Pourquoi les outils SaaS menacent les données de vos équipes ?

Les outils SaaS se propagent dans vos équipes, les rendant mieux informées, mieux organisées et plus productives (selon les fonctionnalités du logiciel). Pourtant, le contrôle de ces logiciels SaaS reste lacunaire alors même qu’ils sont gorgés de données confidentielles et personnelles (risque au regard du RGPD notamment). Un manque de contrôle critique à deux moment phares notamment : l’onboarding et l’offboarding des utilisateurs salariés (free-lances, agences etc. peuvent également être concernés également).

L’invasion des logiciels SaaS

Entre 2020 et 2021, 80% des logiciels utilisés au travail cesseront d’être stockés sur vos ordinateurs de bureau (on-premise). On les appelle SaaS (Software as a service) car, avec eux, l’entreprise cliente n’achète plus un actif (dont elle est propriétaire une fois pour toute) mais paie en continue pour un service : le droit d’utiliser un outil développé et hébergé par l’éditeur sur le cloud. D’ailleurs, on ne parle plus de prix de vente mais de licence d’accès. Autrement dit, l’entreprise cliente accède au logiciel directement sur le Web sans rien télécharger sur les disques durs de ses ordinateurs. Ne parlons même pas d’un quelconque support matériel et tangible. Rappelez-vous la préhistoire : la disquette et le CD rom…

Avantages pour l’éditeur SaaS ? Récurrence des revenus et enrichissement long terme (customer lifetime value).

Avantages pour l’entreprise ? En théorie, elle paie uniquement pour ce qu’elle utilise, pendant le temps qu’elle l’utilise. Des économies à court terme donc : quand le nombre d’utilisateurs diminue ou lorsque l’entreprise décide de changer de solution. Quant à la maintenance et aux mises à jour du logiciel, elles sont assurées par l’éditeur. Allègement au bilan, flexibilité opérationnel et lissage des coûts donc. Comme un leasing automobile.

L’un des inconvénients : les données que traitent les outils SaaS appartiennent toujours au client mais celui-ci néglige trop souvent d’adapter ses comportements en terme de contrôle et de sécurité. Il manque d’outils pour cela.

Le manque de contrôle

En théorie, codes d’authentification et paramétrage des droits d’utilisation permettent de réserver aux seuls salariés habilités l’accès aux logiciels SaaS. Mais la réalité est toute autre. Le contrôle et le pilotage des droits d’accès, quand il existe, manque généralement de rigueur.

Plusieurs raisons à cela :

  1. L’existence d’une console d’administration différente pour chaque logiciel SaaS oblige à jongler entre elles sans aucune vue d’ensemble.
  2. Les interfaces d’administration des outils SaaS sont complexes et trompeuses.
  3. Aucune interface ne ressemble à l’autre, avec chaque fois des fonctionnalités et des nomenclatures différentes.
  4. L’entreprise oublie les outils SaaS qu’elle utilise et qui les utilise.
  5. L’entreprise oublie que ses données les plus sensibles transitent par ses logiciels SaaS.

Le manque de rigueur dans le contrôle des accès aux outils SaaS se révèle surtout à deux moments critiques dans la vie de vos équipes : le moment où de nouveaux salariés arrivent (onboarding) et le moment où ils partent (offboarding).

Onboarding et logiciels SaaS

Quand un nouveau salarié arrive, on ne sait plus exactement quels outils SaaS lui donner ni quel niveau d’accès lui attribuer dans chacun. Dans le doute et la précipitation, on ne change pas les paramétrages par défaut définis par les éditeurs, laissant les mêmes droits et privilèges d’accès aux managers, aux stagiaires, aux alternants et aux externes (agences, freelances, etc.) …

Des utilisateurs reçoivent donc souvent des accès logiciels inutiles à leur mission dans l’équipe : outils SaaS et/ou niveau de privilèges inadaptés. Par mégarde, malveillance ou cupidité, ces mêmes utilisateurs peuvent donc supprimer ou modifier des données, entraînant des pertes. Ils peuvent aussi exposer des informations sensibles à des utilisateurs non autorisés, occasionnant des fuites de données confidentielles et/ou personnelles.

Offboarding et logiciels SaaS

Quand des salariés partent, on oublie souvent de fermer leurs comptes utilisateurs. Il suffit d’une fois. Et c’est le cas dans 80% des entreprises. Résultat, le salarié licencié et/ou qui part chez un concurrent continue d’accéder aux données du CRM ou aux outils de gestion de projets. Des logiciels évidemment gorgés d’informations confidentielles sur l’entreprise, ses clients, ses opérations en cours.

Avec les outils SaaS, les risques de fuites n’ont jamais été aussi nombreux. Autant de vulnérabilités que des collaborateurs malveillants, actuels ou anciens, peuvent facilement exploiter.        

Le risque RGPD

Outre les données confidentielles et business, il existe une seconde famille de données sensibles : les données personnelles. Un risque RGPD donc. En cas de fuite, l’entreprise est condamnée à une amende pouvant atteindre 20 millions d’euros ou 4% de son chiffre d’affaires annuel et mondial …

Lisez l’article 32 du RGPD : le responsable du traitement des données personnelles (vous) doit mettre en œuvre toutes les mesures techniques et organisationnelles appropriées afin de garantir la sécurité des données personnelles. Il suffit d’un seul oubli.

Pire : vous êtes solidairement responsable de vos prestataires (free-lances, éditeurs SaaS, agences et autres…)

Insécurité et paradoxe des logiciels SaaS

Les facteurs clés de succès des outils SaaS sont les mêmes qui compromettent leur sécurité. Malheureusement pour vous, ils n’ont jamais contenu autant de données sensibles. En savoir plus sur le paradoxe des logiciels SaaS en matière de sécurité des données.