• Accueil
  • Solutions
    • SaaS Security Posture Management (SSPM)
    • Collaboration optimisée et sécurisée
    • Prévention des fuites de données sans agent (DLP)
    • Gestion continue des menaces dues aux codes tiers dans vos sites web
    • Protection prédictive (PRE-CRIME)
    • Sensibilisation à la Cybersécurité
    • CTEM - Digital Supply Chain & Attack Surface
    • Cyber Security Ratings
    • Breach & Attack Simulation
    • Multi Factor Autentication & Micro Segmentation
    • EDR (EndPoint Detection & Response)
    • DLP Poste de Travail
    • Gestion des accès privilégiés (PAM)
    • Sécurité de la messagerie
    • Chiffrement des données
    • Optimisation et sécurité du réseau
    • Aide au SOC
  • News
  • Contact
  • Plate-forme
    • Vue Générale
    • Intégrations
  • Cas d'usages
    • Gestion des erreurs de configuration
    • Analyse des intégrations tierces parties
    • Détection et réponse de sécurité SaaS
    • Exposition des données SaaS
  • Ressources
    • Blog
    • Documentations

https://forbes.co.il/e/staying-secure-the-shared-responsibility-in-a-saas-environment/

  • Lee Kappon
  • June 13, 2022 Rester en sécurité : une responsabilité partagée dans un environnement SaaS

Photo: Shutterstock

Bien que de nombreuses plates-formes SaaS soient excellentes, elles comportent un modèle de sécurité et d'exploitation à « responsabilité partagée ». Comment résoudre ce problème et prendre le contrôle de vos actifs numériques sur les plateformes SaaS ?


Vous souvenez-vous de l'époque où Greyhound Bus Lines disait : « Laissez-nous conduire » ? Par exemple, montez à bord, asseyez-vous, fermez les yeux et vous serez à Vegas avant de vous en rendre compte. Les fournisseurs de logiciels en tant que service (SaaS) d'aujourd'hui ont un message similaire. Laissez-nous l'informatique, ne vous inquiétez pas pour votre jolie petite tête, nous nous occupons de toute l'infrastructure et des connexions réseau.

Cependant, vous ne devriez pas vous pencher en arrière et fermer les yeux. Bien que les plates-formes SaaS comme Box, Workday et Atlassian soient incroyables, elles s'accompagnent d'un modèle de sécurité et d'exploitation à « responsabilité partagée ». Une gamme étonnamment large de décisions de sécurité et de configuration vous appartient. Il vous incombe d'assurer la sécurité du « dernier kilomètre » des configurations, de l'accès des utilisateurs et de la gestion des données critiques.

Responsabilités partagées

La responsabilité partagée, qui est une caractéristique de presque tous les accords juridiques couvrant l'utilisation des plates-formes SaaS, stipule que vous (le client) et le fournisseur SaaS avez chacun certaines responsabilités en matière de sécurité et de configuration de votre instance SaaS. Il existe de nombreuses variations, mais généralement, le fournisseur SaaS est responsable de toute la sécurité et de la configuration affectant son infrastructure et le code de la plate-forme principale. Ils font fonctionner le logiciel. Ils empêchent les acteurs malveillants d'accéder à leurs centres de données, etc.

Vous êtes en charge des problèmes qui affectent la façon dont vous utilisez le logiciel. Par exemple, vous décidez comment gérer le contrôle d'accès, dans les limites des options disponibles. Cela devrait avoir un sens. Après tout, comment Box saurait-il comment vous souhaitez contrôler l'accès ? Vous pouvez configurer votre instance comme vous le souhaitez. En ce sens, vous pouvez considérer les responsabilités comme des choix. Vous pouvez choisir votre configuration.


Risques de configuration

La responsabilité partagée peut créer des risques. La configuration est l'un de ces domaines. Par exemple, vous pouvez avoir la possibilité d'utiliser l'authentification à deux facteurs (2FA), mais vous devez l'activer. Si vous ne configurez pas 2FA, vous n'aurez pas 2FA. Et, vous devez la configurer correctement pour vos politiques de sécurité.

Workday | Photo: Shutterstock

Contrôle d'accès

Dans le cadre d'une responsabilité partagée, vous devez décider comment vous souhaitez gérer le contrôle d'accès. Vous pouvez peut-être synchroniser l'accès SaaS avec votre solution globale de gestion des identités et des accès (IAM). Cette approche est efficace pour aligner les politiques de contrôle d'accès de votre entreprise avec celles qui régissent vos instances SaaS. Sinon, vous devez configurer soigneusement le contrôle d'accès sur la plate-forme SaaS. Vous souhaiterez peut-être restreindre l'accès aux personnes disposant d'une adresse e-mail professionnelle et interdire les adresses Gmail.


Difficultés avec les plugins et les intégrations tierces-parties

Les plugins et les intégrations tierces-parties représentent une source potentiellement importante d'exposition au risque dans le SaaS. Un plugin peut avoir une vulnérabilité de sécurité dont vous n'êtes pas au courant, ouvrant vos données SaaS à un accès non autorisé. Si vous ne configurez pas de contrôles, vos employés peuvent également installer des plugins que vous ne voulez pas dans l'environnement, ce qui entraîne des problèmes d'accès systémiques imprévus.

Résoudre le problème de la responsabilité partagée

Il est possible de résoudre le problème de la responsabilité partagée. Vous pouvez gérer vos responsabilités manuellement, en prenant soin d'une plate-forme SaaS à la fois. Ce n'est pas optimal, cependant. C'est laborieux et sujet aux erreurs. Une meilleure alternative consiste à déployer une solution qui rassemble tous les paramètres de responsabilité SaaS dans une interface unifiée. Avec une telle solution, vous pouvez avoir une vue d'ensemble des problèmes potentiels et définir une priorité pour la résolution.

Conclusion

La responsabilité partagée est une réalité dans le monde SaaS. Et, c'est pour le mieux. L'approche vous donne le choix et le contrôle sur vos actifs numériques sur les plateformes SaaS. Cependant, il est impératif que vous preniez la politique au sérieux. Négliger les responsabilités partagées, c'est s'attirer des ennuis. Désormais, cependant, des solutions sont disponibles pour vous aider à gérer les responsabilités partagées dans le SaaS sans y consacrer trop de temps ou d'efforts.

Lee Kappon est une experte en sécurité SaaS et figurait sur la liste Forbes 30under30. Elle est PDG et cofondatrice de Suridata, une start-up qui développe la solution de sécurité SaaS de nouvelle génération.

Les contributeurs de Forbes Israël sont des écrivains indépendants qui ont été sélectionnés individuellement par le personnel de Forbes. Les écrivains sont des experts dans leur domaine et ils fournissent des commentaires et des analyses professionnels de l'actualité. Le contenu n'est pas sponsorisé

Réserver une démonstration