Pour la majorité des entreprises, opter pour une solution de type SaaS est une option pratique, économique et qui offre une certaine flexibilité. Toutefois, dans un environnement réglementé comme celui des sciences de la vie, cela peut être délicat en raison de la nature des données traitées et de l'impact potentiel sur les clients et d'autres parties prenantes. La confiance envers les contrôles de sécurité des fournisseurs de solutions SaaS est une préoccupation importante sachant que ceux-ci seront en charge de la gestion des opérations de sécurité.
Dans ce blog, nous aborderons l'importance de porter attention sur les impacts du partage des infrastructures à plusieurs utilisateurs et la sous-traitance des infrastructures des entreprises de produits SaaS.
Qu’est-ce que signifie Software as a Service ?
Il existe plusieurs définition entourant ce terme. Cependant, si l'on se fit à celle du Centre canadien pour la cybersécurité, le terme Software as a Service, ou Logiciel en tant que service, signifie:
Le SaaS est un modèle de distribution de logiciels selon lequel des applications sont achetées ou hébergées par un fournisseur de services infonuagiques, puis mises à la disposition des clients, qui peuvent les utiliser sur Internet. On élimine ainsi la nécessité d’installer et de tenir à jour des logiciels sur des ordinateurs locaux.
Les fournisseurs de ce type de produit logiciel jouent un rôle important dans la simplification des processus et l’amélioration de l’efficacité au sein des organisations des sciences de la vie. Voici quelques exemples de fournisseurs assez connu dans l’industrie en fonction du type de logiciel qu'ils offrent :
Système de gestion de la qualité (QMS) : Greenlight Guru, MasterControl, Qualio, ETQ Reliance and Veeva Vault.
Système de planification des ressources (ERP) : SAP, Oracle and Microsoft AX
Infrastructure privée ou publique ?
Toutes les entreprises de produits SaaS doivent décider du modèle d'infrastructure qu'elles choisiront pour leur solution SaaS. En fonction de la manière dont les ressources informatiques sont réparties, l'infrastructure d'une solution SaaS peut être l'une des suivantes :
Infrastructure infonuagique privée – Infrastructure utilisée exclusivement par un client
Les solutions SaaS basées sur une infrastructure infonuagique privée correspondent très souvent à l’équivalent d’utiliser les services du département informatique interne et sont considérées comme un modèle d'externalisation traditionnel. Pour cette raison, les entreprises réglementées peuvent exercer une certaine pression sur les fournisseurs de produits SaaS qui appliquent ce modèle.
Infrastructure infonuagique public (Architecture partagé entre plusieurs utilisateurs) – Infrastructure utilisée par plusieurs clients simultanément
Les solutions SaaS basées sur ce type d’infrastructure partage leur architecture à plusieurs utilisateurs en même temps. Cette structure permet d’offrir un niveau de service standard à tous les clients, mais ne permettra pas la configuration spécifique de certains paramètres. Afin de réduire les coûts et assurer une certaine évolutivité de ses ressources informatiques, plusieurs entreprises opérant dans les sciences de la vie opte pour des fournisseurs qui ont choisit cette infrastructure.
Gestion de l'infrastructure par le fournisseur de produits SaaS
Pour ce qui à trait à la gestion de l’infrastructure, celle-ci peut être divisée en deux catégories, soit :
À l’interne, lorsqu’elle est assurée par le fournisseur
À l’externe, lorsqu’elle est assurée par un sous-traitant Infrastructure as a Service (IaaS) indépendant.
Il est important de comprendre que lorsqu’on opte pour un fournisseur qui sous-traite certains aspects ou même l’entièreté de la gestion de son infrastructure à un tier, vous avez beaucoup moins de contrôle et vous rester entièrement responsable de la sécurité et de la conformité. Bien que les fournisseurs connaîssent souvent les exigences du secteur réglementé des sciences de la vie, ils font appel à un partenaire afin de bénéficier de leurs vastes centres de données afin d'offrir du co-hébergement avec leurs équipements spécialisés.
Lors de votre évaluation des fournisseurs, il faut tenir compte de ces aspects. Il se peut qu’un fournisseur opte pour une infrastructure de type public, partagé entre plusieurs utilisateurs, et sous-traite la gestion de celle-ci à une autre entreprise. Cette combinaison augmente considérablement votre niveau de risque.
Sécurité de données et protection de la vie privée
Les fournisseurs de produits SaaS et leurs sous-traitants doivent être conscients de l’importance des données qu’ils détiennent et se doivent de mettre en œuvre des contrôles de sécurités rigoureux. Cette démarche est essentielle afin de garantir l’intégralité des données qu'ils détiennent sur leur plateforme. Lorsqu’on offre un environnement partagé entre plusieurs utilisateurs, une faille peut permettre un accès non autorisé à des données sensibles ou même permettre à des utilisateurs malveillants de prendre une identité frauduleuse.
Voici quelques points importants présentés par la communauté de pratique GAMP® de l'ISPE sur la sécurité des données et la protection de la vie privée qu’il faut surveiller avant de s’engager avec un fournisseur de produit SaaS :
Accord de niveau de service : Le fournisseur devra accepter et signer un accord de niveau de service (SLA) avec votre entreprise afin de vous protéger et établir les paramètres sur lesquels le service offert sera mesuré ainsi que les recours ou les pénalités si le niveau de service n’est pas respecté.
Accords de qualité : Le fournisseur devra vous permettre de définir et de documenter les principales responsabilités, entre lui et votre entreprise, qui confirmeront l’utilisation prévue du logiciel, son aptitude à remplir sa fonction et ses services associés, y compris les contrôles et les mesures nécessaires pour garantir le maintien de l’intégralité des données.
Connaître l’emplacement du fournisseur : Vous devez vous assurer de connaître l’emplacement physique du fournisseur, les lieux d’accès aux données ainsi que les lieux d’hébergements de vos données. À l’aide d’un audit, d’un accord de transfert de données ou par l’entremise d’autres mécanismes, il est recommandé de s’assurer que tous les sites offrent le niveau adéquat de protection des données.
Conservation des données : Votre fournisseur devra vous permettre d’instaurer une période de conservation des données confidentielles et de définir les rôles et les responsabilités pour ce qui à trait à la destruction de ceux-ci. Dans l’optique où le fournisseur fait affaire avec un sous-traitant, il doit être en mesure de vous garantir la même chose avec celui-ci.
Contrôles de sécurité : Votre fournisseur devra vous présenter ces contrôles de sécurité. La fiabilité de ceux-ci est cruciale puisqu’ils seront responsables des opérations de sécurité. À noter, qu'ne infrastructure de type publique sera plus attrayante pour des pirates informatiques, car la gestion des contrôles d’accès sera plus complexe en raison de la diversité des exigences de chacun des utilisateurs.
Exactitude et intégrité des données : Vous devez vous assurer que le fournisseur a mis en place avec tous ces sous-traitants un processus qui permet aux personnes concernées de soumettre une demande de modification de leurs données.
Raison de la collecte des données : Vous devez vous assurer qu’une communication existe et avise les personnes concernées du processus de traitement de leurs données par le fournisseur et ces sous-traitants.
Conclusion
Bien qu’opter pour une solution de type SaaS comporte de nombreux avantages, délaisser la gestion de la plateforme sur laquelle vos données sont stockées ainsi que la gestion des données et des logiciels appartenant à votre entreprise est un risque que vous prenez.
Il n’existe pas de fournisseurs « parfaits », mais seulement des fournisseurs ayant des approches différentes qui entrainent une variation du niveau de risques liés à ceux-ci. Il vous appartient de déterminer le niveau de risque acceptable en fonction de la situation et de vous assurer que vous disposez d’une stratégie d’atténuation des risques clairement définie et que vous y adhérez.
Si vous souhaitez en apprendre davantage sur la sélection de fournisseurs logiciels, nous vous invitons à lire les blogues Régulations à connaître avant de sélectionner un système ERP et Les éléments clés pour le choix réussi d’un fournisseur ERP. Autrement, il nous fera plaisir d’échanger avec nous et de vous aider dans vos projets. Pour ce faire, cliquez ici ou contactez-nous directement par courriel au info@innnovx.org.
Software as a Service (SaaS) – Glossary | CSRC. (n.d.). Software as a Service (SaaS) – Glossary | CSRC. https://csrc.nist.gov/glossary/term/software_as_a_service
Centre canadien pour la cybersécurité. (n.d.). Centre canadien pour la sécurité. https://www.cyber.gc.ca/fr/orientation/infonuagique-les-types
ISPE GAMP COP. (2016) SaaS in a Regulated Environment – The Impact of Multi-tenancy and Subcontracting. ISPE. www.ispe.org