Protection des données dans le cloud : comment les entreprises devraient sécuriser leurs applications SaaS

Les applications SaaS sont reines dans nos entreprises aujourd'hui. Elles offrent de nouveaux enjeux cybersécuritaires, et doivent nécessairement être encadrées car elles sont la cible d'attaques.

Si elles sont très démocratisées aujourd’hui parce qu’elles offrent beaucoup de flexibilité aux entreprises, les applications SaaS représentent une cible idéale pour les pirates informatiques pour les mêmes raisons. De ce fait, il est nécessaire d’adopter une stratégie adaptée pour les sécuriser. Des mesures doivent être prises, comme notamment l’utilisation de solutions de détection de menaces, de contrôle d’accès ou encore de chiffrement des données. Selon une étude récente de la Cloud Security Alliance, une association dont le but est de promouvoir de meilleures pratiques pour assurer la sécurité informatique du cloud, 55% des entreprises dans le monde ont déjà signalé un incident de cybersécurité lors de l’utilisation d’applications SaaS au cours des deux dernières années.

Cela prouve (si c’était nécessaire) l’importance de l’usage d’une façon sûre (en protégeant les données sensibles) des logiciels basés sur le cloud. En mettant en place certaines procédures, les entreprises peuvent alors bénéficier des avantages des applications SaaS sans compromettre la protection de leurs données.

Un historique d’incidents importants

Indubitablement, les entreprises sont amenées à continuer leur digitalisation, et donc à évoluer toujours plus vers des solutions cloud mais c’est aussi le cas des cybercriminels ceci expliquant l’augmentation du nombre d’incidents de sécurité impliquant l’utilisation d’application SaaS (l’incident CircleCI en janvier 2023, l’affaire “MOVEit” de juin de la même année, ou encore l’attaque sur la plateforme Twilio d’août 2022).

Ces exemples permettent de mettre en lumière un phénomène intéressant : à savoir que les applications SaaS ne sont pas à l’abri des fuites de données provenant de divers vecteurs d’attaque. Elles sont particulièrement populaires auprès des cybercriminels car il leur est alors possible de compromettre plusieurs entreprises à la fois en s’attaquant à un seul service SaaS. Ainsi, le 2023 Cloud Security Study mené par Thalès a révélé que plus d’un tiers (39%) des entreprises ont subi l’année dernière une fuite de données dans leur environnement cloud (une hausse vis-à-vis des 35% signalés en 2022).

Bonnes pratiques pour se protéger : contrôle d’accès et gestion de l’identité

De telles fuites peuvent avoir un effet dévastateur pour les entreprises. Les risques de sécurités posés par la dépendance à l’égard de fournisseurs de services externes peuvent ainsi impacter très négativement les opérations commerciales ainsi que la réputation de ces dernières.

Cela peut également entraîner des pertes financières, dans certains cas des amendes imposées par les autorités de régulation. Pourtant, une gestion robuste des identités peut aider les entreprises à contrôler et à sécuriser l'accès des utilisateurs aux applications SaaS. En effet, l’étude 2023 Trends in securing digital identities dévoile que  90% des organisations ont subi au moins une violation d'identité au cours des 12 derniers mois et 68% des entreprises ont subi un impact sur leur activité et, par conséquent, une augmentation des coûts liés à une violation d'identité. Dès lors, une authentification forte des utilisateurs ainsi qu’un contrôle d'accès avec des vérifications d’autorisation basés sur les rôles des personnes sont importants.

Pour accomplir cela plusieurs options existent, c’est notamment le cas de l’authentification des utilisateurs, qui doit être basée sur la vérification de l’identités de ces derniers, à l’aide d’un fournisseur d’identité de confiance et par une authentification multifactorielle (MFA). Il existe également les contrôles d’accès basés sur les rôles (RBAC), qui jouent un rôle crucial dans la définition et l’application des autorisation des utilisateurs, permettant de déterminer les actions spécifiques que les utilisateurs finaux sont autorisés à effectuer, et les données auxquelles ils sont autorisés à accéder en fonction de leur rôle et besoin. Ces solutions permettent de s’assurer que le principe du “moindre privilège” est toujours appliqué - et les accès qui ne sont plus légitimes sont rapidement identifiés et désactivés.

Au travers de la mise en place de tels contrôles, les entreprises peuvent ainsi se protéger contre les accès non-autorisés à leurs données, et ainsi réduire le risque de fuite de données. Les contrôles d’accès et une robuste gestion des identités offrent donc une protection efficace contre ce type de menaces. Plus les contrôles sont stricts, mieux les utilisateurs d’application SaaS et de facto leurs organisations peuvent sécuriser leurs données - il est très important de garder cela à l’esprit au fur et à mesure que l’utilisation du cloud continue à se répandre. Ce shift de l’IT traditionnel vers des services de cloud public a déjà été quantifié par Gartner qui les estiment à 1.2 milliard de dollars d’ici 2027 ou environ 58% des dépenses totales liées à IT (contre 661 milliards et 47% des dépenses total IT, en 2023). Il est donc essentiel de renforcer des contrôles d’accès afin de protéger efficacement les données sensibles et améliorer la résilience en matière de cybersécurité !