Opinions
Attention aux lacunes des solutions SaaS en matière de sécurité
Par La rédaction, publié le 20 janvier 2015
Craig Lawson Directeur de recherche, Gartner
Les utilisateurs, l’entreprise et les éditeurs de logiciels sont tous en train de susciter un grand changement dans l’informatique d’entreprise vers les applications mobiles et le SaaS (Soft ware as a service). Ce virage laisse des lacunes en matière de sécurité et de conformité qui ne sont pas comblées par les moyens traditionnels. Les RSSI (Responsable de la sécurité des systèmes d’information) doivent être proactifs dans le traitement de ces lacunes de sécurité du SaaS en s’assurant que la visibilité, la conformité, la prévention des menaces et la sécurité des données sont prises en compte au moins au même niveau que les applications d’entreprise traditionnelles sur site.
L’industrie informatique est pilotée par de grandes tendances informatiques qui échappent au contrôle, et souvent même à l’influence, de l’entité chargée de la sécurité informatique. Ces tendances sont en effet conduites par les utilisateurs finaux, l’entreprise, les acheteurs de l’entreprise en dehors de l’entité informatique et les éditeurs de logiciels d’entreprise eux-mêmes. Cette situation accroît l’omniprésence de l’adoption de la mobilité et du cloud computing et peut réduire le degré de contrôle que les équipes en charge de la sécurité informatique exercent sur l’exposition au risque de leur entreprise. Cette perte de contrôle signifie que les gestionnaires de la sécurité ne sont pas toujours aussi enthousiastes que l’entreprise quant à l’adoption de ces nouvelles technologies.
En l’absence de contrôles de sécurité spécifiques liés au SaaS, l’utilisation par les employés de logiciels en ligne génère deux types majeurs de risques.
DES RISQUES LIÉS AUX APPLICATIONS CLOUD POURTANT APPROUVÉES
La perception qui règne dans l’entreprise est que, si elle adopte le SaaS, le fournisseur se chargera de la sécurité. Cela est exact dans une certaine mesure, car il est responsable de toute l’infrastructure qui pilote les applications d’entreprise. Pour les grands fournisseurs de SaaS, comme salesforce.com, Microsoft , IBM et Google, l’entreprise peut également prétendre que ces fournisseurs ont une équipe en charge de la sécurité plus grande et disposant de meilleures ressources que n’importe quelle entreprise. Si cette affirmation peut s’avérer exacte, un fournisseur de SaaS n’est pas, par la nature de son modèle économique, motivé pour aider les utilisateurs à réduire les risques.
En tant qu’entreprise, le programme de sécurité informatique pâtira si le changement à l’intérieur est plus lent que le changement à l’extérieur. Il est possible que l’entité informatique ou l’entreprise elle même progresse plus vite que l’équipe en charge de la sécurité. Or, cette dernière ne doit pas affecter l’agilité de l’entreprise, mais la favoriser. Jusqu’à récemment, l’entité informatique d’entreprise avait peu d’options évolutives pour permettre à l’entreprise d’adopter librement les applications SaaS, tout en appliquant des contrôles de sécurité externes pour réduire le risque associé à ces déploiements. Cela a conduit la sécurité informatique à être toujours dépeinte de manière peu amène comme l’équipe qui répond systématiquement par la négative. L’émergence du courtier en sécurité des accès dans le cloud computing est une opportunité pour les responsables de la sécurité d’entreprise de prendre les devants et d’être les leaders qui, au sein d’une entreprise, répondront par l’affirmative en expliquant de surcroît comment procéder.
L’adoption des SaaS se fait de façon échelonnée et chaotique (à peine une ou deux apps, telles que salesforce.com) et les entités en charge de la sécurité informatique doivent continuer d’assurer le quotidien avec l’infrastructure existante et les questions omniprésentes du contexte des menaces, de la conformité et des contraintes budgétaires problématiques.
DES DÉPENSES SOUS PRESSION
S’exerce également une pression des secteurs de l’entreprise qui dépensent dans l’informatique sans faire partie du département informatique. Des études montrent que, dans 60 % des entreprises, plus de 15 % des dépenses informatiques sont extérieures à l’entité informatique. Elles concernent souvent des postes tels que les applications de SaaS qui aident des domaines comme le marketing. Dans ce cas, l’entité en charge de la sécurité informatique devient responsable d’applications dont elle ignore souvent qu’elles sont utilisées, soit par l’entreprise elle-même, soit via l’utilisation d’applications de l’informatique de l’ombre. Cela signifie que l’équipe chargée de la sécurité informatique n’a pas eu le temps ou le financement nécessaire pour trop s’en inquiéter jusqu’à présent.
L’autre raison majeure est que, contrairement à la gestion des identités et de l’accès (IAM) en tant que service, le marché des produits de courtiers en sécurité des accès dans le cloud computing en est aux prémices de son évolution. Gartner a décrit le courtier en sécurité des accès dans le cloud computing en 2012, année où les tout premiers produits sont arrivés sur le marché. Aujourd’hui, en 2014, nous commençons tout juste à voir la diversité des concurrents proposant les fonctionnalités requises dans les quatre piliers que les entreprises peuvent examiner de façon crédible.
LES LACUNES DE SÉCURITÉ DU SAAS
L’IAM en tant que service a accéléré l’adoption des SaaS en facilitant le déploiement de multiples applications de SaaS sans le problème de gérer de nombreux référentiels d’identités avec les fournisseurs de SaaS. La partie consistant à laisser entrer les éléments de confiance est bien comprise et bénéficie d’un écosystème dynamique de fournisseurs. C’est la partie bloquant les éléments malveillants qui pose problème, d’où des lacunes de sécurité. Le problème est qu’une majorité d’entreprises auront un écosystème de fournisseurs de SaaS similaire à celui qu’elles avaient pour l’informatique d’entreprise sur site. Une entreprise peut avoir Salesforce pour la gestion de la relation client (CRM), Workday pour les ressources humaines, ServiceNow pour le centre d’assistance, Box.com pour le stockage des données, Office 365 ou Google Docs pour la productivité bureautique, etc. La création et la gestion d’une politique de sécurité par application SaaS sont plus qu’une corvée, et deviennent rapidement une source de risque. Par conséquent, l’idéal est une méthode centralisée de mise en vigueur de la politique.
REMÉDIER AUX DIFFICULTÉS
Les quatre piliers de la fonctionnalité de courtier en sécurité des accès dans le cloud computing sont la visibilité, la sécurité des données, la conformité et la prévention des menaces. En termes de visibilité, les entreprises doivent protéger leurs données sensibles pour de nombreuses raisons juridiques et commerciales. Que l’application SaaS soit approuvée ou qu’il s’agisse de l’informatique de l’ombre, elle a besoin d’une visibilité sur les applications qui s’exécutent, les données qui y sont stockées et partagées, la détection des abus de références d’identité et qui les utilise et à partir de quels emplacements et appareils. Les entreprises doivent aussi s’assurer qu’elles ne franchissent pas une barrière juridique ou éthique relative au respect de la vie privée par la surveillance de ces applications. Par exemple, les mêmes méthodes de sécurité qui fournissent une mesure de l’utilisation des applications de SaaS peuvent aussi surveiller des applications de médias sociaux comme Facebook et Twitter. La prise en charge de cet aspect varie grandement selon les entreprises et diffère selon les segments verticaux et les zones géographiques. Il est également nécessaire de voir ce qui se passe avec cette multitude d’applications qui migrent vers les SaaS. Les entreprises ont besoin d’une intégration de la gestion des journaux, avec des outils tels que la gestion des informations et événements de sécurité (SIEM) pour tenir leur obligation de surveillance continue.
DES RÈGLES DE CONFORMITÉ
Les données, et leur importance cruciale, sont la principale raison de l’existence de la sécurité informatique. Si l’entreprise migre vers des applications SaaS, le RSSI et les gestionnaires de la sécurité doivent procéder à plusieurs actions : s’assurer que les données sensibles reçoivent des jetons ou sont cryptées (en utilisant des algorithmes performants connus) ; veiller à ce que des méthodes d’authentification puissent être définies et appliquées, telles que l’utilisation d’un référentiel central d’informations d’identifi cation ; prendre en charge la gestion des clés de cryptage via un module de sécurité matériel ; contrôler les données d’entreprise sur les appareils ou au sein des applications pour s’assurer que seules les personnes autorisées y ont accès ; empêcher les fichiers et autres contenus de se retrouver orphelins dans l’application SaaS lorsque leur propriétaire est supprimé. La conformité est et a toujours été un élément fondamental de la sécurité informatique. Dans le contexte des applications de SaaS, la conformité concerne des éléments tels que les facteurs portant sur qui, quoi, quand, pourquoi et où doivent être mesurés un certain nombre d’accès. Le comportement des utilisateurs sur les applications SaaS doit être audité, quel que soit l’appareil (PC ou mobile) ou la méthode d’accès (navigateur ou app mobile). L’intégration dans l’entreprise doit être facilitée en prenant en charge la génération de fichiers journalisés.
PRÉVENTION DES MENACES
Avec les applications traditionnelles protégées par la gestion de l’accès et la sécurité du réseau et de l’hôte, on peut contrôler tous les accès aux applications par les utilisateurs autorisés depuis des emplacements définis, tout en inspectant le contenu malveillant. Aujourd’hui, plus d’un milliard d’internautes dans plus de 170 pays ne sont qu’à une requête de navigateur des applications de cloud computing d’entreprise sophistiquées. De nouveaux contrôles sont nécessaires pour s’assurer que les données sont protégées, tout comme de nouveaux contrôles des applications de SaaS sont requis.
