ERP métier
dédié aux sociétés de
Portage salarial

Blog VSP - Actualités


ERP SaaS et sécurité : ce qu'il faut savoir




Actualités  |  12/03/2021

Les chiffres parlent : au second semestre 2020, le SaaS représente 40% des nouveaux projets des éditeurs de logiciels, selon la Syntec numérique.

Toujours selon la même étude, le SaaS devrait atteindre 24,4% de part de marché pour les ESN en 2021.

Autant dire que le SaaS a de beaux jours devant lui. Les entreprises se tournent de plus en plus vers ce mode de solution informatique, notamment avec le télétravail qui s’est développé avec la pandémie du coronavirus.

Pourtant, de nombreuses entreprises restent réfractaires à l’implémentation d’une solution en mode SaaS au sein de leur entreprise.

La raison : la peur de la perte de données due à une plausible faille de sécurité de la solution.

Bonne nouvelle, les ERP SaaS ont pour la plupart un haut niveau de sécurité. Encore faut-il pouvoir les identifier.

On vous explique tout ce qu’il faut savoir dans cet article.

 

 

ERP SaaS et sécurité : ce qu'il faut savoir

Qu’est-ce que le SaaS ?

L’acronyme SaaS est un terme anglais qui signifie « Software as a service ». Autrement dit, en français « logiciel en tant que service ».

Il désigne le fait qu’un logiciel soit accessible à travers Internet ; d’où l’expression « en mode SaaS ».

Le SaaS est une des trois grandes catégories du cloud computing.

 

 

Qu’est-ce que le cloud computing ?

Qu’est-ce que le cloud computing ?

Le cloud computing, communément appelé « cloud » décrit le fait qu’un service informatique soit accessible depuis Internet. Par service, on entend les serveurs, les espaces de stockage, les logiciels, leurs mises à jour, etc.

Les trois grandes catégories du cloud computing sont :

  • Infrastructure as a service ou l’infrastructure en tant que service (IaaS)
  • Platform as a service ou Plateforme en tant que service (PaaS)
  • Software as a service ou logiciel en tant que service (SaaS)

Infrastructure as a service ou l’infrastructure en tant que service

Désigne les infrastructures informatiques qui permettront aux éditeurs de logiciels d’héberger leurs solutions. Cela peut être des serveurs, des réseaux et des espaces de stockage.

Ce qui définit l’infrastructure as a service c’est sa flexibilité et sa capacité d’adaptation aux besoins du client.

Platform as a service ou Plateforme en tant que service

Sert de support aux clients, plus spécifiquement aux développeurs, pour le développement de logiciels. La plateforme est accessible à travers des API, des portails web ou encore des logiciels gateway.

Le client n’a donc pas besoin d’investir dans du matériel ce qui est une économie de coût.

Software as a service ou logiciel en tant que service

C’est une solution informatique accessible depuis un navigateur Internet, donc depuis un ordinateur, une tablette ou un téléphone mobile.

Une connexion internet suffit pour utiliser l’application, et donc accéder aux données.

 

 

 

ERP SaaS : Pourquoi les entreprises misent sur ce mode ?

ERP SaaS : Pourquoi les entreprises misent sur ce mode ?  

Il est maintenant plus simple de définir et comprendre les avantages d’une application en mode SaaS.

C’est un logiciel hébergé sur le cloud et donc accessible par Internet. De ce fait, le client paye un abonnement mensuel ou annuel pour accéder à l’application.

Les solutions SaaS sont de plus en plus appréciées par les entreprises car elles permettent :

De faire des économies

Les coûts d’installation sont faibles puisque le client n’a pas besoin d’investir dans du matériel (serveur, réseaux, espace de stockage, etc.) ou des ressources humaines techniques (administrateur système, etc.).

Son seul investissement est son abonnement mensuel ou annuel de l’application SaaS puisque le tarif englobe l’utilisation, la maintenance, les mises à jour, l’hébergement et le support.

D’avoir un accès facile aux données de l’entreprise   

Grâce au cloud, le progiciel de gestion intégré est accessible depuis n’importe où, à condition d’avoir un accès Internet.

Une installation rapide

La mise en œuvre de la solution au sein de l’entreprise est rapide puisqu’elle est pré-paramétrée. Evidemment, il est possible de demander des développements spécifiques.

Un accès aux données indépendamment du matériel physique

Si l’ordinateur tombe en panne ou est volé, les utilisateurs ont toujours accès aux données de l’entreprise grâce à leur hébergement sur des serveurs à distance.

Malgré toutes les qualités d’une solution SaaS, certaines entreprises sont encore réfractaires à mettre en place un logiciel en tant que service type ERP ou CRM.

Voici quelques informations qui présentent ces réticences.

 

Les craintes des entreprises face aux menaces du cloud

Les craintes des entreprises face aux menaces du cloud

Selon une étude Opinionway, pour les entreprises, l’utilisation du cloud présente de nombreux risques dont les principaux sont :

  • La non-maîtrise de la chaîne de sous-traitance
  • Difficultés de contrôler les accès par des administrateurs de l’hébergeur
  • Non maîtrise de l’utilisation qui en est faite par les salariés de l’entreprise
  • Difficultés à mener des audits
  • Stockage des données dans des datacenters à l’étranger
  • Confidentialités vis-à-vis de l’hébergeur
  • Non maîtrise des paramètres de sécurités

Toujours selon cette même étude, 57% des entreprises ont constaté entre 1 et 9 cyberattaques au cours des 12 derniers mois. 

Et pour 41% des entreprises, le nombre d’attaques aurait augmenté.

Les principaux vecteurs des attaques :

  • Phishing ou spear phishing
  • Exploitation d’une faille
  • Arnaque au président
  • Tentatives de connexion

Ces attaques ont de graves conséquences pour l’entreprise :

  • Vol de données
  • Déni de service
  • Donnée chiffrée par un ransomware
  • Usurpation d’identité

 

Vous l’aurez compris dans le terme « ERP SaaS », c’est surtout le « SaaS » qui effraie les entreprises. En effet, les logiciels accessibles via Internet conduisent à l’émergence de ce qu’on appelle des cyberattaques.

Les entreprises ne sont pas épargnées par les pirates en ligne : phishing, piratage de compte, etc.

Or, la donnée est le moteur de l’entreprise et la perdre aurait de nombreuses conséquences.

conséquences d'une cyberattaque

L’entreprise verrait sa production perturbée ce qui impacterait son business ; par exemple, le site web ne serait plus accessible aux clients. Sans oublier les dommages financiers que cela entraînerait.

 

Selon une étude Markess, les principaux enjeux que les entreprises doivent relever d’ici 2022 sont l’automatisation des processus et la sécurité des processus.

Les entreprises ne sont donc pas fermées à l’automatisation des processus puisqu’elles veulent investir, mais elles veulent également garantir la sécurité des données.

 

Principaux enjeux à relever d'ici 2022 par Markess

Le développement du télétravail a d’ailleurs accentué ce sentiment d’insécurité.

 

enquête club decision DSI/JDN

Selon une étude club décision DSI – JDN, l’enjeu le plus sensible en termes de cybersécurité est la protection des données sur les terminaux.

 

Plus que jamais, les entreprises veulent sécuriser l’accès aux données, c’est pour cette raison que les éditeurs de logiciels doivent fournir à leurs clients des garanties sur la sécurité de leur progiciel de gestion.

Mais comment identifier un Enterprise Resource Planning à haut niveau de sécurité ? Quels sont les critères à prendre en compte ?

 

Les critères de sécurité à prendre en compte lors du choix d’une solution ERP SaaS

Les critères de sécurité à prendre en compte lors du choix d’une solution ERP SaaS

Pour rassurer le client et surtout lui garantir la sécurité de ses données, les éditeurs de solutions peuvent fournir un certain nombre de garanties. Ces dernières sont les critères que vous pouvez prendre en compte lors du choix de votre prestataire SaaS.

Les certifications et reconnaissances

Elles permettent de prouver que le produit et / ou service répond à certaines normes. Dans le cadre de la sécurité d’une solution SaaS, il y a par exemple :

La certification ISO 27001 : elle met en exergue la capacité d’un prestataire à faire face aux menaces de cybermenaces, de prendre des mesures de protection pour la confidentialité, la disponibilité et l’intégrité des données ainsi que la maîtrise des risques associés aux attaques.

La reconnaissance ISAE 3402 : c’est une reconnaissance internationale, elle permet de mettre en avant la qualité du système de contrôle du prestataire.

Il en existe d’autres comme ANSSI, ISO 27017, etc.

L’authentification

Comment les utilisateurs accèdent-ils à la solution SaaS ?

Il existe plusieurs façons de s’authentifier, cela va dépendre du prestataire. Il existe la double authentification ou encore la possibilité d’utiliser le fournisseur d’identité du client ; par exemple avec Active Directory (AD).

La protection des données en transit

Grâce au protocole TLS (Transport Layer Security) qui garantit la confidentialité des échanges entre le serveur et le client.

Le chiffrement des données

Avec la certification SSL pour garantir la sécurité des échanges.

Le type d’infrastructure

La sécurité de l’infrastructure à une grande importance puisqu’elle stockera les données de l’entreprise.

Généralement, le service cloud proposé par le prestataire doit vous garantir un fonctionnement en continu et une disponibilité à travers un contrat ou un engagement SLA (Service-Level Agreement).

Le lieu géographique de l’hébergement des données

Pour savoir si c’est dans un pays anglo-saxon ou en France, en Europe. Les lois de regard sur les données, par des administrations nationales, avec ou sans accord du propriétaire de ses données changent.

Un système de sauvegardes

Pour garantir aux clients l’accès à ses données en cas de catastrophe.

La mise en place de test d’intrusion

Pour tester les réactions et les processus des équipes de sécurité en cas d’attaque, ou pour valider le niveau de sécurité de l’application.

 

Vous avez maintenant un aperçu des éléments de vérification que vous pouvez demander selon vos attentes. Néanmoins, le fait que le prestataire est un haut niveau de sécurité ne signifie pas qu’il ne faut pas mettre en place des bonnes pratiques.