Mise en place d'une approche de sécurité du SaaS

Les applications SaaS améliorent la collaboration et la productivité, mais elles comportent des risques. Découvrez les principales exigences pour créer votre solution de sécurité SaaS.

Listen

Les applications Software as a Service (SaaS) ont apporté une valeur considérable aux utilisateurs finaux en raison de leur facilité d'installation et de leurs capacités de collaboration. Cependant, comme les environnements SaaS sont souvent cachés aux administrateurs réseau, les outils de sécurité d'entreprise conçus pour protéger les centres de données, les serveurs et les postes de travail internes ne peuvent pas protéger efficacement les apps SaaS ou empêcher les fuites de données. La sécurisation des applications SaaS passe en grande partie par la classification de différents groupes d'applications afin de comprendre ce qu'elles font et comment les contrôler, ainsi que par la mise en place de zones de confiance pour en contrôler l'accès. L'objectif d'une mise en œuvre de la sécurité SaaS devrait être d'aboutir à un ensemble de politiques d'application et d'utilisation bien définies et appliquées pour les applications SaaS approuvées, tolérées et non approuvées, afin de mieux protéger les données qu'elles hébergent.

Le regroupement des applications est basé sur le degré de confiance qu'une organisation accorde à une application donnée et sur la manière dont chacune est traitée en fonction des différents niveaux de confiance :

  • Les apps sanctionnées donnent aux équipes de sécurité informatique la confiance nécessaire pour autoriser l'accès de la majorité en fonction des mesures de sécurité prises par les fournisseurs. Ils sont probablement conformes à la norme SOC 2 et utilisent couramment le cryptage et/ou l'authentification unique.
  • Les applications tolérées ne sont pas nécessairement aussi fiables que les applications sanctionnées, mais l'organisation permet toujours aux employés de les utiliser, peut-être parce qu'un partenaire ou un fournisseur les utilise, ou parce que l'organisation est en train de migrer vers des alternatives sanctionnées.
  • Les apps non autorisées sont potentiellement dangereuses, connues pour exposer les organisations à des risques de vol de données et de logiciels malveillants. Les organisations ne veulent pas que les particuliers les utilisent et ne leur font pas confiance, et il n'y a souvent pas d'objectif commercial légitime à cela.

Parmi les défis liés à la sécurisation des applications SaaS, citons la gestion des utilisateurs finaux qui s'inscrivent à des applications en nuage sans l'approbation ou la gouvernance du service informatique, la surveillance et le blocage de l'utilisation d'applications non approuvées, et le manque de visibilité sur les données dans le nuage.

Lorsqu'elles établissent une approche de sécurité du SaaS pour protéger les données et les employés contre l'exposition des données ou les menaces, les organisations doivent s'assurer qu'elle comprend les éléments suivants :

  • Une visibilité complète sur l'ensemble des utilisateurs et des données, fournissant une analyse détaillée qui vous aide à passer d'une position de spéculation à une position de certitude à tout moment.
  • Identification des applications utilisées pour créer des politiques qui peuvent spécifier l'application, indépendamment du port et du cryptage.
  • Analyse rétroactive de l'exposition aux données qui n'examine pas seulement les données en ligne, mais aussi depuis la création du compte SaaS lui-même, même si cela remonte à très longtemps.
  • Analyse approfondie de l'utilisation quotidienne, permettant de déterminer rapidement tout risque lié aux données ou toute violation de la politique liée à la conformité.
  • Contrôle des politiques granulaire et contextuel qui permet à l'organisation de piloter l'application ainsi que la mise en quarantaine des utilisateurs et des données dès qu'une violation se produit.
  • Advanced threat prevention qui peut bloquer les logiciels malveillants connus ainsi qu'identifier et bloquer les logiciels malveillants inconnus.
  • Renseignements sur les menaces en temps réel sur les menaces connues et inconnues afin de prévenir de nouveaux points d'insertion basés sur SaaS pour les logiciels malveillants "dans la nature".
  • Déploiement de solutions et de fonctionnalités sans affecter l'expérience utilisateur ni dégrader les performances.

En suivant ces critères, vous serez en mesure de choisir une plateforme qui offre la protection la plus complète et la plus solide pour votre organisation. La sécurisation de vos applications SaaS - et, en fin de compte, des données de votre organisation - nécessite une plateforme complète de bout en bout qui comprend des pare-feu nouvelle génération de pointe pour votre réseau, un service de sécurité cloud pour protéger vos applications SaaS et des renseignements sur les menaces avancés pour vous protéger contre les menaces connues et inconnues.

Pour en savoir plus sur l'évaluation des fournisseurs de SaaS, consultez cet article de blog : Votre liste de contrôle de sécurité SaaS.

Ressources :