Aller au contenu principal
HubSecure
Menu

Blog

Liste de Contrôle Sécurité Fournisseurs : Ce que Demander à Chaque Prestataire SaaS Avant de Signer

Chaque outil SaaS que vous adoptez traite les données de votre entreprise et potentiellement celles de vos clients. Cette liste de contrôle vous donne les questions à poser — et les réponses qui doivent vous faire partir — avant de vous engager avec un fournisseur de logiciels.

· Par HubSecure Security

S’inscrire à un nouvel outil SaaS prend quelques minutes. La diligence raisonnable qui devrait précéder cette décision dure souvent moins longtemps que l’inscription elle-même. Pour la plupart des petites et moyennes entreprises, l’évaluation de la sécurité des fournisseurs consiste à regarder la page de tarification et lire un avis — et rien de plus.

Cela crée un risque réel. Chaque fournisseur SaaS que vous adoptez traite des données commerciales. Pour tout outil qui touche des données personnelles de vos clients ou employés, vous portez la responsabilité légale de la manière dont ce fournisseur les gère. Sous le RGPD, vous êtes le responsable du traitement ; le fournisseur est le sous-traitant ; et vous êtes responsable de vous assurer que le sous-traitant offre des garanties suffisantes.

« C’est une entreprise connue » n’est pas un processus de diligence raisonnable. Cette liste de contrôle en est un.

Avant d’évaluer : définissez quelles données l’outil touchera

Niveau 1 — Haute sensibilité : l’outil traitera des données personnelles de clients, employés ou autres individus. Exemples : CRM, logiciel RH, email marketing, helpdesk, gestion documentaire, logiciel financier, stockage cloud.

Niveau 2 — Sensibilité moyenne : l’outil traitera des données commerciales mais pas de données personnelles.

Niveau 3 — Faible sensibilité : l’outil ne traite aucune donnée confidentielle.

Les outils de Niveau 1 nécessitent la liste complète. Les outils de Niveau 2 nécessitent les sections 1–3.

Section 1 : Exigences légales et contractuelles

Ces points sont non négociables pour tout fournisseur de Niveau 1.

Accord de Traitement des Données

  • Le fournisseur propose-t-il un Accord de Traitement des Données (ATD) ?
  • L’ATD inclut-il les clauses obligatoires de l’Article 28 du RGPD ?
  • Pouvez-vous accéder à l’ATD et le signer avant de vous abonner ?

Si un fournisseur ne propose pas d’ATD pour un outil qui traite des données personnelles, n’allez pas plus loin.

Sous-traitants ultérieurs

  • Le fournisseur divulgue-t-il quels sous-traitants ultérieurs il utilise ?
  • Existe-t-il un processus pour être notifié des changements de sous-traitants ?
  • L’ATD exige-t-il du fournisseur d’imposer des obligations équivalentes à ses sous-traitants ?

Transferts internationaux

  • Où le fournisseur est-il établi ?
  • Où les données sont-elles stockées et traitées ?
  • Si les données sont transférées hors de votre juridiction, quel mécanisme de transfert s’applique ?
  • Une Évaluation d’Impact du Transfert est-elle disponible ?

Section 2 : Contrôles de sécurité

Certifications

  • Le fournisseur détient-il la certification ISO 27001 ?
  • Un rapport SOC 2 Type II est-il disponible ?
  • Pour l’infrastructure cloud : existe-t-il une certification CSA STAR ?

Chiffrement

  • Les données sont-elles chiffrées au repos ? Avec quel standard ? (AES-256 est le minimum acceptable)
  • Les données sont-elles chiffrées en transit ? (TLS 1.2 ou supérieur)
  • Les sauvegardes sont-elles chiffrées ?
  • Qui détient les clés de chiffrement ?

Contrôles d’accès

  • Le fournisseur applique-t-il l’authentification multifacteur pour l’accès du personnel aux données clients ?
  • L’accès aux données clients est-il restreint au personnel qui en a besoin ?
  • Les activités d’accès privilégié sont-elles enregistrées et surveillées ?

Infrastructure

  • Quel(s) fournisseur(s) cloud hébergent le service ?
  • Quel est le SLA de disponibilité et la disponibilité historique ?
  • Existe-t-il des plans documentés de continuité et de reprise après sinistre ?

Tests de pénétration

  • Le fournisseur effectue-t-il des tests de pénétration annuels ?
  • Un résumé du dernier test est-il disponible ?
  • Existe-t-il une politique de divulgation des vulnérabilités ?

Section 3 : Réponse aux incidents et notification des violations

  • Quel est le processus du fournisseur pour détecter les incidents de sécurité ?
  • Quel est l’engagement contractuel pour vous notifier d’une violation ?
  • Le délai de notification dans l’ATD est-il cohérent avec vos propres obligations réglementaires (72 heures sous le RGPD) ?
  • Le fournisseur dispose-t-il d’une assurance cyber ?

L’engagement de notification est critique. Si un fournisseur est violé un samedi et vous notifie le mercredi suivant, vous avez peut-être manqué votre propre fenêtre de 72 heures. L’ATD doit s’engager à notifier dans les 24–48 heures.

Section 4 : Gestion des données

  • Quelle est la politique de conservation des données du fournisseur ?
  • Pouvez-vous supprimer vos données à tout moment, y compris pendant un contrat ?
  • Qu’advient-il de vos données à la fin du contrat ? La suppression est-elle confirmée par écrit ?
  • Pouvez-vous exporter toutes vos données dans un format portable ?
  • Combien de temps après la résiliation le fournisseur conserve-t-il les données ?
  • Existe-t-il un journal d’audit des accès à vos données ?

Section 5 : Protections contractuelles

  • Le contrat limite-t-il la responsabilité du fournisseur de façon à créer un risque significatif pour vous ?
  • Existe-t-il des droits d’audit pour vérifier les contrôles de sécurité ?
  • Pouvez-vous résilier sans pénalité si le fournisseur modifie substantiellement ses pratiques de confidentialité ou de sécurité ?

Les questions à poser pendant le processus de vente

« Pouvez-vous nous envoyer votre ATD actuel avant de planifier une démonstration ? » Un fournisseur qui hésite signale quelque chose sur sa culture de conformité.

« Quels sous-traitants utilisez-vous et comment nous notifierez-vous des changements ? » Un fournisseur bien préparé a une réponse claire.

« Quand avez-vous été testés en pénétration en dernier et pouvons-nous voir un résumé ? » Un fournisseur qui n’a jamais été testé mérite prudence.

Les réponses qui doivent vous faire partir

  • « Nous n’avons pas d’ATD » (pour tout outil de Niveau 1)
  • « Les données sont stockées dans notre centre de données propriétaire » sans détails sur les contrôles de sécurité
  • « Nous n’avons jamais été piratés » comme substitut à la documentation de sécurité
  • « Nos conditions nous permettent d’utiliser vos données pour améliorer nos modèles » pour tout outil gérant des données personnelles clients

Après la signature : gestion continue des fournisseurs

Au minimum annuellement : réviser les listes de sous-traitants, demander des rapports SOC 2 mis à jour, vérifier que l’ATD reflète toujours les activités de traitement actuelles, confirmer les coordonnées pour notification de violation.