La protection des données des applications internalisées ou en mode SaaS est plus que jamais d’actualité. La non protection des données personnelles et d’entreprise menace l’ensemble du système d’information, mais aussi les activités métier de l’entreprise, et sa santé financière. Les données sont la nouvelle matière première des organisations, et leur protection est l’affaire de tous, avec les services applicatifs au centre du jeu, du design au décommissionnement, en passant par l’exploitation.
DES RÉTICENCES ENCORE IMPORTANTES
En 2018, la mise en place du RGPD augmente la responsabilité des sous-traitants considérés comme co-responsables du traitement des données. En général et dans le monde entier, la pression réglementaire et citoyenne augmente considérablement, et par exemple les pratiques de certaines grandes entreprises dans la gestion des données personnelles qui leur sont confiées sont de plus en plus mises en cause.
Alors que les éditeurs avaient surtout investi jusqu’en 2015 dans la réécriture de leurs logiciels historique pour les basculer en mode SaaS, les nouveaux logiciels seront de plus en plus écrits directement pour le SaaS. Ils deviendront ainsi le choix naturel des clients au moment des renouvellements. Mais rien ne dit à ce stade que les éditeurs investiront réellement dans de meilleures pratiques de codage, en intégrant en amont les notions de Privacy by Design et de Security by Design. Pour leur part, les acheteurs d’applications et de solutions de sécurité en mode SaaS s’interrogent toujours sur les vulnérabilités applicatives et de l’infrastructure IT sur lesquelles les éditeurs font tourner leur applications.
CHOISIR DES PARTENAIRES DE CONFIANCE
Il faut donc de plus en plus faire appel à des prestataires de confiance, vérifier leur auditabilité, comprendre leur PSSI et prendre connaissance des actions de suivi de sa mise en œuvre. A cet égard, les éditeurs qui investissent dans la qualité en se conformant à des référentiels d’exigences reconnus obtiennent un avantage considérable. Le plus abouti est le référentiel SecNumCloud publié par l’ANSSI, et applicable aux prestataires de services d’informatique en nuage, concernant le niveau de qualification « Essentiel », puis « Avancé ». Ce référentiel a été élaboré et testé en concertation avec les acteurs du marché. Aussi, la qualification ANSSI permet d’attester de la conformité d’un éditeur ou d’un fournisseur de services cloud aux exigences du référentiel.
UNE RÉPONSE HEXATRUST ADAPTÉE À VOS BESOINS
Les éditeurs d’applications SaaS de HEXATRUST s’engagent d’une part à développer des applications de confiance sécurisées, qui respectent à la fois les règles de « Privacy by Design » et de « Security by Design », et d’autre part à les exploiter dans des Clouds de confiance : des plateformes PaaS, des Infrastructures IaaS, des bases de données DaaS qui respectent l’état de l’art de la fourniture de services Cloud de confiance. Ces entreprises adressent des besoins très divers, mais toujours avec une même vision et un même objectif, assurer la protection et la sécurité des données traitées :
- solutions collaboratives
- espaces de travail numériques
- sauvegarde des données
- plans de reprise d’activités
- applications BtoB ou BtoC de toutes sortes qui manipulent des données personnelles ou d’autres données sensibles
