Check-list Cybersécurité : SaaS CTO

C’est une liste non exhaustive par nature, mais qui permet une première approche pour renforcer votre sécurité. La sécurité ne doit pas être une corvée, alors n’hésitez pas à adapter cette liste à votre vision et vos besoins.
🏢 Votre Entreprise :
- Soyez honnête et transparent sur toutes les données que vous collectez.
- Rédigez et appliquez une politique de sécurité des systèmes d’information (PSSI).
- Prenez soin de vos employés les plus éloignés des problématiques cyber.
- Créer un inventaire des actifs de votre entreprise.
- Assurez-vous que tous vos services critiques sont sécurisés.
- Assurez-vous que vos noms de domaines sont protégés.
- Ne partagez pas votre réseau Wi-Fi.
- Disposez d'un plan de réponse aux incidents de cybersécurité.
🚀 Vos employés :
- Habituez tous vos collaborateurs aux bonnes pratiques de cybersécurité dès l’onboarding Qontrol.
- Exigez le 2FA (Authentification double facteur) sur tous les comptes compatibles.
- Assurez-vous que tous vos collaborateurs verrouillent systématiquement leurs ordinateurs quand ils ne sont pas devant leurs postes de travail.
- Chiffrez l’ensemble des postes de travail de vos collaborateurs.
- Utilisez un gestionnaire de mots de passe qui vous assure d’utiliser des mots de passe fort, unique et vous permet un partage sécurisé de ceux-ci en cas de besoin.
- Sauf nécessité technique, ne partagez jamais vos comptes.
- Utilisez de préférence une gestion centralisée des comptes.
- Faites une liste de toutes les étapes nécessaires pour l’arrivée ou le départ de l’un de vos collaborateurs.
🏗 Votre Infrastructure :
- Assurez-vous d’utiliser des certificats SSL sur votre site Web.
- Durcissez la sécurité de votre site Web.
- Maintenez vos OS à jour.
- Assurez-vous de la bonne mise en place de votre politique de sauvegarde. Testez là aussi souvent que nécessaire !
- N’hésitez pas à centraliser et archiver vos logs. Ils vous serviront en cas d’incidents de sécurité.
- Protégez votre application contre les attaques DDoS.
- Assurez-vous de savoir remonter votre architecture depuis le début.
💻 Votre Code :
- Ne laissez jamais de données sensibles dans votre code. Assurez-vous d’utiliser toujours des données de tests.
- Utilisez un outil d'analyse statique de vos commits.
- Ne faites jamais de cryptographie vous-même.
- N’hésitez pas à proposer des formations de code sécurisé à vos développeurs. D’ailleurs, accueillez tous vos développeurs par une sensibilisation à la cybersécurité.
- Soyez organisé, et ne négligez pas l’importance d’un cycle de vie de développement sécurisé.
📲 Votre Application :
- Autant que possible, utilisez des comptes sans privilèges.
- Vérifiez toujours que vos dépendances logicielles soient à jour et ne comportent pas de failles de sécurité majeures. Il est recommandé d’utiliser un logiciel pour remonter les alertes automatiquement.
- Vous vous sentez mature sur votre produit ? Faites un pentest sur le périmètre de votre application.
⚡️ Vos utilisateurs :
- Obligez les à utiliser des mots de passe complexe !
- Encouragez vos utilisateurs à utiliser la double authentification.