La sécurité des applications en mode SaaS

Les applications en mode SaaS permettent aux entreprises d’améliorer leurs performances. Mais l’appropriation de ces solutions en ligne par les différents métiers implique de mettre en place un contrôle des accès très rigoureux. Une politique de sécurité adaptée au Cloud est indispensable.

Avec la transformation digitale, les entreprises doivent relever différents défis et dilemmes. L’un des principaux challenges est d’être à la fois agile et protégé. La sécurité informatique ne doit pas être considérée comme un frein mais un investissement dans la pérennité de toute organisation. Or, à mesure qu’elles développent ses interconnexions, elles multiplient également les vecteurs d’attaque. Cinq d’entre eux sont couramment exploités par les pirates : la messagerie, le périmètre réseau, les terminaux, les applications Web et les utilisateurs distants.

Les responsabilités partagées avec le mode SaaS

Le mode SaaS (« Software as a Service ») représente donc un vecteur d’attaque, notamment par l’intégration du travail collaboratif. Ce risque est d’autant plus élevé que le nombre des applications SaaS dans les réseaux d’entreprise a augmenté de 46 % entre 2012 et 2015. Il comprend désormais plus de 316 solutions selon une étude de Palo Alto Networks.
Chaque vecteur nécessitant une protection spécialisée, le mode SaaS implique de mettre en place une politique de sécurité adaptée afin de couvrir toutes les menaces.

Les applications dans le Cloud reposent sur un modèle de responsabilité partagée. D’un côté, le fournisseur du programme en ligne est responsable de la sécurité de son datacenter et de la qualité de son service. Il doit assurer la confidentialité, l’intégrité et la disponibilité des informations (en particulier leur redondance) que lui délègue son client. De l’autre, l’entreprise doit contrôler les accès à ses applications dans le Cloud et surveiller étroitement les flux de données avec son SI.
Le premier point implique de bien choisir ses prestataires en ne se focalisant pas uniquement sur le tarif, mais aussi sur les garanties (dont les SLAs) et certifications qu’ils présentent en matière de sécurité informatique.

Le renforcement de la sécurité informatique

Le second point doit motiver les entreprises pour qu’elles mettent place différentes procédures visant à renforcer la protection de leurs informations et de leurs accès. Même si elles font appel à des services dans le Cloud, elles ne doivent pas négliger des sauvegardes en interne.
Concernant la protection des fichiers utilisés par une application en mode SaaS, il est indispensable de s’appuyer sur une solution de chiffrement lorsqu’il s’agit de données critiques. Cette technique garantit en effet leur confidentialité et permet de restreindre leur consultation à une liste de membres parfaitement identifiés.

Il est donc capital de cloisonner les accès à ce type de programmes en créant des groupes d’utilisateurs. Cette supervision des accès doit être très stricte avec une gestion très précise des mots de passe et identifiants des collaborateurs, mais également un contrôle des connexions spécifiques à chaque application.

Ce processus de management des accès repose notamment sur :
– le contrôle de chaque salarié depuis son arrivée dans l’entreprise jusqu’à son départ en n’oubliant pas d’inclure les changements de fonction ;
– le déploiement d’un système de SSO (signature unique) étendu aux applications externes et intégrant les cycles de vie des identités (comme dans le point précédent) ;
– le principe du moindre privilège pour chaque accès (c’est-à-dire le strict nécessaire et pas plus) pour tous les types de comptes ;
– la mise en œuvre d’une séparation des tâches, en particulier pour les opérations les plus sensibles.

Cybersécurité et « Shadow IT »

Cette administration rigoureuse est indispensable, car les bénéfices apportés par les applications en mode SaaS (augmentation de la productivité, accès mobile…) incitent de nombreux départements « métiers » à les utiliser à l’insu du service informatique ou sans son approbation. C’est ce qu’on appelle le « Shadow IT ». Dans la plupart des cas, les employés ne souhaitent pas délibérément contourner les procédures et la politique de sécurité informatique. Face à un problème spécifique et important pour lequel ils ont besoin d’une solution rapidement, ils n’hésitent pas à se tourner vers le SaaS. Or, cette pratique tend à se généraliser. D’après une étude du cabinet Vanson Bourne parue il y a deux ans, 78 % des dirigeants métiers déclarent que leurs employés utilisent des services Cloud sans contrôle des DSI !

Confrontés à cette problématique, les responsables informatiques doivent mettre en place un système de surveillance du trafic réseau et de la bande passante ainsi que des fichiers. Les objectifs prioritaires de cette cybersécurité sont :
– La détection des comportements ou des accès suspects (de boîtes de messagerie électronique, notamment) ;
– Le contrôle permanent des documents sensibles afin de repérer une modification illicite du code ;
– L’audit régulier du Système d’information (SI) ;
– La vérification et la comparaison entre les droits autorisés et ceux constatés sur le SI et l’application.

Mais toutes ces solutions “techniques” ne doivent pas faire oublier l’essentiel : la formation des salariés est indispensable.