Sécurité des données et logiciels SaaS

Sécurité des données : le paradoxe des logiciels SaaS

Dans les entreprises, les équipes métier et même support (RH, etc.) utilisent les logiciels en mode SaaS pour cinq raisons principales :

  • Ils sont simples à mettre en place et à utiliser sans besoin de la DSI.
  • Ils permettent de traiter et de partager des données facilement.
  • Intégrés à d’autres logiciels, ils permettent des workflows automatisés.

Ils sont également flexibles, économiques (du moins en apparence) et ergonomiques.

Du fait de l’utilisation intensive qui en découle, les équipes métiers n’ont jamais confié autant de données à des logiciels tiers. Paradoxalement, ces mêmes caractéristiques qui expliquent le succès des logiciels SaaS sont leur talon d’Achille en terme de sécurité informatique.

1. Les logiciels SaaS sont décentralisés

Les éditeurs ont simplifié les outils SaaS au maximum afin d’en faciliter l’adoption (onboarding) et l’usage par les équipes métier et de limiter le churn (taux d’abandon de l’outil). Normal, puisque c’est précisément du gain de temps et d’efficacité que ces équipes achètent. Les outils SaaS et leurs fonctionnalités sont donc pensés pour être rapidement intégrés et utilisés sans besoin d’aucune expertise informatique.

Au coeur du shadow-IT

Les outils SaaS, hébergés dans le cloud par leur éditeur, n’impliquent généralement pas d’intégration spécifique avec les systèmes d’information de l’entreprise (hardware ou software). Une simple connexion internet suffit pour que n’importe quel salarié ou prestataire de l’entreprise cliente puisse accéder aux services de l’éditeur.

Résultat : les outils SaaS sont souscrits par les équipes métier en fonction de leurs besoins du moment, sans nécessité de consulter ni de faire intervenir leur DSI.

L’arbitrage des DSI

Les DSI centrales peuvent évidemment interdire ou limiter ces outils SaaS (exemple  : réglage des firewalls). Mais cela serait aussi inefficace que contre-productif.

Inefficace car les collaborateurs travaillent de plus en plus à partir de leurs laptops, tablettes et smartphones personnels. En-dehors donc du parc informatique traditionnel de l’entreprise sur lequel se limite le contrôle centralisé des DSI.

Contreproductif car les outils SaaS offrent des gains de temps et de productivité considérables, surtout dans les équipes dédiées au marketing, aux ventes (sales) ou au suivi clients (customer success). Les équipes RH sont également de plus en plus concernées. En marketing par exemple, les logiciels SaaS permettent l’analyse fine du marché, des prospects, des clients, ainsi que l’automatisation des canaux d’acquisition et la personnalisation des échanges. Sans parler du travail en « mode projet ».

Plus que de simples outils SaaS, c’est donc de transformation digitale et de compétitivité qu’il s’agit. On voit mal les DSI centrales s’y opposer, au risque de passer pour des ralentisseurs du business et non des facilitateurs. Surtout face aux équipes métier qui sont, elles, considérées comme des centres de profits.

2. Les outils SaaS facilitent le partage des données

Les outils SaaS peuvent se classer en cinq grandes catégories qui toutes proposent les fonctionnalités nécessaires pour faciliter le partage de données. Or, souvent, le partage de données est synonyme de fuites…

Les CRM 

Exemples : Salesforce, Hubspot, Pipedrive, Sellsy, Microsoft Dynamics, Sugar CRM, Oracle Siebel CRM, Zoho, Zendesk Sell.

Quelles informations contiennent-ils ? Des listes de prospects, des listes de clients, avec pour chacun l’état d’avancement de la prospection et des deals en cours. Sans parler des contacts, des emails et des numéros de téléphone. Autant de données strictement confidentielles et/ou personnelles. Pour ces outils, il existe toujours des fonctions avancées de partage, que chaque commercial est même encouragé à utiliser pour alimenter et mettre à jour les bases de données consultables par le reste de l’équipe.

Les gestionnaires de projet

Exemples : Trello, Asana, Github, Monday, Teamwork, Hive, Zoho, Basecamp, Notion.

Le partage entre membres d’une même équipe est ici la raison d’être de ces outils SaaS, puisqu’ils visent à donner une vision claire de la répartition des tâches et, pour chaque responsable, des délais à respecter.      

Les espaces de partage

Exemples : Dropbox, Google Drive, Transfernow, WeTransfer, OneDrive.

L’objet de ces logiciels SaaS est directement le partage de fichiers et des informations qu’ils contiennent : contrats, analyses, plan marketing, business plan, deck de présentation, etc. Les membres d’une même équipe y accèdent, mais également tout tiers invité par un membre.

Les messageries internes

Exemples : Slack et Microsoft Teams.

Ces outils SaaS visent à remplacer les emails en interne. S’y échangent discussions, documents, liens d’accès, identifiants et mots de passes, etc. Là encore, autant de datas partagées entre membres d’une même équipe, lesquels peuvent aussi donner accès à des tiers.        

Les portails de services logiciels

Exemples : G Suite (Google), Azure (Microsoft) et AWS (Amazon Web Services).

Il s’agit de plateformes regroupant tous les outils SaaS d’une même suite logiciel. Un accès unique que chaque éditeur (Google, Microsoft, Amazon, etc.) met à la disposition de ses clients et utilisateurs. Les données sensibles sont ici la liste des salariés utilisateurs et les informations personnelles les concernant. Ces dernières sont multiples : adresses emails, numéros de téléphone, etc. Sans compter l’accès indirect à toutes les données des outils SaaS sous-jacents.       

3. Les outils SaaS s’interconnectent entre eux

Les logiciels on-premise (sur le disc dur de vos ordinateurs) communiquent entre eux, mais uniquement dans le périmètre de votre réseau interne d’entreprise. Tout le contraire des outils SaaS qui, via leurs API, peuvent s’interconnecter à l’échelle du cloud. Autrement dit, plus leurs API sont « ouvertes », plus leurs possibilités d’interconnexions sont grandes avec des logiciels tiers.

L’enjeu business des éditeurs SaaS

Chaque solution SaaS s’enrichit donc à mesure qu’elle agrège des outils SaaS complémentaires, capables d’automatiser entre eux le traitement des données sans besoin pour l’entreprise cliente de les utiliser séparément. Dès lors, l’ouverture des API devient un avantage compétitif pour les éditeurs SaaS. Ces derniers ont donc tout intérêt à multiplier le nombre des partenariats avec d’autres éditeurs SaaS, notamment les « intégrateurs » comme Zapier ou IFFFT, conçus pour permettre des intégrations avec des bouquets de logiciels SaaS tiers. Ainsi, les entreprises clientes peuvent créer des chaînes d’outils SaaS pour automatiser leurs tâches et gagner encore davantage en productivité. Surtout dans les équipes marketing où cette pratique porte même un nom : le marketing automation.

Chaque éditeur, plutôt que de disperser ses ressources et d’obscurcir son offre en multipliant les fonctionnalités autour de ses key features, préfère donc se concentrer sur sa proposition de valeur principale et « sous-traiter » le reste (via ces fameuses intégrations). Chaque éditeur SaaS devient ainsi leader non plus d’un marché mais d’une fonctionnalité qui, interconnectée à celles d’autres éditeurs, forme une seule et même solution globale. Un peut comme un organisme dont les composantes sont distinctes mais complémentaires et reliées entre elles. Exemple de workflow : un outils SaaS automatisant la collecte d’emails sur les sites web (ex. Kaspr, Datananas), relié à un autre qui envoie les emails (ex. Sendinblue, Klenty, Datananas), lui-même relié à un outil de gestion des prospects (ex. Pipedrive). Avec, en bout de chaîne, le suivi du tunnel d’achat (ex. CRM Salesforce) et de la relation client (ex. Intercom).

Le maillon faible

Conséquence en terme de sécurité des données : chaque maillon de ces chaines d’interconnexions (workflows) donne plus ou moins accès aux informations contenues dans les autres maillons. Autrement dit, il suffit d’un maillon faible pour compromettre la sécurité des données sur tous les autres outils SaaS du workflow. En reprenant l’exemple précédent, un salarié qui quitte l’entreprise sans qu’on lui coupe son compte Pipedrive pourra continuer à accéder à Pipedrive, mais aussi à toutes les données de Sendinblue et de Salesforce transférées et traitées dans Pipedrive.    

4. Solution : un « méta-administrateur » ?

Conclusion : les outils SaaS sont souscrits dans les départements et les équipes métier sans contrôle centralisé des DSI. Or, ces mêmes logiciels SaaS n’ont jamais contenu autant de données confidentielles et/ou personnelles.

Du fait de cette décentralisation des souscriptions, il n’y a personne pour avoir une vision agrégée des outils SaaS utilisés dans l’entreprise et disséminés partout dans les équipes. Personne non plus pour savoir exactement qui utilise quoi. Les utilisateurs de ces logiciels SaaS travaillent-ils toujours dans l’entreprise ? Leurs privilèges d’accès sont-ils limités au strict nécessaire (comme l’exige d’ailleurs le RGPD) ? Qui sont les administrateurs de chaque outil SaaS ? Travaillent-ils toujours dans l’entreprise ? Sont-ils actifs dans leur rôle d’administrateur ? Mesurent-ils leur responsabilité en terme de sécurité des données ? Quid si un administrateur quitte l’entreprise ? Comment reprendre la main ? Seule solution : avoir un « méta-administrateur ».

Mais quel outil donner à ce « méta-administrateur » pour centraliser le pilotage et le contrôle des outils SaaS, de leurs utilisateurs et de leurs administrateurs ? Un outil qui, comme Sublim.io, permet à un administrateur unique de gérer les accès et la clôture des comptes SaaS, avec des alertes sécurité lorsque des anomalies sont détectées. Sécurité et confidentialité des données sont à ce prix.         

Sublim.io centralise et automatise le contrôle et la gestion des accès à tous les outils SaaS de vos équipes, à partir d’une seule et même console d’administration. Onboarding, offboarding, gestion des privilèges, etc.