10 bonnes pratiques pour sécuriser l'accès à vos logiciels SaaS

L’utilisation des logiciels SaaS s’est largement démocratisée au sein des entreprises. Mais, peu ont résolu la question critique de leur sécurisation. A l’instar de votre parc informatique, il est essentiel de sécuriser l'accès à vos logiciels SaaS pour protéger les données qu’ils contiennent, assurer votre conformité réglementaire et faire face à de potentielles attaques. Bien que chaque SaaS soit différent, il existe des bonnes pratiques applicables à tous que nous vous partageons dans cet article.

Pourquoi est-il si important de sécuriser l'accès à ses logiciels SaaS ?

Nous avons précédemment synthétisé les raisons de sécuriser l'accès à vos logiciels SaaS à travers 3 thématiques : 

• La protection des données.
• La conformité réglementaire.
• Les cyberattaques.
  
  

Plus précisément, sécuriser l'accès à vos logiciels SaaS va vous permettre de : 

• Protéger les comptes utilisateurs de vos collaborateurs.
• Limiter l’accès aux données aux personnes non concernées.
• Protéger les données personnelles de vos clients, collaborateurs, prestataires etc.
• Eviter les attaques malveillantes.
• Bénéficier d’une assurance cyber.
  
  

Quelles sont les bonnes pratiques pour sécuriser l'accès aux logiciels SaaS ?

1. Mettez en place la double authentification

Cette technique, appelée 2FA, consiste à mettre en place un second moyen d'identification pour accéder à votre compte et mieux le protéger.

Cela permet d’éviter des intrusions inopinées.

Besoin d'aide sur le sujet ? Chez Everping, nous avons développé une expertise dans plus d'une cinquantaine de SaaS utilisés par les startups et PME modernes. Nous pouvons vous aider à déployer cette mesure de sécurité. 👉 N'hésitez pas à prendre contact avec un membre de notre équipe. 

2. Définissez des niveaux d'accès.

Pour protéger l'accès à vos logiciels SaaS, vous pouvez hiérarchiser et en restreindre les accès.

Chaque logiciel a sa propre nomenclature mais il existe 3 principaux niveaux d’accès : 

• L'administrateur : il peut tout faire. Gérer, supprimer des accès, éditer du contenu…
  
• L'utilisateur : il peut ajouter, modifier, supprimer du contenu.
• Le lecteur : il peut accéder et lire le contenu sans pouvoir le modifier.
  
  

3. Limitez le niveau d'accès seulement aux personnes concernées et donner les droits administrateurs aux personnes justifiées.

Par précaution, ne donnez à vos collaborateurs que des accès de type utilisateur ou lecteur et réservez les droits administrateurs seulement aux personnes justifiées.

4. Protégez l'accès par un mot de passe robuste.

Voici les règles à appliquer pour choisir un mot de passe robuste : 

• 8 caractères.
• 4 types de caractères différents parmi les majuscules, les minuscules, les chiffres et les caractères spéciaux.
• Combinaison aléatoire sans suite logique.
• Combinaison sans rapport avec votre activité, votre entreprise ou votre identité.

Donc Azerty1! n’est pas un mot de passe robuste.

5. Utilisez un gestionnaire de mot de passe pour les comptes partagés.

Connaissez-vous le principe du gestionnaire de mot passe ? 

C’est un coffre-fort qui protège l’ensemble de vos mots de passe sans que vous ayez besoin de tous les connaître.

Plus concrètement, choisissez un seul mot de passe robuste que vous seul connaissez. Laissez votre gestionnaire de mot de passe vous proposer des mots de passe robustes pour vos différents comptes. Et stockez vos mots de passe dans votre gestionnaire de mot de passe en toute sécurité.

Nous vous recommandons d'utiliser les solutions leaders du marché et nous nous tenons à votre disposition pour les mettre en place au sein de votre organisation. Pour bénéficier de cette expertise, rendez-vous ici ⬅.

6. Faites un audit régulier des accès.

Vérifiez régulièrement :

• si les droits accordés à chacun de vos collaborateurs sont justifiés et opérez les actions nécessaires.
• si tous les comptes actifs dans vos logiciels appartiennent à un collaborateur en poste chez vous et désactivez/supprimez les comptes des collaborateurs sortants.
  
  

7. Nommez un responsable par logiciel

Pour faciliter la gestion et sécuriser vos SaaS, nommez un responsable par logiciel. Une personne peut gérer l'ensemble de vos logiciels.

Cette personne sera en charge de la création, suppression, activation et désactivation des comptes dans les logiciels de son périmètre.

Cela permet d’avoir un total contrôle sur la création et la suppression des accès. En plus d’être une bonne pratique de sécurité, c’est une manière de gérer le nombre de licences par logiciel et de ne pas faire de dépenses inutiles.

8. Mettez-vous en conformité avec le RGDP.

A ce propos, comme le rappelle la CNIL, ne collectez que les données vraiment nécessaires pour atteindre votre objectif.

a. Tenez un registre du traitement des données.

Pour vous conformer au RGPD, il est important que vous teniez un listing du type de données que vous détenez sur chaque logiciel.

b. Listez vos sous-traitants.

Toujours dans une logique de conformité au RGPD, pensez à lister pour chacun de vos logiciels (sous-traitant) :

• La donnée collectée.
• Le lieu de stockage de la donnée : Europe / Etats-Unis / …
• Si le logiciel utilisé est conforme au RGPD.
  
  

9. Maîtrisez la politique de partage de document à l'extérieur de votre organisation.

Définissez des règles de partage de données avec l'extérieur. Il est important que vous maîtrisiez cet aspect.

Vous avez la possibilité d'interdire tout partage à l'extérieur ou encore d'être notifié en cas de partage vers l'extérieur ou enfin de protéger l'accès au document partagé par un mot de passe.

Vous avez à présent toutes les bonnes pratiques pour sécuriser vos logiciels SaaS.

🎁 Bonus : les bonnes pratiques pour sécuriser vos ordinateurs

Pour aller plus loin sur la sécurisation, pensez à 🔐 télécharger notre livre blanc. Il vous donnera toutes les bonnes pratiques pour sécuriser vos ordinateurs qu’ils soient sous Windows ou macOS.