Les infrastructures sont mieux protégées

La sécurité est le point sensible des applications hébergées, reconnaît Jean Collet, coordinateur du groupe de travail marketing et communication de la branche française de l'Aspic (ASP Industrie Consortium). Raison pour laquelle la plupart des prestataires ont déployé des infrastructures matérielles, logicielles et humaines que peu d'entreprises ont les moyens de financer. "Point d'autant plus critique que, comme le souligne Marie Labeyrie, PDG d'Ornis, société qui pratique la location d'applications depuis près de trois ans, " les attaques sont rarement aveugles : les pirates ciblent une entreprise et essayent d'utiliser l'accès aux applications comme moyen pour pénétrer leur système interne ". Pour rassurer les entreprises et leur donner les moyens de vérifier la fiabilité de leur infrastructure, les fournisseurs ont élaboré un document contractuel, dans lequel ils regroupent les indicateurs de mesure de la sécurité physique et logique des applications.Baptisé SLA (Service Level Agreement ou engagement de qualité de service), il inclut également des critères relatifs aux temps de réponse et à la disponibilité des applications.Parce que la sécurité n'est pas une affaire de confiance, tous les points critiques - outils, mise à jour des systèmes et ressources humaines - doivent être inclus dans le SLA et vérifiés - avant et pendant la durée du contrat - par une personne compétente. Qu'il s'agisse d'un spécialiste de la sécurité de l'entreprise cliente ou d'un audit pratiqué par une société tierce, il devra s'assurer de la présence d'outils de protection contre les attaques externes : coupe-feu et systèmes de détection d'intrusions.

La protection antivirus est impérative

Le fournisseur doit également disposer d'une protection antivirus afin d'éviter non seulement le blocage de sa propre infrastructure, mais aussi la propagation à l'intérieur des entreprises. Côté contrôle d'accès, la plupart des prestataires sont dotés de serveurs d'authentification forte, combinés à des serveurs d'annuaires. Peu utilisés en contrôle d'accès en raison de la complexité de déploiement des certificats, les systèmes de chiffrement PKI (Public Key Infrastructure) sont, en revanche, déployés pour la protection des données pendant leur transfert sur le réseau.Enfin, les outils n'étant efficaces que si des hommes sont là pour les surveiller et les mettre à jour, il est impératif de s'assurer que le fournisseur dispose d'une équipe de veille et de procédures écrites pour réagir rapidement en cas d'attaque. Et ce vingt-quatre heures sur vingt-quatre, sept jours sur sept.