Sécurité des données : les outils SaaS font sauter vos barrières

Avec la multiplication des outils SaaS, la pertinence d’une surveillance et d’une sécurisation des systèmes d’information basées uniquement sur le « périmètre » vole en éclats. Le paradigme à changé et le contrôle doit se faire avec un niveau de granularité au niveau même de l' »usage », ce que permettent justement les outils SaaS. En matière de sécurité des données, les logiciels SaaS apparaissent donc comme la maladie et son remède tout à la fois. Encore faut-il disposer d’un outil d’administration et de contrôle centralisé des logiciels SaaS.

1. L’ancien contrôle centralisé

Rappelez-vous l’ancien temps. Il y a plus de 10 ans. L’avant Cloud. Quand les logiciels étaient encore sur le disque dur des ordinateurs, lesquels étaient branchés sur votre réseau interne. Un risque de fuite sur internet ? Oui. Mais concentré en un seul endroit. Le point de jonction entre le web et l’intranet : le firewall. Contrôler une porte est plus facile que surveiller une multitude de passages (chaque outil SaaS), certains dérobés (le shadow it). Un firewall sous la responsabilité d’une équipe et de collaborateurs bien identifiés. D’autant plus sensibilisés et responsabilisés que c’était leur métier. Leur emploi et leur salaire dépendaient de leur vigilance. C’était avant la transformation digitale de l’entreprise. Quand la DSI était seule maître de la technologie. Aujourd’hui, la technologie appartient à tous. On ne parle d’ailleurs plus d’informatique mais de numérique. La sécurité relevant de tous les collaborateurs désormais, elle ne relève plus de personne. La sécurité basée sur le « périmètre » est devenue obsolète. 

2. Ce que bouleversent les logiciels SaaS

Avec les outils SaaS, les anciennes barrières ont sauté. Pourquoi ? Parce ces logiciels sont souscrits par les équipes métiers, souvent dans le dos de la DSI. On appelle cela le shadow it.

Dans ces conditions, comment demander à la DSI de sécuriser ce dont elle n’a pas connaissance ? L’enjeu est important. Car les outils SaaS, chaque jour plus nombreux, s’alimentent de données sensibles, business et/ou personnelles. Sans que vous vous en rendiez compte. De la même manière que vous ignorez de nombreuses fonctionnalités de ces outils. Plus ou moins cachées parmi toutes les autres, certaines sont pourtant dangereuses. Notamment celles qui permettent de partager toute ou partie des données traitées.

Le grand paradoxe : l’accès à vos bureaux est toujours plus sécurisé (vigiles, caméras, badges, etc.) pour protéger vos informations confidentielles. Dossiers et papiers ont pourtant disparu de vos tables (politique du zéro papier notamment). Car vos documents, même les plus sensibles, sont désormais stockés et traités sur le Cloud. Vos open spaces sont surtout numériques et des tiers peuvent s’y inviter dès que vos équipes oublient d’en fermer une porte : le compte SaaS du salarié qui part. C’est exactement comme si vous oubliez de lui reprendre son badge d’accès ou les clés de son ancien bureau…

3. Le contrôle par les utilisateurs

Avec les logiciels SaaS, les nouveaux gardiens de la sécurité doivent donc être les utilisateurs eux-mêmes. Encore faut-il qu’ils soient formés, responsabilisés et bienveillants à l’égard de leur entreprise. De cela, comment être certain ? Impossible. D’où l’importance d’un contrôle par l’administrateur de chaque outil SaaS. Mais cela ne fait que remonter le problème d’un cran. Certains administrateurs ne sont pas formés, sont irresponsables ou, simplement, « sous l’eau ». Ils ne prendront donc pas le temps de faire des allez-retours sur chaque console d’administration de chaque outil SaaS. Tâche aussi ingrate que fastidieuse. Surtout qu’ils sont rarement payés pour ça. Et que cela n’entre ni dans leur feuille de route ni dans leurs objectifs annuels (seuls à déterminer les promotions, les augmentations et/ou le satisfecit de la hiérarchie). Le plus souvent, les administrateurs oublient même qu’ils sont administrateurs. Surtout quand ils ont quitté l’entreprise depuis longtemps…

4. Le contrôle des administrateurs

La solution ? Un « méta-administrateur » pour superviser les autres. Un manager de confiance en charge de la sécurité ou suffisamment haut placé pour se sentir concerné. On ne lui demande pas d’administrer au quotidien les outils SaaS des équipes, mais seulement d’exercer un contrôle sur leurs administrateurs directs. Ce qui lui demandera d’autant moins de temps que ce contrôle peut s’effectuer à partir d’une seule et même plateforme sans besoin de jongler entre chaque outils SaaS. Encore plus simple si ce « méta-administrateur » reçoit des alertes automatisées chaque fois que le comportement d’un administrateur ou d’un utilisateur se révèle imprudent. Il lui suffira de reprendre la main à ces moments là uniquement. Encore faut-il qu’un outil le lui permette technologiquement.

5. Du contrôle des identités à celui des données

Avec les outils SaaS, le contrôle des accès et des identités (la sécurité basée sur le « périmètre ») n’est plus suffisant. Pourquoi ? Parce que les logiciels SaaS restent des sources de fuites sans même qu’il y ait vol ou piratage des identifiants.

Exemple 1 : un salarié a besoin d’argent et/ou souhaite se venger d’une entreprise qui, selon lui, le maltraite (refus de promotion, faible augmentation, placardisation, etc.). Il utilise ses identifiants pour accéder au CRM. Il y puise un maximum de données. Des listes de salariés et de prospects surtout, qu’il n’a plus qu’à vendre à un concurrent. 

Exemple 2 : un salarié est licencié et/ou part rejoindre un concurrent. Là encore, il souhaite se venger ou amadouer son nouveau manager. Il utilise ses identifiants pour accéder aux comptes SaaS qu’on a oublié de lui fermer après son départ. Il n’a plus qu’à se servir : listes de clients et de prospects, nouveau plan marketing, nouvelle offre et nouvelle politique de prix, etc. Ce genre d’oubli concerne 80% des entreprises dans le monde. Et 76% des DSI se doutent que d’anciens employés continuent de pouvoir accéder à des données de leur entreprise.

Dans ces conditions, le contrôle ne doit plus se faire au niveau des seuls codes d’accès. Il doit s’opérer sur les données elles-mêmes et leur utilisation. Un contrôle des flux autrement dit. Un niveau de granularité que permettent justement les logiciels SaaS.

6. Le nouveau paradigme

L’émergence des logiciels SaaS implique donc deux changements majeurs.

  1. Le contrôle ne doit plus seulement être vertical et centralisé par la DSI mais également horizontal au niveau de chaque équipe utilisatrice.
  2. Le contrôle doit se déplacer de l’amont (identifiants de connexion) vers l’aval pour s’étendre aux informations traitées et leur circulation.

Autre enjeu : prévenir plutôt que guérir. Autrement dit, identifier et empêcher les comportements risqués sans attendre les fuites de données, et ce grâce à des alertes sécurité dés qu’un usage suspect ou dangereux est détecté.

Des outils permettent-ils cela ? Oui. A condition d’êtres suffisamment sophistiqués pour, notamment, se brancher directement aux API des logiciels SaaS via des intégrations fortes. C’est le cas de Sublim.io qui centralise la gestion, le contrôle et la sécurisation des accès à tous vos outils SaaS sensibles, à partir d’une seule et même console d’administration.