La sécurité des données d’entreprise est un critère essentiel dans la sélection d’une solution de GMAO hébergée sur le web. Toutefois, il est difficile d’évaluer rapidement la capacité d’un fournisseur de GMAO web à protéger vos données tant les critères techniques sont nombreux et obscurs pour les profanes.
Voici les 5 questions à vous poser en priorité pour évaluer un bon fournisseur en matière de sécurité.
Que deviennent nos données si nous voulons changer de logiciel ?
Les données que vous créez et stockez sur le serveur de votre fournisseur de logiciel de maintenance web doivent toujours rester entre vos mains. En cas de rupture de contrat, il doit vous garantir la copie et la transmission de vos données sur simple demande.
Assurez-vous aussi que le format de restitution de vos données vous permet de migrer facilement vers un autre fournisseur, avec un autre logiciel.
Quel(s) accord(s) de niveau de service (SLA) proposez-vous ?
L’accord de niveau de service (SLA) est essentiel dans les contrats de Software as a Service (Saas), car c’est lui qui garantit que le service fourni sera conforme aux engagements du fournisseur. De plus, l’accord de niveau de service est censé proposer des solutions dans le cas où le fournisseur ne serait pas en mesure de tenir ses engagements.
Il apparaît alors indispensable de s’assurer que votre fournisseur propose un tel accord, et de le lire attentivement le cas échéant.
En premier lieu, vérifiez auprès de votre fournisseur que le taux de disponibilité du service fourni est suffisant, et assurez vous d’avoir bien compris sa définition de la disponibilité et de l’indisponibilité du service. Le taux de disponibilité est déterminé par la classification du ou des datacenter(s) de votre fournisseur.
Interrogez-le ensuite sur les mesures mises en place pour faire face aux incidents : reprise sur sinistre, délais de résolution envisagés… Cela vous permettra d’évaluer davantage la sécurité de vos données d’entreprise.
Avez-vous déjà subi des atteintes à la sécurité des données d’entreprise ?
Demandez à votre fournisseur de GMAO la liste exhaustive des violations de sécurité qu’il a connu au sein de son entreprise, puis interrogez-le sur les mesures correctives qui ont été décidé. Vous aurez alors un bon aperçu de sa capacité à réagir, et du type de sécurité mis en place. Par exemple, la réalisation d’audits de sécurité et de tests d’intrusion sur une base régulière témoigne d’une prise de conscience de l’importance du renforcement de la sécurité des données utilisateurs.
La sécurité physique de vos données d’entreprise est également essentielle : Demandez au fournisseur de GMAO web quelles sont les politiques mises en œuvre pour empêcher et/ou réagir à une tentative malveillante de transfert des données depuis un ordinateur de son entreprise vers un périphérique extérieur, comme une clef USB par exemple.
Allez-vous disposer de fonctionnalités avancées de gestion des identités et de contrôle des accès ?
Afin d’éviter que des données sensibles sur votre entreprise ne soient accessibles aux mauvaises personnes, votre fournisseur de GMAO web doit vous garantir :
1. Une sécurité optimale des mots de passe :
La gestion des mots de passe d’un logiciel hébergé intégralement sur le web doit respecter 3 règles de sécurité informatique fondamentales :
Connexion unique avec délai de session
Les connexions simultanées aux mêmes instances et avec les mêmes identifiants constituent une faille de sécurité pour les logiciels hébergés sur le web. Les oublis de fermeture de session sont fréquents et représentent aussi un risque pour la confidentialité de vos données, d’où la nécessité d’un délai limite d’ouverture de session.
Expiration automatique des mots de passe
Le fait de garder trop longtemps le même mot de passe rend plus vulnérable aux tentatives de piratage, c’est pourquoi il est nécessaire de les changer régulièrement. Pour éviter d’avoir à faire changer tous les utilisateurs du logiciel manuellement, il faut automatiser la procédure en paramétrant un délai d’expiration.
Pour plus de confort, assurez-vous que le fournisseur de GMAO web vous laisse paramétrer ce délai selon vos envies.
Limitation du nombre de tentatives de connexion
L’une des principales techniques des hackers consiste à tester une quantité élevée de mots de passe d’affilée grâce à des logiciels d’automatisation. Il apparaît donc important de limiter le nombre de tentatives de connexion. En outre, il est intéressant de pouvoir garder une trace de ces tentatives de connexion si vous souhaitez lancer une procédure pour déterminer l’identité d’un éventuel pirate.
2. Possibilité d’attribuer des statuts aux utilisateurs
Tous les utilisateurs de la GMAO web de votre entreprise n’ont pas besoin d’accéder aux mêmes informations. Au-delà du contrôle des accès au logiciel, il apparaît ainsi nécessaire de contrôler les accès aux informations au sein même du logiciel.
Par exemple, un responsable administratif n’aura pas besoin d’avoir accès aux fonctionnalités et données nécessaires à un technicien. Il faut donc que vous soyez en mesure d’attribuer des accès plus ou moins étendus aux utilisateurs en fonction de leurs statuts.
Comment votre infrastructure Cloud physique est-elle protégée ?
L’infrastructure physique de stockage des données d’entreprise doit bien sûr être sécurisée.
Pensez à interroger votre fournisseur : son ou ses datacenters sont-ils équipés de vidéosurveillance ? Comment les entrées dans les datacenters sont-elles contrôlées ? Quelles sont les normes anti-incendie ?
Bon à savoir : La norme ISO 27002 est une garantie fiable de la sécurité physique d’un datacenter.
Enfin, assurez-vous que vos données sont répliquées à l’identique dans un datacenter de secours (redondance du datacenter) afin de parer à toute éventualité.