Checklist sécurité SaaS 2026 — 52 points pour l'évaluation fournisseur enterprise

Authentification et contrôle d'accès

8 points

Authentification multifacteur (MFA) obligatoire pour tous les comptes admin et privilégiés
Politique de mots de passe : minimum 12 caractères, complexité requise, vérification contre les listes de fuites
Expiration de session : les sessions inactives expirent après ≤ 30 minutes
Verrouillage de compte après 5 tentatives échouées avec délais progressifs
Contrôle d'accès basé sur les rôles (RBAC) implémenté et documenté
Principe du moindre privilège appliqué à tous les comptes de service
Intégration OAuth / SSO testée contre les fuites de jetons et la validation des URI de redirection
Clés API rotées au minimum annuellement, jamais commitées dans le code source

7 points

Toutes les données chiffrées au repos (AES-256 ou équivalent)
Toutes les données chiffrées en transit (TLS 1.2+ obligatoire, TLS 1.0/1.1 désactivés)
Validité et renouvellement des certificats SSL/TLS surveillés
Identifiants de base de données stockés dans un gestionnaire de secrets (pas dans les fichiers env ou le code)
Sauvegardes chiffrées et accès contrôlé
Données personnelles classifiées et accès journalisés
Résidence des données documentée (UE/US/autre — pertinent RGPD)

10 points

7 points

Authentification API requise sur tous les endpoints non publics
Limitation de débit (rate limiting) implémentée contre le brute force et les DoS
Versioning API en place ; les versions dépréciées ont des dates de fin de vie
Les réponses API n'exposent pas d'identifiants internes, de traces de pile ou d'informations de debug
Introspection GraphQL désactivée en production
Signatures de webhooks vérifiées avant traitement
La documentation API ne contient pas d'identifiants ou d'exemples sensibles

8 points

Comptes cloud protégés par MFA pour les utilisateurs root/admin
Accès à l'infrastructure limité par liste blanche IP ou VPN
Environnement de production isolé du développement et du staging
Groupes de sécurité / règles de pare-feu : seuls les ports requis sont ouverts (pas de 0.0.0.0/0 sur les ports sensibles)
Images de conteneurs scannées pour les vulnérabilités avant déploiement
RBAC Kubernetes configuré ; les pods ne s'exécutent pas en root par défaut
Logs d'audit cloud (CloudTrail / GCP Audit Logs) activés et conservés ≥ 90 jours
WAF (Web Application Firewall) en place sur les endpoints publics

6 points

Plan de réponse aux incidents de sécurité documenté et testé
Procédure de notification de violation conforme à la règle RGPD des 72 heures
Logs applicatifs centralisés avec protection contre la falsification
Alertes de détection d'anomalies configurées (échecs de connexion, exports de données inhabituels)
SLA de disponibilité défini et surveillé
Page de contact sécurité et politique de divulgation responsable publiées

7 points

Politique de confidentialité publiée et conforme au RGPD (base légale documentée)
Modèle de contrat de sous-traitance (DPA) disponible pour les clients enterprise
Liste des sous-traitants maintenue et communiquée sur demande
Formation sécurité des employés réalisée annuellement
Politique de sécurité documentée et accessible à l'équipe
Test d'intrusion ou audit de sécurité automatisé réalisé dans les 12 derniers mois
Processus de gestion des vulnérabilités (CVE) documenté (SLA par sévérité)