Les risques que personne ne documente assez
1. La surface d'attaque invisible des APIs métier
Chaque SaaS métier connecté à votre SI ouvre des endpoints. Un outil de gestion des rendez-vous clients, c'est concrètement une API qui interroge votre CRM, votre annuaire agences, parfois votre planning RH. Ces flux sont rarement cartographiés dans les audits de sécurité classiques qui se concentrent sur le périmètre réseau.
Les chiffres sont éloquents : 37% des organisations ont subi une brèche via une API en 2024, contre 17% en 2023. Soit plus du double en un an. Seuls 21% des RSSI déclarent avoir une réelle capacité de détection des attaques au niveau de la couche API. (Salt Security / Indusface, State of API Security 2024-2025) Les incidents de sécurité SaaS, eux, ont progressé de 300% entre septembre 2023 et 2024, portés en grande partie par des mauvaises configurations d'accès API et des tokens OAuth mal gérés. (Obsidian Security, 2024)
Les questions à poser sans attendre : qui a cartographié les flux de données entre votre SaaS métier et votre CRM ? En cas d'incident chez l'éditeur, en combien de minutes pouvez-vous révoquer ses accès ? Les tokens d'authentification de vos connecteurs sont-ils rotés régulièrement ?
2. La gestion des incidents chez vos sous-traitants : qui fait quoi, en combien de temps
La majorité des contrats SaaS définissent un taux de disponibilité de la plateforme. Ils ne définissent pas les délais de notification en cas de brèche, ni la chaîne de responsabilité en cas d'incident sur l'infrastructure de l'éditeur.
Le délai moyen entre une intrusion et sa détection reste de 194 jours. La contenir prend 64 jours supplémentaires soit près de neuf mois entre l'attaque et la résolution. (IBM Cost of a Data Breach Report 2025) NIS2 impose une alerte précoce à l'ANSSI sous 24 heures à compter de la découverte de l'incident. Le vrai problème n'est donc pas le délai de notification, c'est le délai de découverte. Si votre éditeur SaaS détecte une anomalie sur ses serveurs sans processus contractuel de notification client défini, vous pouvez rester dans l'ignorance pendant des semaines. Et c'est le jour où vous l'apprenez que votre horloge NIS2 commence à tourner.
Au-delà de la notification, les questions de continuité sont tout aussi critiques : l'éditeur dispose-t-il d'un PRA testé ? D'une cellule de crise activable en dehors des heures ouvrées ? D'une procédure de sauvegarde et de test de restauration documentée ? Ces éléments sont exigés par ISO 27001 et rarement vérifiés côté client.
3. La souveraineté des données : où vont vraiment vos données clients ?
Trois niveaux à vérifier systématiquement.
L'hébergement : votre SaaS est hébergé où exactement ? Sur quel cloud, dans quel pays ? En juin 2025, lors d'une audition devant la commission d'enquête du Sénat français, le directeur juridique de Microsoft France a déclaré : "Si nous sommes contraints, nous remettons les données." Ce n'est plus une hypothèse juridique, c'est une confirmation publique. Pour une banque, une mutuelle ou une collectivité, héberger des données clients chez un opérateur soumis au droit américain crée un conflit direct avec le RGPD et le secret bancaire français.
Le traitement : vos données passent-elles par des services tiers pour l'analytics, les notifications ou la personnalisation ? Chaque brique supplémentaire représente un transfert potentiel hors de votre contrôle.
La réversibilité : en cas de fin de contrat, pouvez-vous récupérer 100 % de vos données dans un format exploitable sous 48 heures ? La dépendance critique aux fournisseurs et la souveraineté arrivent en deuxième position des irritants des DSI en 2026, et le cloud hybride/multi-cloud/souverain est devenu le troisième chantier d'investissement prioritaire de l'année. (Baromètre Abraxio DSI 2026)
La grille d'exigences à poser à tout éditeur SaaS
Face à ces risques, les organisations s'appuient de plus en plus sur des outils structurés : 85% des RSSI intègrent des clauses de sécurité dans leurs contrats fournisseurs, 74% utilisent des questionnaires et 46% ont recours au cyber-rating. (Baromètre CESIN 2026) Alain Bouillé, délégué général du CESIN, résume la limite de l'exercice : "Vous n'allez pas faire un test d'intrusion chez 12 000 fournisseurs."
La bonne pratique est donc d'exiger de l'éditeur qu'il vous apporte lui-même la preuve. Voici les six exigences incontournables.
ISO 27001 nécessaire mais pas suffisante : la certification est devenue un critère éliminatoire dans les appels d'offre. Attention : elle couvre le périmètre interne de l'éditeur, pas forcément ses propres sous-traitants. L'Annexe A d'ISO 27001:2022 impose deux contrôles dédiés aux fournisseurs (A.5.19 et A.5.20) — vérifier que l'éditeur les applique est la bonne question. Vérifiez aussi que le périmètre du certificat correspond exactement à la prestation souscrite. Les certificats ISO 27001:2013 ne sont plus valides depuis le 31 octobre 2025. D'autres référentiels existent selon les secteurs : HDS pour les données de santé, SOC 2 Type 2 pour les éditeurs américains.
L'architecture des données : trois questions non négociables : les données sont-elles hébergées en Europe, chez un prestataire non soumis au Cloud Act ? L'éditeur garantit-il l'isolation des données entre clients ? En cas de résiliation, quel est le délai et le format de restitution ? 52 % des DSI citent les clauses contractuelles difficiles à négocier et l'exposition aux lois extraterritoriales comme principal frein au cloud. (Baromètre Docaposte/Cyblex 2025)
La gestion des incidents : NIS2 impose une alerte précoce sous 24 heures, une notification détaillée sous 72 heures, un rapport final sous un mois. La question à poser à l'éditeur : son processus de notification client est-il calé sur ces délais ? Qui est l'interlocuteur en cas d'incident, disponible à quelle heure ? Le contrat doit répondre à ces questions — pas seulement afficher un SLA de disponibilité.
La chaîne de sous-traitance : exigez de l'éditeur la liste complète de ses sous-traitants critiques et leur niveau de certification respectif. NIS2 rend cette transparence obligatoire pour les entités régulées — autant l'exiger en amont plutôt que de la découvrir lors d'un audit.
Les moyens infrastructure : l'éditeur dispose-t-il d'un EDR, d'un SIEM, d'une capacité de collecte et d'analyse des logs en cas d'incident ? Ces éléments déterminent sa capacité à détecter une anomalie et à en comprendre le périmètre réel.
La gestion des risques : l'éditeur dispose-t-il d'une matrice des risques formalisée et d'un plan de traitement des risques non couverts ? Les méthodes de référence comme EBIOS RM, conformes à la norme ISO 31000, donnent un cadre structuré à cette analyse. Un éditeur qui ne peut pas vous montrer comment il identifie et traite ses propres risques ne peut pas vous donner de garanties sérieuses sur les vôtres.
Ce que ça donne sur le terrain
PRO BTP, organisation de protection sociale regroupant 1,2 million de salariés protégés, 110 agences en France a fait de l'hébergement souverain un critère de sélection non négociable lors du déploiement de sa plateforme de prise de rendez-vous. Cyrille de Chalain, Directeur Adjoint Développement Commercial : "L'hébergement SaaS sécurisé en France était un critère essentiel pour nous. Il était important de savoir que nos données restent protégées et hébergées localement, en conformité avec les normes françaises et européennes."
Résultat du déploiement : +30% de rendez-vous pris en selfcare par les clients particuliers, plus de 100 000 rendez-vous générés en 2024, intégration native avec Efficy CRM et Outlook, traçabilité complète dans les outils de gestion internes. (Source : Agendize, cas client PRO BTP)
Un grand acteur banque/assurance multi-sites a pour sa part déployé un parcours entièrement intégré à son CRM interne, ses agendas Microsoft 365 et ses outils de BI via API avec interrogation automatique du CRM via le numéro SIRET pour les parcours B2B. Plus de 10 000 entreprises distinctes y ont pris rendez-vous en ligne.
Pour aller plus loin
Ces sujets : risques APIs, gestion des incidents, souveraineté, grille d'exigences seront au cœur d'un webinar technique de 30 minutes le vendredi 26 juin à 10h30, présenté par Cédric Peyruquéou, Directeur R&D d'Agendize et Arnaud Masson, Technicien support et sécurité informatique / CSSI.
Au programme : les risques les plus fréquents dans les intégrations SaaS métier, la grille d'exigences complète à poser à tout éditeur et des cas réels de déploiement dans des environnements réglementés multi-sites.
S'inscrire au webinar
Contactez l'un de nos experts pour profiter de l'expertise Agendize et en savoir plus sur la faisabilité de votre projet.
