Comment bien évaluer la sécurité de votre prochain système de gestion de contenu (CMS) dans le Cloud ?

Les répercussions des violations de la cybersécurité pour les entreprises sont importantes et vont bien au-delà de la perte de données, entrainant également une rupture de la confidentialité des informations clients et, en fin de compte, la perte de clients. Jamais dans l'histoire, il n'y a eu autant de données et autant de défis pour les protéger. Chaque brique de votre Platform d'Expérience Numérique (DXP - Digital Experience Platform), qu’elle soit hébergée on premise  ou dans le cloud, peut constituer une surface d'attaque potentielle pour les acteurs malveillants. Voici ce que vous devez savoir sur la sécurité lorsque vous choisissez un système de gestion de contenu dans le Cloud.

Lors de l'évaluation d'un éditeur de logiciel pour votre DXP dans le Cloud, trois clés peuvent vous renseigner sur la solidité de sa sécurité : les processus, les normes et l'évaluation objective par un tiers.

La sécurité ne se limite pas aux logiciels

Nombreux sont ceux qui pensent que la vulnérabilité des logiciels est le seul facteur de cybersécurité, alors qu'il est plus important de tenir compte de la façon dont votre fournisseur gère les vulnérabilités potentielles. Un fournisseur de services DXP dans le Cloud doit être en mesure d'appliquer des correctifs logiciels en temps voulu, généralement moins de 24 heures et quoi qu’il arrive dans les 72 heures. Il doit avoir mis en place un système de gestion de la sécurité de l'information (ISMS) documenté pour l'ensemble de l'entreprise, au-delà des départements logiciels. 

L'homme étant le maillon le plus faible de la chaîne de cybersécurité, le fournisseur devrait avoir pris en compte les risques de vulnérabilité humaine et y avoir remédié. Son processus de prévention des piratages par ingénierie sociale doit être explicite et documenté. 

En termes de communication, un fournisseur doit être franc et réactif lorsqu'il s'agit de communiquer des vulnérabilités et des violations potentielles. La transparence est une valeur clé qui doit être présente dans votre relation. Et le fournisseur doit être prêt à s'engager contractuellement à respecter ces pratiques de sécurité en votre nom. 

Conformité aux normes de sécurité reconnues par l'industrie

Dans n'importe quel secteur, de la construction à la finance, disposer d'un ensemble de normes accréditées pour les comportements acceptables garantit des performances solides pour les consommateurs. Il en va de même pour la sécurité d’une DXP dans le Cloud. 

Votre fournisseur de services DXP en ligne doit avoir mis en place des normes qui ont été évaluées par une société tierce indépendante et accréditée. Cela inclut la conformité à un standard de renommée mondiale, telle que ISO 27001 ou SOC 2, comme qualification minimale. Cette accréditation signifie qu'une entreprise a fait l'objet d'un audit externe et a été évaluée sur sa capacité à connaître les risques de son activité et à y remédier. Une fois qu'un fournisseur est audité et accrédité, il doit renouveler sa certification chaque année. Cela demande un effort global de la part du fournisseur, l'avantage étant que les angles morts sont mis en évidence pour être résolus et que les meilleurs standards les plus exigeants sont respectés.

La conformité tient également compte des spécificités sectorielles ou géographiques. Par exemple, la conformité au GDPR est essentielle pour l'Europe et d'autres parties du monde, notamment les pays qui utilisent des réglementations de type GDPR sur la protection des données et informations personnelles. Il existe également des législations spécifiques à certains secteurs d'activité qui exigent de la conformité, comme PCI DSS pour la gestion des cartes de crédit et HIPAA pour les données de santé. 

Les éléments de preuve les plus  importants

Votre fournisseur de DXP dans le Cloud doit être en mesure de produire des résultats d'audit documentés et des fiches d'évaluation externes (réalisées par un tiers) de la sécurité. Vous pouvez demander la grille d’audit externe, les tests de pénétration et les scans de résultats ainsi que le calendrier de l'audit externe. 

Vous devez également comprendre les processus du fournisseur, notamment la manière dont les logiciels sont testés et diffusés, ainsi que le type de rapports qu'il peut produire pour vous. Il est important de savoir quels types de pare-feu et d'antivirus il déploie et quelles menaces il anticipe afin que vous puissiez savoir ce qu'il protège dans ses systèmes. 

Les accords de non-divulgation (NDA) sont parfois négligés ou difficiles à demander, mais ils sont nécessaires. Vous devez établir comment votre futur fournisseur de DXP met en œuvre la sécurité et la conformité pour votre organisation, et dans quelle mesure il est prêt à documenter par écrit son engagement à sécuriser vos systèmes. 

Les performances et les résultats obtenus sont source de confiance

En déterminant si ces trois facteurs relatifs à la sécurité des DXP dans le Cloud sont en place chez un fournisseur - processus, normes et évaluation objective par un tiers - vous pouvez être sûr que votre fournisseur peut assurer une protection complète de votre DXP. 

Jahia Cloud s'engage à mettre en œuvre des mesures de sécurité adéquates à travers l'ensemble de l’architecture de sa Digital Experience Platform, y compris la surveillance proactive et la communication des problèmes potentiels. En tant que leader en matière de confidentialité des données, Jahia met en œuvre les normes de sécurité les plus exigeantes. Jahia implémente ISO 27001, HIPAA et PCI DSS SAQ A depuis 2019 et a été renouvelé contre ISO 27001 en août 2022. 

Nos experts se tiennent à disposition pour avoir une conversation sur les besoins de votre organisation en matière de cloud DXP.