Faux hébergeurs SaaS : ce que vos prestataires ne vous disent pas (et que j'ai trouvé en audit)

Faux hébergeurs SaaS : ce que vos prestataires ne vous disent pas (et que je trouve en audit)

Il y a un type de prestataire que je croise de plus en plus souvent lors de mes audits. Pas des hackers. Pas des cybercriminels. Des sociétés de services, souvent locales, souvent bien intentionnées, qui ont décidé un beau matin de "faire du SaaS". Et qui mettent en danger leurs clients sans le savoir, ou sans vouloir le savoir.

Voici ce que j'ai trouvé lors de mes dernières missions, et ce que vous devriez exiger de tout prestataire qui héberge vos données.

La recette du faux intégrateur SaaS

Le modèle est devenu un classique. On prend une solution open source éprouvée, Odoo, Dolibarr, Nextcloud, on ouvre deux ou trois VPS chez OVH, on ajoute une couche de marketing "souverain", "Made in France", "circuit court", et on facture comme un éditeur logiciel avec vingt ans d'expérience.

Le timing est parfait. Dans un contexte de méfiance légitime vis-à-vis des grandes plateformes américaines, l'argument de la souveraineté numérique fait mouche. Les clients signent, confiants, rassurés, parfois même fiers de "soutenir le local".

Le problème n'est pas dans l'intention. Il est dans l'exécution.

Ce que l'audit révèle systématiquement

Quand j'arrive en audit chez un client de ce type de prestataire, le tableau est souvent le même :

Des systèmes en retard critique de mises à jour. Deux, trois versions majeures de retard. Des CVE avec un score de criticité de 9,8/10 qui traînent depuis dix-huit mois sans avoir été corrigées.

Des interfaces d'administration accessibles depuis internet. En clair. Sans restriction d'IP. Sans double authentification. La porte d'entrée de votre infrastructure, grande ouverte.

Des identifiants par défaut jamais changés. admin / admin. Sur un système qui héberge les données clients d'une entreprise.

Des sauvegardes fantômes. Configurées, oui. Mais qui pointent vers un espace de stockage supprimé, ou dont personne ne vérifie l'intégrité depuis des mois. La sauvegarde existe sur le papier. Les données, non.

Zéro logs exploitables. En cas d'incident, impossible de reconstituer ce qui s'est passé, quand, et par qui. Une catastrophe sur le plan légal autant que technique.

Pour illustrer le niveau d'exposition réel : lors d'un test récent, il a fallu moins de onze minutes pour compromettre complètement l'un de ces environnements.

Le mythe du snapshot OVH

C'est la réponse que j'entends le plus souvent quand je soulève ces points avec le prestataire. Mot pour mot : "T'inquiète, on est sur Linux et on a pris l'option snapshot OVH. Si on se fait chiffrer, on restaure."

Non.

Un snapshot vous protège contre la destruction ou le chiffrement de vos données. Il ne résout rien à l'exfiltration. Si vos données clients ont été copiées et transmises sur un serveur à l'autre bout du monde, vous restaurez quoi exactement ? Les données sont déjà dehors. Le mal est fait.

Et le RGPD ne s'arrête pas à "j'avais une sauvegarde". La responsabilité contractuelle ne disparaît pas parce que vous avez coché une option à 3 € par mois dans votre dashboard d'hébergeur.

Ce que vous devez exiger de tout prestataire qui héberge vos données

Voici les questions minimales à poser avant de signer, et à faire auditer régulièrement :

Sur les mises à jour : Quelle est votre politique de gestion des correctifs de sécurité ? Sous quel délai appliquez-vous les patches critiques ? Pouvez-vous me montrer votre historique de mises à jour ?

Sur les accès : Comment sont protégées vos interfaces d'administration ? Utilisez-vous le MFA sur tous les accès privilégiés ? Avez-vous une politique de gestion des mots de passe ?

Sur les sauvegardes : À quelle fréquence testez-vous la restauration de vos sauvegardes ? Où sont stockées les sauvegardes, sur la même infrastructure ou externalisées ?

Sur les logs : Conservez-vous des journaux d'événements ? Sur quelle durée ? Qui les surveille ?

Sur la réponse à incident : Avez-vous un plan de réponse à incident documenté ? Avez-vous une assurance cyber ?

FAQ

Mon prestataire utilise des logiciels open source, est-ce un problème de sécurité ? Non en soi. Odoo, Nextcloud ou Dolibarr sont des solutions robustes quand elles sont correctement maintenues. Le problème n'est pas l'outil, c'est la rigueur avec laquelle il est administré et mis à jour.

Un hébergeur "souverain" est-il forcément plus sécurisé qu'un grand cloud américain ? Pas automatiquement. La souveraineté concerne la localisation des données et la juridiction applicable, pas le niveau de sécurité opérationnelle. Un AWS ou Azure bien configuré peut être plus sécurisé qu'un VPS OVH mal maintenu, et inversement.

En cas de fuite de données chez mon prestataire, qui est responsable vis-à-vis du RGPD ?

Vous, en tant que responsable de traitement, restez co-responsable même si c'est votre prestataire qui a failli. C'est pourquoi le contrat de sous-traitance et l'audit de votre prestataire sont essentiels.

Comment savoir si mon prestataire actuel est dans cette situation ? Un audit de sécurité externe de votre infrastructure hébergée permet de répondre à cette question en une journée, de façon objective et documentée.

Conclusion : la souveraineté numérique ne vaut rien sans sécurité opérationnelle

Faire confiance à un prestataire local pour héberger vos données, c'est légitime. Exiger que ce prestataire soit à la hauteur de cette confiance, c'est votre droit, et votre responsabilité.

Ce n'est pas une question de budget. Ce n'est pas une question de taille. C'est une question de déontologie et d'honnêteté envers les clients qui vous font confiance.

Contactez notre équipe pour un premier échange sans engagement.