Qu'est-ce que la diligence raisonnable des fournisseurs dans le SaaS ? 

Dans le secteur du SaaS, la diligence raisonnable des fournisseurs est le processus d'examen minutieux des fournisseurs SaaS potentiels avant de collaborer avec eux. Cela comprend l'examen de divers domaines tels que :

• situation juridique de l'entreprise
• stabilité financière
• performance du produit
• gestion des informations sensibles des clients

Ces vérifications visent à protéger les entreprises contre les événements nuisibles tels que le vol de données, les interruptions de service et les problèmes de conformité. 

Voici les étapes du processus de diligence raisonnable des fournisseurs : 

1. Examinez la situation financière du fournisseur, afin de déterminer s'il est suffisamment solide pour fournir des services sur une période prolongée. 
2. Concentrez-vous sur leur efficacité opérationnelle et technique, y compris le respect des délais, les politiques de sécurité et les plans de reprise après sinistre. 
3. Analysez les questions juridiques et la conformité aux réglementations afin d'éviter tout problème juridique potentiel.

Dans le cas des logiciels traditionnels, sur site, l'entreprise est propriétaire de l'infrastructure.

Dans le cas du SaaS, le client cède le contrôle de la sécurité des données, des applications et de l'infrastructure au fournisseur. Cependant, le suivi des dérives de variation (VDD) s'avère utile pour garantir la responsabilité du fournisseur concernant la gestion des actifs.

Le processus de due diligence se concentre généralement sur quatre domaines critiques :

• Sécurité & Technique : Évaluation de la protection des données du fournisseur, du chiffrement, de la sécurité du réseau, des contrôles d'accès et du plan de réponse aux incidents.
• Conformité & Juridique: Évaluation de l'adhésion aux réglementations telles que le RGPD, HIPAA, SOC 2, les certifications ISO, et s'assurer que les contrats incluent des clauses appropriées de responsabilité et de propriété des données.
• Financier & Opérationnel: Évaluation de la stabilité financière du fournisseur (pour éviter l'interruption ou la résiliation du service), la disponibilité de l'infrastructure, les plans de reprise après sinistre et les accords de niveau de service (SLA).
• Gestion des données : Examiner où et comment les données sont stockées, traitées et potentiellement transférées au-delà des frontières, ainsi que la politique de suppression des données à la fin du contrat.

Un processus VDD solide repose fortement sur des preuves vérifiables. La documentation clé recherchée comprend :

Il est conseillé d'évaluer attentivement les fournisseurs qui :

• décident de ne pas partager la documentation de sécurité (par ex., rapport SOC 2, résultats de tests d'intrusion), ce qui pourrait être un indicateur pertinent.
• ont une insuffisante ou absente Reprise après sinistre (DR) plan qui pourrait être associé à des métriques RTO/RPO moins souhaitables.
• ont des conditions ambiguës ou excessivement restrictives concernant la propriété des données ou la portabilité des données (récupération de vos données).
• utilisent méthodes de chiffrement pour les données, tant lorsqu'elles sont stockées que lors de leur transfert, qui pourraient être vulnérables à une compromission.
• pourrait connaître une instabilité financière ou avoir un historique de difficultés à respecter les SLA.

VDD est un effort transversal qui nécessite la contribution de plusieurs départements :

• Sécurité de l'Information/TI : Surveille les contrôles techniques, l'architecture et la sécurité du réseau. 
• Juridique/Conformité : Examine les contrats, les DPA et le respect des réglementations.
• Finance/Approvisionnement : Évalue les coûts, la stabilité financière et les conditions contractuelles.
• Unité commerciale/Utilisateur : Vérifie l'adéquation opérationnelle et les capacités fonctionnelles de la solution.