Les applications en mode SaaS, une opportunité pour les entreprises mais une menace pour la sécurité

Quand les métiers utilisent des solutions SaaS, cela implique que des données se retrouvent à l’extérieur de l’entreprise. Or celles-ci peuvent avoir un caractère sensible. Il est donc essentiel d’en assurer la protection.

La transition des solutions applicatives sur site (on-premise) au profit des offres Cloud de type Software-as-a-Service (SaaS) représente une véritable tendance de transformation du système d’information.

Une étude réalisée par le cabinet PAC en France montre ainsi que les applications en mode SaaS sont aujourd’hui très prisées, puisqu’en 2014, 54% des entreprises ont utilisé en priorité ce type de solutions.

Or parallèlement à ce phénomène, le secteur des fournisseurs de solutions informatiques est la première cible des hackers, puisqu’il est concerné par 28,7%[1] des attaques, loin devant les autres secteurs. Il faut savoir par ailleurs que près de 40%[2] des applications mobiles développées aujourd’hui ne sont pas correctement sécurisées lorsqu’elles arrivent sur le marché.

Enfin, avec l’émergence de différentes solutions adaptées à chaque service métiers, ceux-ci ont tendance à faire de plus en plus appel à des entreprises externes pour leurs besoins fonctionnels marketing, RH, commerciaux ou autres, sans nécessairement passer par les Directions des Systèmes d’Information. Ainsi, 82%[3] des applications Cloud en Europe arriveraient dans l’entreprise sans l’aval de la DSI.

Ce phénomène est connu sous le nom de Shadow IT ou « informatique fantôme », que le cabinet Gartner[4] définit comme étant l’ensemble des appareils, logiciels et services qui échappent à la propriété ou au contrôle des organisations informatiques.

 

Le Shadow IT, un enjeu de sécurité majeur pour l’entreprise

Lorsque les métiers utilisent des solutions en mode SaaS, cela implique que des données se retrouvent à l’extérieur de l’entreprise. Or celles-ci peuvent avoir un caractère sensible : les données personnelles ou financières, par exemple. Il est donc essentiel d’en assurer la protection.

De plus, si aucun contrôle n’est effectué, ces données stockées dans le Cloud risquent d’être consultées par des personnes non autorisées à le faire.

Dans ces deux cas de figure, le risque majeur pour l’entreprise est celui du vol de données - qui peuvent être utilisées à mauvais escient ou revendues par un hacker par exemple – ou celui de la perte de données qui peuvent être volontairement détruites ou altérées.

Enfin, cette passerelle entre la solution Cloud et le système d’information de l’entreprise échappe au contrôle de la DSI et représente un vecteur d’attaque non négligeable. Les hackers peuvent en effet utiliser cette passerelle pour prendre le contrôle à distance et s’introduire dans le système informatique d’une société.

Prenez le contrôle de la sécurité de vos applications

Afin de faire face à ces problématiques et vous assurer que votre entreprise garde le contrôle de la sécurité du système d’information, que les connexions s’effectuent depuis les PC de l’entreprise ou depuis n’importe quel appareil mobile (téléphones, tablettes), il est indispensable de mettre en place les mesures suivantes :

·         L’identification du Shadow IT
Il est essentiel de détecter l'utilisation non autorisée d’une l'application cloud par des employés. Ceci permet aux entreprises de déterminer la nature et le volume des applications que leurs employés veulent utiliser mais également de gérer, visualiser et diriger la façon dont ils peuvent les utiliser et y accéder.

·         La protection des données
Cette mesure détermine quelle donnée de l’entreprise peut ou ne peut pas être partagée par les employés via des applications cloud tierces spécifiques ou impose des mesures de protection de ces données (par exemple leur chiffrement).

·         La sécurisation de la connexion vers les solutions SaaS
Cette étape se compose de deux volets. Elle consiste tout d’abord à connecter les employés rapidement à des applications cloud tierces avec une fonctionnalité de Single Sign On (identification unique) et via des connecteurs sécurisés. Ceci inclut l'attribution automatique de mots de passe sophistiqués, et contribue à atténuer les failles de sécurité causées par une erreur humaine (95% de tous les incidents1), telles que les mots de passe peu sécurisés. Aujourd’hui, les employés sont de plus en plus impliqués dans des pratiques à risque avec ces applications, par exemple en s’identifiant avec leurs adresses e-mail personnelles, en utilisant des mots de passe peu sécurisés ou en réutilisant pour Œ d’entre eux les identifiants de connexion de l’entreprise, laissant ainsi la porte ouverte à de vastes failles à travers lesquelles les pirates peuvent s’engouffrer.

Des audits permettent de vérifier que les règles de sécurité en termes d’accès sont respectées et que ce sont bien les utilisateurs autorisés qui se connectent aux applications SaaS.

Elle comprend également le système de détection et de prévention des menaces en s’appuyant sur l'analyse des informations sur les attaques en temps réel. Ce système contrôle le flux d’information entre les utilisateurs et les applications pour s’assurer qu’il n’y ait pas de trafic malveillant.

 

De nombreuses entreprises sont, du fait de ces difficultés, frileuses à l’idée d’utiliser des applications SaaS. Or, il ne faut pas perdre de vue que ces applications sont des vecteurs importants d’accélérateur de croissance et un pilier de la transformation digitale des entreprises. Si le Shadow IT représente des risques majeurs en matière de sécurité pour les entreprises, ces difficultés sont pourtant surmontables grâce à la maîtrise de la sécurité des applications SaaS. Il faut aussi bien entendu profiter de cette tendance comme d’un tremplin pour développer une politique de sécurité informatique innovante, moderne et adaptée au nouvel environnement auquel doit faire face l’entreprise. Ne vous privez donc pas de ces solutions car avec les processus adéquats, vous pouvez utiliser ces applications en toute sérénité et ainsi accélérer la transformation digitale de votre entreprise.


[1] Source : Rapport IBM X-Force Threat Intelligence du 1er trimestre 2015
[2] Source : Etude de l’Institut Ponemon, The State ofMobile Insecurity (l’Etat de l’Insécurité Mobile)
[3] Source : Etude CipherCloud
[4] Source : Gartner