4 questions cybersécurité à se poser avant d'opter pour une Marketplace en mode SaaS.

De nos jours, la cybersécurité est surement une priorité pour votre entreprise. Nous ne comptons plus le nombre d’entreprises qui ont subi des cyberattaques. Selon une étude d’Orange Cyberdéfense, le nombre moyen de cyberattaques par entreprise s’est élevé à 42 par mois en 2021. Parmi celles-ci, nous pouvons relever 10 types d’attaques courantes : D(D)oS (Attaque par Déni de Service Distribué), les programmes malware (ransomeware, spyware, Macro-virus, Trojan …), Pishing, Drive by Download, Cassage de mot de passe, Injection SQL, MitM (Attaque de l’homme au milieu), XXS (Cross-site scripting), Ecoute clandestine, Attaque des anniversaires.

Ceci étant dit, il est bon de savoir si l’éditeur de votre prochaine marketplace en mode SaaS a un plan pour protéger les données de votre entreprise, prévenir les violations et remédier aux vulnérabilités.

Avant d'intégrer une nouvelle solution marketplace dans l'écosystème de votre entreprise, les responsables de la sécurité doivent poser aux candidats SaaS les questions suivantes lors du processus de vérification.

‍

1. Comment la confidentialité et la sécurité sont-elles traitées ?

La confidentialité est une préoccupation croissante pour les utilisateurs et les entreprises doivent la prendre en considération. Selon une étude KPMG, 86 % des sondés se sentent de plus en plus préoccupés par la confidentialité des données. 78 % des interrogés ont exprimé des craintes quant à la quantité de données collectées. Il est essentiel de développer une compréhension approfondie de la manière dont les informations personnelles identifiables (PII) de l'entreprise et de l'utilisateur sont traitées. Si des informations personnelles sont partagées avec des tiers, quelles parties des informations personnelles sont partagées et avec qui ?

Les demandes de confidentialité des données doivent être traitées avec la plus grande discrétion, c'est pourquoi les responsables de la sécurité doivent vérifier qu'elles sont conformes aux RGPD et CCPA « RGPD californien ». Lors du traitement et du stockage des données de l'entreprise et des utilisateurs, il doit y avoir un processus de gestion des données hermétique pour ceux qui y ont accès.

‍

2. Comment les données des utilisateurs sont-elles transmises et stockées ?

Savoir où les données d'entreprise sont stockées (États-Unis, Europe, etc.) et qui y a accès est un risque que davantage de professionnels de la sécurité doivent prendre en compte. Une entreprise peut avoir un siège social en France, mais si les données transitent par des serveurs à l'étranger, les responsables de la sécurité doivent connaître tous les emplacements de stockage et de gestion. Ce n'est pas seulement une question de conformité, mais peut aussi être une question de sécurité nationale. Nous pouvons citer le Patriot Act et le Cloud Act aux Etats-Unis. Il est donc essentiel de pouvoir obtenir un espace de stockage sur son territoire (pays, continent …).

‍

3. Quelles sont les méthodes de gestion des vulnérabilités pour la solution marketplace?

La meilleure défense reste une bonne attaque. Les menaces et les logiciels malveillants en ligne sont dangereux pour les solutions qu'une entreprise souhaite mettre en place, ce qui rend l'analyse et la surveillance des systèmes constantes essentielles.

Les entreprises ne peuvent pas se permettre d'attendre d'être la prochaine cible pour apporter ces changements. Elles doivent donner la priorité aux fonctionnalités de sécurité. Une automatisation des services de détection et d'analyse des menaces peut aider les équipes de l’entreprise à se concentrer sur l'optimisation de ses produits et de ses activités. Nous ne pouvons que vous conseiller d’interroger votre fournisseur sur sa gestion des vulnérabilités.

‍

4. Est-ce que l’éditeur a récemment reçu des plaintes ou des litiges concernant la confidentialité ou la sécurité des données ?

Étant donné que la législation sur la cybersécurité a été élevée au rang de problème de sécurité nationale dans le monde entier, ces questions deviendront des enjeux de table pour s'assurer qu'un fournisseur de solutions a pris les mesures nécessaires pour garantir la fiabilité et la sécurité de son produit.

Les responsables de la sécurité doivent s'assurer que l’éditeur de marketplaces répondent à des exigences spécifiques pour ne pas introduire de risques réglementaires trop importants au sein de l'entreprise. Idéalement, vos partenaires logiciels doivent subir des audits annuels et certifications pour vous apporter une certaine sérénité.

‍