Check-list Cybersécurité : SaaS CTO

Check-list Cybersécurité : SaaS CTO

C’est une liste non exhaustive par nature, mais qui permet une première approche pour renforcer votre sécurité. La sécurité ne doit pas être une corvée, alors n’hésitez pas à adapter cette liste à votre vision et vos besoins.

🏢 Votre Entreprise :

  • Soyez honnête et transparent sur toutes les données que vous collectez.
  • Rédigez et appliquez une politique de sécurité des systèmes d’information (PSSI).
  • Prenez soin de vos employés les plus éloignés des problématiques cyber.
  • Créer un inventaire des actifs de votre entreprise.
  • Assurez-vous que tous vos services critiques sont sécurisés.
  • Assurez-vous que vos noms de domaines sont protégés.
  • Ne partagez pas votre réseau Wi-Fi.
  • Disposez d'un plan de réponse aux incidents de cybersécurité.

🚀 Vos employés :

  • Habituez tous vos collaborateurs aux bonnes pratiques de cybersécurité dès l’onboarding Qontrol.
  • Exigez le 2FA (Authentification double facteur) sur tous les comptes compatibles.
  • Assurez-vous que tous vos collaborateurs verrouillent systématiquement leurs ordinateurs quand ils ne sont pas devant leurs postes de travail.
  • Chiffrez l’ensemble des postes de travail de vos collaborateurs.
  • Utilisez un gestionnaire de mots de passe qui vous assure d’utiliser des mots de passe fort, unique et vous permet un partage sécurisé de ceux-ci en cas de besoin.
  • Sauf nécessité technique, ne partagez jamais vos comptes.
  • Utilisez de préférence une gestion centralisée des comptes.
  • Faites une liste de toutes les étapes nécessaires pour l’arrivée ou le départ de l’un de vos collaborateurs.

🏗 Votre Infrastructure :

  • Assurez-vous d’utiliser des certificats SSL sur votre site Web.
  • Durcissez la sécurité de votre site Web.
  • Maintenez vos OS à jour.
  • Assurez-vous de la bonne mise en place de votre politique de sauvegarde. Testez là aussi souvent que nécessaire !
  • N’hésitez pas à centraliser et archiver vos logs. Ils vous serviront en cas d’incidents de sécurité.
  • Protégez votre application contre les attaques DDoS.
  • Assurez-vous de savoir remonter votre architecture depuis le début.

💻 Votre Code :

  • Ne laissez jamais de données sensibles dans votre code. Assurez-vous d’utiliser toujours des données de tests.
  • Utilisez un outil d'analyse statique de vos commits.
  • Ne faites jamais de cryptographie vous-même.
  • N’hésitez pas à proposer des formations de code sécurisé à vos développeurs. D’ailleurs, accueillez tous vos développeurs par une sensibilisation à la cybersécurité.
  • Soyez organisé, et ne négligez pas l’importance d’un cycle de vie de développement sécurisé.

📲 Votre Application :

  • Autant que possible, utilisez des comptes sans privilèges.
  • Vérifiez toujours que vos dépendances logicielles soient à jour et ne comportent pas de failles de sécurité majeures. Il est recommandé d’utiliser un logiciel pour remonter les alertes automatiquement.
  • Vous vous sentez mature sur votre produit ? Faites un pentest sur le périmètre de votre application.

⚡️ Vos utilisateurs :

  • Obligez les à utiliser des mots de passe complexe !
  • Encouragez vos utilisateurs à utiliser la double authentification.