Une application RH en mode SaaS peut-elle être vraiment sécurisée ?


Par Gaëlle Fillion | le mardi 11 décembre 2012 | SIRH SaaS
Une application RH en mode SaaS peut-elle être vraiment sécurisée ?

Editeur de solutions RH 100 % SaaS, Altays organisait récemment un atelier professionnel sur un sujet sensible : la sécurité du modèle Software as a Service. Un expert en sécurité des systèmes d’information, Patrice Guichard, également auditeur pour la Cour d’appel de Paris, nous apporte son témoignage et ses conseils.

Pour beaucoup de professionnels, les logiciels SaaS, accessibles depuis Internet, seraient moins sûrs que les solutions internalisées. CV, fiches de paie, salaires des dirigeants, évaluations annuelles… des données qu’une entreprise se garderait bien de voir diffusées à l’extérieur, compte tenu du risque pour son image et des potentielles conséquences judiciaires.

La sécurité informatique à 100 % n’existe pas
« Les entreprises dépensent 90 % de leurs budgets de sécurité SI sur les serveurs qui ne représentent que 25 % des attaques : 75 % d’entre elles sont liées à des applications web » constate Patrice Guichard. Statistiquement, un logiciel en mode SaaS serait donc plus facile à "hacker". Reste que « pour un pirate informatique, tout n’est qu’une question de temps », insiste-t-il. Le niveau d’exposition d’une solution en SaaS est d’abord fonction des enjeux et de la criticité des données. « En soi, le SaaS n’est pas moins sécurisé que les autres plateformes » tranche l’expert.

Et pour le cas spécifique des RH ? « Il est parfois préférable de tout externaliser » admet Patrice Guichard, qui rappelle que 70 % des données qui sortent d’une entreprise fuitent via le personnel interne. Même si des outils sophistiqués existent aujourd’hui pour limiter ces pratiques, difficile d’empêcher un employé de prendre une photo de son écran avec son mobile, par exemple. Pour un responsable de la sécurité SI au sein de la DRH d’un grand groupe français, venu témoigner à l’atelier Altays en tant que client, « la sécurité des logiciels SaaS est même souvent meilleure que sur les systèmes internes, car les éditeurs savent qu’ils sont regardés et que leur business tient à leur image ».

Comment optimiser la sécurité des solutions SaaS ?

  • Sensibiliser l’interne

« En SaaS, les utilisateurs ont trop souvent des mots de passe simples » regrette Patrice Richard. Or une  bonne combinaison login et mot de passe complexes, changés tous les 90 jours reste le meilleur rempart aux intrusions selon lui. S’appuyer sur l’exemple d’incidents internes est en outre un bon levier pour développer une culture de la sécurité au sein de l’entreprise.

  • Faire auditer les solutions des fournisseurs

« Les deux tiers des plateformes SaaS que j’ai auditées ont révélé des faiblesses lors de la première évaluation » assure Patrice Guichard. Si un audit complet s’avère trop lourd pour l’entreprise en termes de coûts et de mobilisation de ressources, des simples tests d’intrusion pourront être réalisés. Objectif : évaluer la résistance de la plateforme aux attaques. A noter que certaines applications SaaS mutualisées gèrent des milliers d’utilisateurs de diverses entreprises : des attaques trop musclées peuvent être dangereuses. Il sera préférable dans ce cas de faire tester des plateformes miroirs.

  • Prévoir des clauses juridiques dans le contrat

En cas d’intrusion et de publication de données confidentielles, à qui la faute ? L’éditeur, le client, l’hébergeur ?  La responsabilité est souvent difficile à déterminer, faute de dispositions prévues.

  • S’assurer de la localisation de l’hébergement des données

En vertu du Patriot Act en vigueur aux Etats-Unis, les agences fédérales américaines peuvent potentiellement avoir accès à toutes les données hébergées sur son territoire. Certes, la criticité des informations RH est relative, mais mieux vaut toutefois vérifier que les données sont bien stockées en France ou dans l’UE.

Transférer cet article à un ami