La sécurité du SaaS chez Service-now.com (1)

La sécurité est un sujet sensible systématiquement abordé lors des discussions sur les applications délivrées en mode SaaS (Software as a Service).

cloud

Le sujet de la sécurité des systèmes d’information est en lui-même vaste et complexe et les données réelles sur les éventuelles brèches de sécurité difficiles à obtenir, les sociétés touchées restant toujours très discrètes. Un certain nombre d’études sont tout de même régulièrement réalisées par des sociétés spécialisées ou des cabinets de conseil. Il en ressort que la plupart des attaques ayant conduit à des brèches de sécurité n’étaient pas ou moyennement difficiles à réaliser, qu’elles étaient opportunistes plutôt que ciblées et auraient pu être évitées par la mise en place de contrôles raisonnables voir basiques.

Avant d’entrer dans le détail des techniques utilisées et dans une démonstration mathématique de la sécurité, il est important de comprendre que les fournisseurs d’applications en mode SaaS ont construit leur modèle d’activité sur l’hypothèse fondamentale que le service délivré sera sécurisé de manière adéquate. Des lacunes dans ce domaine conduiraient en fait immanquablement ces sociétés à cesser leurs activités!

Descendons d’un niveau. L’intégralité des infrastructures utilisées par Service-now.com est gérée par des experts “hyper spécialisés”, utilisant à une échelle industrielle les dernières technologies disponibles pour la protection des systèmes et des données y résidant. De manière un peu péremptoire, nous pouvons affirmer qu’un auditeur informatique ferait très probablement ressortir plus de failles de sécurité dans les systèmes internes de nos clients que sur le service délivré par Service-now.com. Ainsi de même que la plupart d’entre nous préférons confier nos économies et la gestion de nos flux financiers à des banques car elles le font mieux que nous et de manière plus sûre, il est également préférable de confier votre système ITSM à Service-now.com plutôt que de le gérer vous-même.

Peut-être avez-vous besoin de quelques preuves? Descendons encore un peu dans les différentes couches de la sécurité informatique. S’assurer de la sécurité d’un système demande de traiter les aspects suivants:

Gouvernance de la sécurité

Avez-vous des procédures de gestion de la sécurité et de ses différents aspects (paragraphes ci-dessous)? Comment gérez-vous l’établissement et le suivi de l’exécution des différentes procédures de gestion de la sécurité? Il s’agit également de gérer les procédures d’audit, de test, les certifications…

Sécurité physique

Comment est conçu le centre de calcul hébergeant les serveurs? Est-il protégé contre les intrusions de personnes, contre le feu, les tremblements de terre, les inondations, les coupures d’électricité, les coupures du réseau de télécommunications?

Sécurité des transmissions et du réseau

La confidentialité des données est-elle maintenue lors de leur transmission entre le centre de calcul et l’utilisateur? Comment l’utilisateur s’authentifie-t-il dans le système? Comment les autres systèmes internes ou externes dialoguent-ils avec votre application ITSM?

Sécurité des systèmes

Comment est conçue l’infrastructure? Avec quelle redondance et pourquoi? Comment le patching des serveurs est-il géré? Comment les failles de sécurité connues sur les différents systèmes d’exploitation des serveurs sont-elles bloquées (hardening)? Comment les administrateurs s’authentifient-ils sur les systèmes?

Sécurité des données

Gérez-vous des données extrêmement confidentielles et comment sont-elles protégées le cas échéant? Comment les sauvegardes sont-elles gérées? Quels sont les plans de reprise d’activité en cas de désastre? Ces 2 derniers éléments sont-ils testés et validés régulièrement?

Sécurité applicative

Comment l’utilisateur s’authentifie-t-il dans le système? Quels sont ses droits et habilitations? Est-il possible de tracer les actions effectuées par les utilisateurs?

Isolation du code et des données

Comment les données sont-elles isolées entre les clients d’une solution SaaS? En effet, les économies d’échelles et le haut niveau d’industrialisation de gestion des systèmes nécessitent la mutualisation de certaines infrastructures et il est important de comprendre l’architecture du système à ce niveau. De la même manière, qu’en est-il des personnalisations ou des développements spécifiques entrepris par les utilisateurs?

La série de posts à suivre vous expliquera les différentes mesures prises par Service-now.com dans chacun des domaines susmentionnés.

Articles liés:
– Sécurité du SaaS chez Service-now.com (2)
– Sécurité du Saas chez Service-now.com (3)

Recent Posts

Leave a Comment

Start typing and press Enter to search