibilité
Les intégrations tierces représentent des failles de sécurité potentielles suite à la création de points d’entrée supplémentaires. Les tentatives d’attaques et leur succès sont ainsi accrus si les échanges de données sur le SaaS ne sont pas automatiquement suivis au niveau de ces canaux alternatifs.

La variable humaine et l’hébergement

L’interaction des utilisateurs avec le système d’hébergement correspond à un terrain d’expérimentation donnant la possibilité de tester la sécurité existante. La plateforme SaaS devra en conséquence disposer d’un registre de traitement efficace pour prévenir le contournement de mesure de protection adoptées d’origine humaine comme le partage de mot de passe. En revanche, un niveau de sécurité dynamique prenant en compte l’intégration et la suppression d’individus requiert un design précis suite aux nombreux protocoles impliqués.