Gartner a réalisé une étude pointant les faiblesses des contrats clouds en matière de sécurité. Il souligne notamment : le maintien de la confidentialité des données, l'intégrité de ces données, la reprise après incident. Bref, tout ce qui est présenté par les prestataires comme des garanties pour les utilisateurs. Cela conduit à l'insatisfaction de ces utilisateurs de solutions cloud, note le cabinet d'études et rend plus difficile pour les fournisseurs la défense de leurs positions face aux régulateurs et aux auditeurs.
Pour le Gartner, 80% des clients du SaaS resteront insatisfaits du fait de la langue dans laquelle est rédigé le contrat et des protections qu'il contient concernant la sécurité. « Nous continuons à voir de la frustration chez les utilisateurs de services de cloud computing sur la forme et le degré de transparence qu'il sont en mesure d'obtenir des fournisseurs de services potentiels et actuels » analyse Alexa Bona du Gartner.
Permettre un audit annuel de sécurité
Au minimum, les utilisateurs doivent veiller à ce que les contrats SaaS permettent un audit annuel de sécurité et de certification par une tierce partie, en incluant une clause de résiliation de l'accord en cas de violation de la sécurité, si par exemple le fournisseur est défaillant dans l'application d'une mesure de sécurité. Il est raisonnable pour un client de demander à son fournisseur de répondre aux conclusions d'une évaluation. Plus les acheteurs seront exigeants et plus la pratique des évaluations se développera de différentes manières : réponses à un questionnaire, examen des rapports d'audit de tiers, vérification sur place, surveillance du fournisseur de services de cloud .
Les utilisateurs ne doivent pas présumer que les contrats SaaS incluent des niveaux de service adéquats pour la sécurité et la récupération. Les clients attendent que leurs données soient protégées contre les attaques ou pour être restaurée en cas d'incident et doivent s'assurer que les fournisseurs sont tenus par contrat de respecter ces attentes. « Nous recommandons que les contrats incluent aussi le temps de récupération et les objectifs de restauration ou de récupération de l'intégrité des données, avec des pénalités significatives », note Alexa Bona.
Les fournisseurs s'engagent le moins possible
Il n'existe pas de consensus sur la manière dont les services de sécurité doivent être décrits par contrat, la plupart des fournisseurs de services SaaS choisissent de s'engager le moins possible. Il est pourtant essentiel que certains services comme la protection contre l'accès non autorisé par des tiers, la certification annuelle en sécurité, les tests de vulnérabilité réguliers soient mentionnés par écrit.
L'absence de compensation financière significative, en cas de défaillance de sécurité est également une forme indésirable d'exposition au risque dans les contrats SaaS. « Le SaaS est un cas unique où la défaillance du prestataire peut avoir un impact sur des milliers de clients en même temps » observe Mme Bona. Par conséquent, la majorité des fournisseurs de cloud évitent les obligations contractuelles pour toute forme de compensation financière ou pour des pénalités. Les utilisateurs devraient négocier des compensations pour 24 à 36 mois et pas seulement sur 12 mois.Â
Les contrats SaaS restent opaques sur les mesures de sécurité
Le cabinet Gartner jette un pavé dans la marre avec sa dernière étude sur le cloud computing. Il constate que les mesures de sécurité s'avèrent insuffisantes, notamment sur les contrats de SaaS dont les termes restent ambigus.