Qu’est-ce qu’il n’y a pas à aimer dans le cloud ? Plus simple, moins cher et plus rentable que les systèmes sur site, le cloud a été une aubaine pour l'entreprise. Le logiciel en tant que service (SaaS) explique en grande partie ces avantages : en utilisant des services en ligne, les entreprises économisent une partie du temps, des efforts et des ressources nécessaires à la gestion, à l'administration, à la mise à jour et à la protection des applications. Cependant, le SaaS peut receler de nombreuses vulnérabilités en matière de sécurité, et toutes ne sont pas évidentes.
Les services de toutes sortes se sont révélés vulnérables. En fait, les services basés sur le cloud constituent désormais la méthode de diffusion la plus courante des logiciels malveillants, avec près de 70% des hacks et exploits téléchargés à partir de ces services. Et cela ne fait que partie de l’univers « officiel » des services qu’une organisation utilise. Une étude a révélé que 97 % des applications cloud étaient utilisés sans l’autorisation ni même la connaissance des équipes de sécurité.
Voici quelques éléments auxquels les organisations devraient penser lorsqu’elles évaluent la sécurité des applications SaaS nouvelles et existantes.
En général, les entreprises doivent tenir compte du niveau de visibilité dont elles disposent sur les services en ligne qu’elles utilisent. En fait, de nombreuses entreprises utilisent tellement de services différents qu’il peut être difficile pour les équipes de sécurité d’en assurer le suivi. Cela peut entraîner un certain nombre de conséquences inattendues. Par exemple, selon certaines estimations, les entreprises
perdre des milliards chaque année en frais de licence SaaS inutilisés et en services en double dans différents comptes.
La sécurité des services en ligne eux-mêmes est une autre préoccupation. Les équipes de sécurité doivent déterminer si les services utilisent un cryptage suffisant pour les informations de connexion. Ils doivent également vérifier si un service a été piraté dans le passé et, si oui, ce que le fournisseur a fait en réponse.
Même si tout cela est vérifié, un service est aussi sécurisé que la façon dont les gens l’utilisent. Il est important de s’assurer que les employés n'utilisez pas les mêmes informations d'identification pour les services et les connexions réseau, et qu'ils ne partagent pas de comptes ou d'informations d'identification. Il est également essentiel de s’assurer que les comptes sont fermés lorsque les employés quittent l'organisation.
Un autre aspect de la sécurité SaaS à prendre en compte est la manière dont les différents services interagissent les uns avec les autres. La connectivité SaaS, y compris des fonctionnalités telles que les applications et les services qui s'envoient des notifications entre eux, constitue une vulnérabilité potentielle pour la confidentialité des données. Les organisations comprennent-elles comment les employés utilisent plusieurs applications et modules complémentaires, ainsi que quelles autorisations sont requises pour l'intégration et les notifications ?
L'utilisation du SaaS affecte également la sécurité globale du réseau. Par exemple, les services installent souvent du code ou des cookies sur les appareils des utilisateurs. Ce code contient-il quelque chose qui pourrait interférer avec le fonctionnement optimal du système informatique ? Le service partage-t-il des données sur les activités des utilisateurs avec des tiers, et ces parties sont-elles sécurisées ? Un service peut-il potentiellement dommageable les ressources d’une organisation – même par inadvertance – avec ses activités ?
Conclusion
Les questions abondent lorsqu’il s’agit du SaaS dans l’entreprise, et les réponses sont difficiles à trouver. Mais les entreprises doivent de plus en plus rechercher ces réponses, ou du moins être conscientes de ces questions. Cela les aidera à définir des politiques appropriées, telles que la mise en œuvre de listes blanches plus efficaces et non seulement la fermeture des comptes des personnes qui ont quitté l'organisation, mais également la révocation des droits sur les documents et autres autorisations. Cela les aidera également à investir dans les solutions de sécurité qui correspondent le mieux à leurs besoins.
Les services SaaS et basés sur le cloud peuvent faire économiser aux entreprises des sommes importantes chaque année. Ils permettent également une agilité accrue, une efficacité améliorée, une meilleure utilisation des données et un meilleur service client, entre autres avantages. Cependant, tout cela peut avoir un coût en matière de sécurité. En augmentant la visibilité sur ce que fait le SaaS au sein de l'organisation, les équipes de sécurité peuvent s'assurer de tirer pleinement parti de ces services, tout en évitant de nombreux dangers.
