Dans le monde des affaires, il n’est pas rare d’adopter une approche axée sur le logiciel en tant que service (SaaS). Cela semble logique : il n’est pas nécessaire de s’occuper de l’infrastructure, de la gestion, des correctifs et du renforcement. Il suffit d’activer l’application SaaS et de la laisser faire son travail.
Mais cette approche présente certains inconvénients.
Le problème avec le SaaS
Si le SaaS présente de nombreux avantages, il présente également de nombreux défis nouveaux, dont beaucoup ne bénéficient pas de la couverture qu’ils méritent. La sécurité figure en tête de liste des défis. Ainsi, même si le SaaS présente de réels avantages, il est également important de reconnaître le risque de sécurité qui l’accompagne. Lorsque nous parlons de sécurité SaaS, nous ne parlons généralement pas de la sécurité de la plateforme sous-jacente, mais plutôt de la façon dont nous l’utilisons.
N’oubliez pas, ce n’est pas vous, c’est moi !
Le modèle de responsabilité partagée
Les conditions générales de la plupart des plateformes SaaS prévoient un « modèle de responsabilité partagée ». En général, le fournisseur SaaS est responsable de la fourniture d’une plateforme robuste, résiliente et fiable, mais il n’assume aucune responsabilité quant à la manière dont vous l’utilisez et la configurez. Et c’est dans ces changements de configuration que réside le défi de la sécurité.
Les plateformes SaaS proposent souvent plusieurs options de configuration, comme les moyens de partager des données, les moyens d’inviter des utilisateurs externes, la manière dont les utilisateurs peuvent accéder à la plateforme, les parties de la plateforme qu’ils peuvent utiliser, etc. Et chaque changement de configuration, chaque bouton de nerd tourné, est susceptible de détourner la plateforme de sa configuration de sécurité optimale ou d’introduire une fonctionnalité inattendue. Si certaines applications, comme Microsoft 365, proposent des conseils sur les paramètres de sécurité, ce n’est pas le cas pour toutes. Même si elles le font, est-ce facile à gérer lorsque vous arrivez à 10, 20, voire 100 applications SaaS ?
Trop d’applications
Savez-vous combien d’applications SaaS vous possédez ? Le problème ne vient pas des applications SaaS que vous connaissez, mais de celles que vous ne connaissez pas. Le SaaS étant très accessible, il peut facilement échapper à la gestion. Certaines applications sont utilisées par les utilisateurs mais une organisation peut ne pas en avoir connaissance, comme l’application pour laquelle l’équipe commerciale s’est inscrite, celle que le service marketing utilise et, bien sûr, tout le monde veut une application GenAI avec laquelle jouer. Mais ce ne sont pas les seules. Il y a aussi les applications qui font partie des plateformes SaaS auxquelles vous vous inscrivez. Oui, même celles que vous connaissez peuvent contenir des applications supplémentaires que vous ne connaissez pas. C’est ainsi qu’une entreprise moyenne arrive à plus de 100 applications SaaS. Comment gérez-vous chacune d’entre elles ? Comment vous assurez-vous de savoir qu’elles existent et qu’elles sont configurées de manière à respecter les bonnes pratiques de sécurité et à protéger vos informations ? C’est là que réside le défi.
Présentation de SSPM
SSPM peut être la solution. Il est conçu pour s’intégrer initialement à vos applications SaaS gérées afin de fournir une visibilité sur la manière dont elles sont configurées, sur les configurations qui présentent des risques et sur la manière de les gérer. Il les surveillera en permanence pour détecter les nouvelles menaces et les changements de configuration qui introduisent des risques. Il détectera également les applications SaaS non gérées qui sont en cours d’utilisation, évaluera leur posture et présentera les profils de risque de l’application et du fournisseur SaaS lui-même. Il centralise la gestion et la sécurité d’une infrastructure SaaS et les endroits où sa gestion et sa configuration présentent des risques.
Chevauchement avec CASB et DLP
Il existe un certain chevauchement sur le marché, notamment en ce qui concerne les outils de sécurité d’accès au cloud (CASB) et de prévention des pertes de données (DLP). Mais ces outils reviennent un peu à capturer le voleur alors qu’il descend l’allée, plutôt qu’à s’assurer que les portes et les fenêtres étaient sécurisées en premier lieu.
SSPM est un autre outil de sécurité à gérer et à payer. Mais est-ce un outil dont nous avons besoin ? Eh bien, c’est à vous de décider. Cependant, notre utilisation du SaaS, malgré tous les avantages qu’il apporte, a apporté une nouvelle complexité et un nouvel ensemble de risques. Nous avons tellement plus d’applications que jamais, beaucoup d’entre elles ne sont pas gérées de manière centralisée et elles nécessitent de nombreux boutons de configuration à tourner. Sans surveillance de toutes ces applications, nous courons des risques de sécurité.
Prochaines étapes
La gestion de la posture de sécurité SaaS (SSPM) est une autre entrée dans le catalogue croissant des outils de gestion de la posture de sécurité. Ils sont souvent faciles à essayer et beaucoup proposent des évaluations gratuites qui peuvent vous donner une idée de l’ampleur du défi auquel vous êtes confronté. La sécurité SaaS est délicate et ne reçoit souvent pas la couverture qu’elle mérite, il peut donc être utile d’avoir une idée de votre situation.
Avant de vous retrouver aux prises avec un incident de sécurité et que votre fournisseur SaaS vous dise que c’est vous, pas moi, il peut être intéressant de voir ce qu’un outil SSPM peut faire pour vous. Pour en savoir plus, consultez les rapports SSPM Key Criteria et Radar de GigaOm. Ces rapports fournissent un aperçu complet du marché, décrivent les critères que vous voudrez prendre en compte dans une décision d’achat et évaluent les performances d’un certain nombre de fournisseurs par rapport à ces critères de décision.
Si vous n’êtes pas encore abonné à GigaOm, inscrivez-vous ici.
2024-08-19 18:34:56
1725919524
#Posture #sécurité #SaaS #nest #pas #vous #cest #moi