A l’ère du digital, les solutions SaaS ont incontestablement révolutionné la manière dont les entreprises opèrent. De plus en plus prisées, elles offrent une flexibilité accrue, une gestion simplifiée des tâches quotidiennes, et permettent un accès plus facile aux ressources nécessaires.
Selon les prévisions de Gartner, d’ici 2025, 80% des entreprises auront complétement adopté les solutions SaaS, comparé à seulement 38% aujourd’hui. L’adoption exponentielle des services SaaS peut simplifier de nombreux aspects métiers et informatiques, mais elle présente également des défis en matière de sécurité. Les RSSI sont confrontés à une perte de visibilité globale dans ces écosystèmes en rapide expansion, en raison de la complexité des interconnexions et des environnements déjà en place.
Comment appréhender la dichotomie entre la simplicité du SaaS et les complexités souvent négligées qui touchent la sécurité et la maitrise des usages ? Alors que les entreprises optent de plus en plus pour ces solutions essentielles pour rester compétitives, il est impératif de comprendre les risques et de mettre en place des stratégies cyber adaptées.
La généralisation du SaaS et des SI hybrides : véritable défi de sécurité des RSSI
Selon la Cloud Security Alliance, 43% des organisations ayant subi un incident de sécurité lié au SaaS ont identifié un défaut de configuration comme la principale source de l’incident. Cette étude met en lumière une vérité inquiétante : même les solutions SaaS les plus reconnues peuvent être exposées à des failles de sécurité. Parmi les cas les plus notables, Facebook a été victime en 2021 d’une faille de sécurité qui a entraîné la fuite de données personnelles de 533 millions d’utilisateurs. Les conséquences des cyberattaques sur les environnements SaaS peuvent aussi aller jusqu’à la mise en péril de l’organisation.
Dans un monde où les technologies émergent rapidement, les réseaux s’étendent et s’hybrident, les enjeux et défis du Responsable de la Sécurité des SI (RSSI) sont considérables.
Le RSSI fait face à une gouvernance complexe avec les sujets critiques comme la conformité règlementaire, le modèle de responsabilité partagé avec le fournisseur de service cloud, la maitrise des usages d'applications non validées dans l'entreprise (Shadow SaaS IT). Sur le plan métier de la cybersécurité, il doit assurer la résilience des services de l'entreprise face aux cyberattaques, la protection des identités et du patrimoine digital. Enfin, il est confronté à des défis technologiques majeurs : garantir la cohérence des règles de sécurité en cas d’interconnexion des différents systèmes Cloud avec les environnements sur site, assurer la détection en temps réel des événements de sécurité et apporter une réponse adaptée.
Une approche globale centrée sur les business vitaux de l’organisation
Pour retrouver la maitrise des environnements hybrides dans un contexte d’adoption grandissante du SaaS, il est nécessaire d’adopter une approche globale, inscrite dans la stratégie de cybersécurité de l’organisation. Elle se structure autour de 4 objectifs : gagner en visibilité et lutter contre le shadow IT, assurer la cyber résilience des business vitaux de l’organisation, garantir la confiance dans les usages des applications, passer à l’échelle les capacités de protection, de détection et de réponse.
Lutter contre le shadow IT
Pour maitriser son environnement applicatif hybride, la première étape consiste à le connaitre. Quelles sont les applications utilisées et quelles en sont les usages ? La cartographie des applications et des flux de données, l’analyse des comportements des utilisateurs et la validation de la légitimité des identités permettent de prévenir des usages non-conformes.
Par exemple, des fuites de données issues d’applications SaaS non maitrisées peuvent mettre en péril l’image de l’entreprise.
Une fois l’ensemble du patrimoine applicatif et de ses usages cartographiés, la priorisation des plans d’actions est mise en place en fonction de vos business et processus vitaux.
Assurer la cyber résilience
La sécurisation des environnements SaaS est une démarche longue et complexe. Les applications qui soutiennent les processus les plus importants ou les plus critiques pour la survie de l’organisation doivent être la priorité. Identifiés avec les métiers, ces processus s’appuient sur des assets critiques référencés avec une configuration associée. Comment prendre une décision cyber éclairée sur ses actions de correction ou de remédiation ? La priorisation des actions à mener s’effectue alors au travers de plusieurs prismes : l’évaluation du risque, le traitement de la menace à travers des scenarii d’attaque basés sur la matrice MITRE Att&ck, les aspects financiers et opérationnels liés au coût et à l’effort humain de mise en place des éléments de correction). L’approche utilisant comme pivot MITRE Att&ck permet d’avoir une vue précise des objectifs, du niveau de maturité et des zones de dangers résultantes des décisions prises.
Garantir la confiance explicite dans les applications et leurs usages
Pour les applicatifs vitaux basés sur des environnements cloud et SaaS, la bonne posture de sécurité à adopter celle basée sur un principe de confiance explicite.
Le SaaS permet d’accéder à un applicatif quels que soient sa localisation, son réseau ou son terminal.
Ces modes de consommation de la donnée, sur des environnements étendus ou distribués, nécessite une adaptation de la posture cybersécurité selon le contexte. C’est ce que l’on appelle l’approche « Zero Trust ». Elle consiste à valider systématiquement l’identité numérique qui accède aux applications cloud public par des facteurs d’authentifications supplémentaires par exemple. L’accessibilité s’adapte en continu en fonction du niveau de confiance de l’identité numérique ou du terminal utilisé au regard de la politique de sécurité et de l’état de la menace. Ainsi, en cas d’éléments malveillants sur la machine de l’utilisateur, le droit de modification de la donnée sur une application SaaS critique peut être refusé. Mais au-delà de la démarche Zero Trust, certains fondamentaux doivent être consolidés, surtout lorsqu’il s’agit des solutions SaaS. Est-il normal d’utiliser un compte à fort privilège depuis n’importe quel terminal et n’importe quelle localisation ?
Passer à l’échelle par l’automatisation des processus
Face au risque majeur de défaut de configuration, souvent lié à une mauvaise administration, il convient que les configurations soient renforcées avec des contrôles continus de conformité tout au long du cycle de vie de l’application. La phase d’onboarding des applications SaaS dans le SI est fondamentale. Elle doit intégrer l’automatisation de l’évaluation des exigences par rapport à la politique de sécurité et vérifier le cadre contractuel, en particulier concernant les rôles et responsabilités du fournisseur SaaS en cas d’incident de sécurité. Qui doit fournir les éléments nécessaires pour la réponse aux incidents ? La détection et la réponse aux incidents représente en effet une difficulté. Comment intégrer les applications SaaS dans les modules de détection ? Le recours aux API pour collecter automatiquement la donnée SaaS dans le SIEM (Security Incident Event Manager) est une solution. Cette automatisation des processus de détection et de réponse aux incidents à l’aide d’un orchestrateur est déterminante pour le passage à l’échelle de toute la chaine de valeur cyber des environnements SaaS.
La technologie n’est pas une solution miracle
Si par nature, le SaaS est une technologie très simple à mettre en œuvre et à configurer, la gestion de la cybersécurité de ces environnements est beaucoup plus complexe. Et la réponse ne peut pas se limiter à une solution technologique ! Elle doit être globale et intégrer les dimensions organisationnelles, process et bien entendu technologiques.
La technologie supporte l’approche de bout-en-bout. Certaines solutions déjà existantes dans le SI peuvent avoir un usage à forte valeur pour les SaaS. C’est le cas par exemple des solutions de type CASB (Cloud Access Service Broker) ou des proxy web pour cartographier les applications SaaS et analyser les flux, limiter le Shadow IT SaaS. Des technologies plus émergentes comme le SSPM (SaaS Security Posture Management) permettent d’approfondir l’analyse comportementale ou d’anticiper les évolutions de configurations qui sont des piliers d’une bonne posture cyber pour le SaaS.
Cependant, la cybersécurité des SI hybrides, avec une composante SaaS de plus en plus forte, nécessite de former les organisations avec une sensibilisation accrue des utilisateurs aux risques liées au SaaS, de faire évoluer les modes de gouvernance avec une distribution nouvelle des rôles et des responsabilités face aux incidents de sécurité, et d’adapter les processus liés aux identités et aux accès, sans oublier le contexte règlementaire de plus en plus présent.
La simplification de la gestion cyber des SI hybride invite ainsi à renforcer des mécanismes déjà présents dans l’organisation autour de la cyber résilience, des approches Zero Trust et de l’automatisation.