Certains articles de veille peuvent faire l'objet de traduction automatique.
Les services en nuage sont devenus de plus en plus importants pour les activités quotidiennes de nombreuses entreprises, et l’adoption rapide des applications web a permis aux entreprises de continuer à fonctionner avec des problèmes de productivité limités, même si les restrictions mondiales en matière de coronavirus ont obligé une grande partie du monde à travailler à domicile.
Mais en même temps, même les grandes entreprises sont devenus la proie des pirates informatiques. Comment pouvez-vous maintenir l’intégrité de vos ressources et données informatiques tout en profitant des avantages du logiciel en tant que service (SaaS) ?
Bien que la cybersécurité soit un sujet vaste et compliqué, considérons un hypothétique scénario SaaS et examinons certains des risques.
Imaginez qu’un de vos employés rédige un rapport sensible. Il pourrait contenir des données financières ou médicales. Il pourrait y trouver des informations sur une nouvelle conception révolutionnaire. Quoi qu’il en soit, le rapport doit rester confidentiel.
Que se passerait-il si votre employé rédigeait le rapport dans Google Docs ? Supposons que cette décision ne soit pas passée par le service informatique. L’employé l’a simplement fait par habitude, car Google Docs est ce qu’il utilise depuis des années pour partager facilement des documents avec ses collègues.
Quels sont certains des risques auxquels votre entreprise est confrontée ?
Le problème des demandes non sanctionnées
Un problème majeur auquel vous pourriez être confronté est le fait de ne pas savoir que le rapport se trouve dans Google Docs. Lorsque votre service informatique ne connaît pas les applications SaaS que votre équipe utilise, il ne peut pas évaluer si elles sont sûres.
Ces applications sont donc, considéré comme une ombre de l’informatiqueLe système est utilisé sans l’autorisation ou la connaissance du département informatique. Le problème, bien sûr, ne concerne pas Google.
Le même problème pourrait se produire avec un document Word synchronisé par Dropbox ou avec un certain nombre d’autres applications SaaS légitimes qui stockent des données dans le nuage. Le problème est le manque de visibilité.
L’informatique parallèle peut être un problème grave, mais elle existe souvent parce que les employés ne disposent pas des bons outils. Comme Harvard Business Review Nous avons également vu les services informatiques adopter une approche ouverte et travailler avec succès avec l’unité des escrocs pour aider à sécuriser les données, à normaliser les API et, finalement, à assembler des solutions qui combinent des services internes et externes. En général, nous penchons vers cette dernière approche ».
Parfois, la bonne approche consiste à sécuriser les applications et à s’assurer qu’elles sont utilisées de manière responsable.
Comment améliorer votre sécurité SaaS
Que pouvez-vous faire pour améliorer les processus de sanction, la conformité et la sécurité de vos applications SaaS ? En plus de faire preuve de diligence raisonnable dans la recherche de fournisseurs de services, voici quelques suggestions.
Les mots de passe sont des fruits à portée de main. Assurez-vous que chaque membre de votre entreprise dispose et utilise un gestionnaire de mots de passe approprié, tel que LastPass ou 1Mot de passe. Vous pouvez envisager d’exiger des clés de sécurité matérielles comme celles de Yubico. Google a remporté un grand succès dans la prévention des attaques de phishing en exigeant simplement des employés qu’ils utilisent des clés de sécurité physique pour une authentification à deux facteurs.
Vous pouvez également bénéficier d’un outil de gestion SaaS, surtout si vous utilisez un grand nombre de services logiciels ou si vous avez un problème avec l’informatique parallèle.
Toriiune plateforme de gestion SaaS, peut vous aider à découvrir et à évaluer toutes les applications basées sur le cloud utilisées au sein de votre organisation.
Au fur et à mesure que vous ajoutez des services, le fait de savoir ce que vos employés utilisent, où va votre argent et de connaître des détails comme la date de renouvellement des contrats peut vous aider à maintenir la sécurité de ces services et à vous assurer que vous ne dépensez pas trop et que vous ne faites pas double emploi.
Torii peut vous aider à économiser de l’argent en éliminant le gaspillage, mais peut-être plus important encore, il peut vous donner une visibilité complète et dynamique de la façon dont votre organisation utilise les applications SaaS. Vous pouvez également l’utiliser pour mettre en place des actions déclenchées pour une « gestion autonome du SaaS », comme l’envoi d’un questionnaire aux membres de l’équipe qui ont adopté de nouvelles applications.
Les deux côtés de la sécurité du SaaS
Vous devez bien sûr évaluer les demandes de SaaSmême ceux qui sont officiellement sanctionnés-d’un point de vue interne et externe. Vous devez examiner non seulement vos propres pratiques de sécurité, mais aussi celles du service que vous utilisez.
Les données extrêmement sensibles ne devraient probablement pas quitter votre réseau, mais toutes les informations personnelles identifiables (IPI) doivent être traitées correctement, sinon vous risquez de rencontrer des problèmes de conformité réglementaire.
Sur le plan interne, les services informatiques sont régulièrement confrontés à des problèmes de mauvais mots de passe. Même après des années de reportages sur de graves violations de données, « 123456 » était encore l’un des les mots de passe les plus couramment utilisés en 2019.
Et, selon Yubicofabricant de clés d’authentification matérielles, plus des deux tiers des employés partagent leurs mots de passe et l’accès aux applications avec leurs collègues, tandis que plus de la moitié utilisent les mêmes mots de passe pour leurs comptes personnels et professionnels.
Un autre problème potentiel est simplement la quantité d’informations que les utilisateurs ont tendance à partager avec les applications SaaS. De nombreuses personnes partagent facilement leurs calendriers et leurs carnets d’adresses, et bien que cela puisse être pratique, cela donne également à cette application des données supplémentaires, des données dont elle n’a peut-être pas besoin pour vos besoins et des données qui peuvent être confidentielles. Comme pour toutes les données, lorsqu’il s’agit d’applications SaaS, vous devez vous demander où vont ces informations, comment elles seront stockées et ce que le fournisseur de services en fera.
Sur le plan externe, même lorsqu’un service SaaS dispose de politiques apparemment bonnes régissant l’utilisation de vos données, les vulnérabilités du code peuvent toujours compromettre le logiciel. Le site 2017 Violation de l’accord d’Equifaxpar exemple, a été perpétrée par des pirates informatiques qui ont exploité un bogue dans Apache Struts, un cadre d’application web à code source ouvert. Bien qu’un correctif pour le bogue soit disponible, Equifax ne l’avait pas installé. Sans une mise à jour en temps utile, Equifax s’est laissé vulnérable à un problème connu. En conséquence, des informations confidentielles sur environ 150 millions d’Américains ont été perdues.
La prise en charge de votre sécurité
La sécurité est une cible mouvante, et l’atténuation des risques est une tâche sans fin. Si vous ne pouvez jamais éliminer entièrement le risque, vous pouvez au moins le réduire. Avec des mesures de sécurité de base et une évaluation minutieuse de l’utilisation du SaaS dans votre entreprise, vous pouvez réduire votre surface d’attaque et mieux sécuriser vos données.
Poster un commentaire