Les applications SaaS telles que Zendesk, Salesforce, Workday, Slack et bien d’autres ont été à l’avant-garde de la transformation numérique. Les organisations collectent, stockent et analysent des données sensibles relatives à leur activité et à leurs clients au sein de ces plateformes. L’adoption de l’une d’entre elles nécessite donc un certain niveau de confiance dans le fait que l’application est en mesure de protéger vos données, de sécuriser son propre réseau et de protéger son périmètre, le tout en votre nom.
Il va sans dire que la confiance dans les outils SaaS est actuellement en diminution du fait de l’intensification des cyber-menaces et du renforcement des réglementations. Même les vulnérabilités trouvées dans les outils de sécurité natifs de plateformes comme Microsoft 365 OME, bien qu’elles n’aient pas encore été exploitées, inquiètent les organisations de toutes tailles, qui ont beaucoup à perdre en cas d’attaque.
C’est là que nous rencontrons notre problème : nous avons besoin d’utiliser ces applications dans le cadre de notre activité, mais à quel prix ?
Les données sont-elles sécurisées dans les applications SaaS ?
Les experts s’accordent à dire que cela dépend des situations. Cela dépend de l’application et de sa capacité à supporter les vulnérabilités, à y résister et à les atténuer.
Les données collectées, échangées et transitant par les applications SaaS sont encore plus ciblées qu’auparavant par les cyber-menaces. Les fuites de données, les contrôles d’accès et les API constituent les principaux points de vulnérabilité des entreprises qui utilisent des applications SaaS, en particulier celles dites « connectées ».
L’environnement cloud présente un défi pour les applications SaaS munies d’intégrations, ainsi que pour les applications tierces intégrées. L’absence de pare-feu traditionnel y rend la détection des menaces beaucoup plus difficile pour les équipes de sécurité informatique.
Toutefois, il nous est impossible de ne plus avoir recours aux applications SaaS. Les équipes en ont besoin pour accomplir leurs tâches, et il n’est pas surprenant que les logiciels s’appuyant sur le cloud continuent de dominer le marché.
Selon Gartner, « Le SaaS reste le plus grand segment de marché des services de cloud public, qui devrait atteindre la somme de 176,6 milliards de dollars en matière de dépenses des utilisateurs finaux en 2022. Gartner s’attend à observer une progression constante au sein de ce segment, car les entreprises ont recours à de nombreuses méthodes de commercialisation reposant sur des solutions SaaS. »
Par conséquent, les applications SaaS s’appuyant sur le cloud vont rester omniprésentes dans les environnements de travail modernes. Alors, quelle approche peut-on adopter en ce qui concerne les données qu’elles contiennent ?
Quels sont les souhaits des utilisateurs SaaS ?
Étant donné qu’ils sont confrontés au risque de perdre des données sensibles, de ternir leur marque, d’enregistrer de lourdes pertes financières, de faire l’objet de poursuites judiciaires, et même d’encourir une peine de prison, il est compréhensible que les chefs d’entreprise et les responsables de la sécurité fassent preuve d’une grande nervosité et que les RSSI puissent être particulièrement prudents.
Pour résoudre ces problématiques complexes liées aux données, il est nécessaire de mettre en œuvre une protection qui préserve l’intégrité des logiciels et des workflows qu’ils contiennent. De nombreuses entreprises n’ont tout simplement pas la possibilité d’effectuer une migration pour cesser d’utiliser des applications comme Salesforce ou des systèmes d’exploitation comme Microsoft, en particulier à l’échelle entière de leur organisation.
Pour les utilisateurs SaaS, la meilleure alternative est de trouver un moyen de protéger les données elles-mêmes là où elles évoluent, à la fois à l’intérieur et à l’extérieur des applications. S’il existait un outil unique pouvant mettre cela en œuvre pour les applications SaaS, tout le monde y serait largement gagnant.
Gestion des données non structurées dans les applications SaaS
De nombreux professionnels de la sécurité informatique seraient d’accord pour dire que la démocratisation du SaaS a créé un défi majeur pour les entreprises du monde entier. Selon Gary Brickhouse, CSO chez GuidePoint Security, « Avec rien de plus qu’une carte de crédit, une composante d’une entreprise peut mettre en œuvre une nouvelle application, procéder à l’ajout de données commerciales sensibles ou utiliser une authentification faible, contournant ainsi les contrôles établis dans votre environnement. »
L’adoption, l’intégration et la connectivité rapides des applications SaaS continuent de percer des failles dans la sécurité des applications nécessaires à la gestion d’une entreprise. En outre, il est extrêmement difficile pour les RSSI de savoir exactement comment circulent les données non structurées. L’administrateur SaaS moderne a besoin d’une solution de protection des données qui lui donne une visibilité complète sur l’emplacement des données et sur l’identité des individus qui y ont accès.
Prenez le contrôle total des données à l’intérieur et à l’extérieur de votre organisation
C’est une chose de savoir où se trouvent vos données et qui les surveille, mais il en est une autre d’avoir un contrôle total sur ces facteurs tout au long du cycle de vie des données. Il est bien plus efficace de disposer d’un contrôle total.
Les administrateurs et les utilisateurs SaaS veulent avoir l’assurance que lorsque des données pénètrent et évoluent dans une application SaaS, le maintien de la sécurité de ces données n’incombe pas entièrement à cette application. Un administrateur voudra toujours disposer d’autant de contrôle, de visibilité et d’autonomie sur les données de sa propre organisation que possible.
Dans le contexte d’applications de service client et de support informatique comme Zendesk, par exemple, il est essentiel que les employés puissent échanger des données sensibles avec les clients, comme des renseignements de compte. Toutefois, une fois que les fichiers quittent le réseau de l’organisation, ils disparaissent pour toujours, sans possibilité de les récupérer. En outre, une fois que des informations sensibles entrent dans le système de Zendesk, par exemple, elles sont soumises aux paramètres de sécurité que Zendesk a mis en place.
Maintenant, qu’arriverait-il si les administrateurs d’applications SaaS pouvaient tirer parti d’un outil tiers qui s’intègre nativement à des applications telles que Zendesk pour protéger les données lorsqu’elles quittent l’application et y pénètrent ? Cela changerait entièrement la donne. Si elles ont la possibilité de révoquer l’accès aux données à tout moment, les organisations peuvent réduire considérablement le risque de fuites ou de violations de données.
Protégez plusieurs applications grâce à une sécurité interopérable
Les données ne doivent pas être verrouillées, car plus elles sont partagées avec les bonnes personnes, plus elles prennent de la valeur. En effet, un tel partage permet d’acquérir davantage de connaissances, ainsi que de prendre des décisions commerciales plus réfléchies et éclairées.
Cela pose un dilemme certain à toutes les organisations qui souhaitent exercer leur activité en toute sécurité en 2022. Afin de réduire les risques, les organisations peuvent hésiter à introduire de nouvelles applications.
Toutefois, lorsque votre approche de la sécurité est centrée sur les objets de données eux-mêmes, cela ouvre un monde de possibilités en ce qui concerne l’utilisation des applications, en particulier dans le cadre de l’utilisation d’applications personnalisées ou spécialisées. Les administrateurs et les utilisateurs SaaS veulent disposer d’un contrôle total sur leurs données et de la flexibilité requise pour permettre à celles-ci d’évoluer et de circuler dans les logiciels nécessaires.
Lorsqu’il s’agit de sécuriser les données présentes dans le grand nombre d’applications qui composent la pile technologique d’une organisation, les choses peuvent devenir incroyablement compliquées, et ce, très rapidement. Il est important d’envisager l’utilisation d’une solution étant en mesure de simplifier la protection des données au sein de plusieurs applications à la fois.
Ajoutez une couche de chiffrement tiers
Bien que le chiffrement des données devienne de plus en plus une exigence réglementaire dans le monde, les entreprises gagnent à appliquer cette méthode de sécurité, en particulier lorsqu’elle est mise en œuvre au niveau de chaque objet de données. Au lieu de se concentrer en priorité sur le chiffrement du réseau, des terminaux, des applications ou des appareils, il est préférable que les entreprises se focalisent sur le chiffrement des données elles-mêmes, car il s’agit d’un aspect qu’elles peuvent maîtriser. Lorsqu’elles y parviennent, elles peuvent utiliser de façon sereine des applications SaaS, même si elles n’ont aucun contrôle sur les violations pouvant s’y produire.
En utilisant le chiffrement axé sur les données au niveau de chaque objet, administré par un tiers, les entreprises ont l’assurance que si une violation de leur application SaaS devait se produire, l’actif le plus vital (les données) est protégé par chiffrement et qu’elles ont la propriété exclusive des clés.
Gérez vos propres clés de chiffrement
Dans une étude menée par McKinsey & Company en 2019, les utilisateurs SaaS d’entreprise ont indiqué qu’ils ne faisaient pas confiance aux sociétés SaaS pour héberger et gérer les clés de sécurité. Ils préfèrent conserver la propriété des clés, que cela soit sur site ou dans le cloud.
L’étude précise en outre que « les entreprises veulent bénéficier d’un certain degré de sophistication dans la gestion des clés afin de pouvoir accorder des accès aux données pendant une certaine période ou révoquer rapidement les accès. Cette préférence souligne à nouveau le fait que la plupart des répondants souhaitent exercer un contrôle total sur leurs informations sensibles ».
Déployez une solution de sécurité sans limites de partage de fichiers
Dans le cas des entreprises ayant besoin de recevoir et de partager des fichiers en toute sécurité au sein d’une application SaaS, que ce soit à des fins RH dans Workday ou d’échange dans Slack, la taille des données ne doit pas venir entraver la possibilité de les partager en toute sécurité. En ce qui concerne les interactions client, les entreprises qui disposent d’une unité dédiée au service client doivent avoir la possibilité de recevoir des fichiers en toute sécurité dans leurs applications SaaS. Les limites relatives aux fichiers sont une autre raison pour laquelle des solutions de contournement ou des intégrations d’applications non sécurisées sont si fréquemment employées par les utilisateurs SaaS. Ils veulent de la sécurité, mais pas si cela crée des obstacles à la réalisation de leur travail (comme l’imposition de limites pour les tailles de fichiers).
Une sécurité SaaS qui ne perturbe pas les workflows
Lorsque les RSSI tentent de verrouiller l’environnement au sein d’une application, cela peut limiter considérablement les fonctionnalités de celle-ci ou compliquer les processus de travail des personnes qui traitent les données. Un RSSI aura beau faire tout ce qui est nécessaire pour sécuriser une application, si celle-ci n’est pas facile à utiliser, alors ses utilisateurs habituels trouveront des solutions de contournement, le rythme de travail ralentira considérablement ou l’objectif commercial lié à l’utilisation de l’application ne sera pas pleinement atteint.
L’un des souhaits les plus chers des utilisateurs SaaS est de pouvoir disposer d’un outil de sécurité des données qu’il est facile à employer dans les applications SaaS. Cet outil doit leur demander très peu d’efforts, voire passer entièrement inaperçu dans l’exécution de leurs tâches quotidiennes.
Il est temps d’adopter une approche centrée sur les données pour la sécurité SaaS
Il existe un outil qui permet d’exaucer tous les souhaits des utilisateurs SaaS : Virtru. Découvrez comment nous pouvons répondre à toutes ces attentes en programmant dès aujourd’hui une démonstration avec nous.
