La SEC ne laissera pas les RSSI agir : comprendre les nouvelles règles de cybersécurité SaaS

La SEC ne donne pas un laissez-passer gratuit au SaaS. Les sociétés publiques concernées, connues sous le nom de « déclarants », sont désormais soumises à des exigences de divulgation des cyberincidents et de préparation à la cybersécurité pour les données stockées dans les systèmes SaaS, ainsi que les applications tierces et quatrièmes qui y sont connectées.

Les nouveaux mandats de cybersécurité ne faites aucune distinction entre les données exposées lors d’une violation qui ont été stockées sur site, dans le cloud ou dans des environnements SaaS. Selon les propres mots de la SEC : « Nous ne pensons pas qu’un investisseur raisonnable considérerait une violation de données importante comme insignifiante simplement parce que les données sont hébergées sur un service cloud. »

Cette approche évolutive intervient alors que les failles de sécurité des SaaS font continuellement la une des journaux et suscitent des débats entre les leaders technologiques. comment la SEC peut changer la cybersécurité après avoir accusé SolarWinds et son RSSI de fraude.

Pourquoi les risques de connexion SaaS et SaaS à SaaS sont importants pour la SEC – et pour votre organisation

La perception et la réalité de la sécurité SaaS sont, dans de nombreux cas, très éloignées. Responsable sécurité SaaS Rapport sur l’état de la sécurité SaaS d’AppOmni a montré que 71 % des organisations ont évalué leur maturité en matière de cybersécurité SaaS comme moyenne à élevée, mais que 79 % d’entre elles ont subi un incident de cybersécurité SaaS au cours des 12 derniers mois.

La SEC constate également des lacunes en matière de sécurité SaaS, citant « l’augmentation substantielle de la prévalence des incidents de cybersécurité » comme facteur clé de motivation pour sa nouvelle approche. Ces préoccupations ne se limitent bien entendu pas à un petit nombre de déclarants s’appuyant sur le SaaS. Statista rapporte qu’à la fin de 2022, une organisation mondiale moyenne utilisait 130 applications SaaS.

Le risque de fuite de données ne se limite pas à l’omniprésence et à la vulnérabilité du SaaS. Pour tirer davantage de valeur des plates-formes SaaS, les organisations établissent régulièrement des connexions SaaS à SaaS (connectant des applications tierces aux systèmes SaaS), que ces connexions soient approuvées par le service informatique ou intégrées secrètement comme une forme de informatique fantôme. Alors que les employés connectent de plus en plus les solutions d’IA aux applications SaaS, les écosystèmes numériques supervisés par les RSSI deviennent de plus en plus interconnectés et nébuleux.

Les défis de gouvernance et les risques de cybersécurité augmentent de façon exponentielle à mesure que les connexions SaaS à SaaS complexes se développent. Bien que ces connexions améliorent généralement la productivité de l’organisation, les applications SaaS-to-SaaS introduisent de nombreux risques cachés. Le violation de CircleCI, par exemple, mettait en danger d’innombrables entreprises disposant de connexions SaaS à SaaS à l’outil CI/CD leader du secteur. Il en va de même pour les organisations connectées à Qlik Sense, Okta, LastPass et à des outils SaaS similaires qui ont récemment subi des cyberincidents.

Étant donné que les connexions SaaS à SaaS existent en dehors du pare-feu, elles ne peuvent pas être détectées par les outils d’analyse et de surveillance traditionnels tels que les Cloud Access Security Brokers (CASB) ou les Secure Web Gateways (SWG). En plus de ce manque de visibilité, les fournisseurs indépendants proposent souvent des solutions SaaS avec vulnérabilités que les acteurs malveillants peuvent compromettre via le détournement de jetons OAuth, créant des voies cachées vers les données les plus sensibles d’une organisation. AppOmni rapporte que la plupart des entreprises disposent de 256 connexions SaaS à SaaS uniques installées dans une seule instance SaaS.

Les données susceptibles d’affecter les investisseurs et le marché sont désormais accessibles – et piratables – via un vaste réseau de canaux numériques.

« Suivez les données » est le nouveau « Suivez l’argent »

Étant donné que la SEC est chargée de protéger les investisseurs et de maintenir « des marchés justes, ordonnés et efficaces », la réglementation des connexions SaaS et SaaS-à-SaaS des déclarants relève de la compétence de l’agence. Dans l’annonce des règles de cybersécurité, le président de la SEC a déclaré : « Qu’une entreprise perde une usine dans un incendie – ou des millions de fichiers dans un incident de cybersécurité – cela peut être important pour les investisseurs. »

L’ampleur et la fréquence des violations sous-tendent l’expansion de la réglementation de la SEC dans le domaine des cyber-risques. Les violations et incidents SaaS se produisent régulièrement dans les entreprises publiques, et AppOmni a suivi une augmentation de 25 % des attaques entre 2022 et 2023. IBM calcule que le coût d’une violation de données a atteint en moyenne un niveau record de 4,45 millions de dollars en 2023.

Même si les exigences de divulgation ont retenu le plus l’attention des médias, les nouvelles réglementations de la SEC précisent également des mesures de prévention. Les RSSI doivent décrire leurs processus pour « évaluer, identifier et gérer les risques importants liés aux menaces de cybersécurité », ainsi que partager le rôle du conseil d’administration et de la direction dans la surveillance des risques et des menaces de cybersécurité.

Qu’on les aime ou qu’on les déteste, ces règles obligent les clients SaaS à adopter une meilleure hygiène de cybersécurité. Divulguer ce qui s’est passé – et ce que votre organisation a fait et fait à ce sujet – aussi directement et franchement que possible renforce la confiance des investisseurs, garantit la conformité réglementaire et favorise une culture de cybersécurité proactive.

En SaaS, la meilleure attaque est une défense impénétrable. L’évaluation et la gestion des risques de chaque système SaaS et connexion SaaS à SaaS ayant accès à vos données sensibles sont non seulement obligatoires, mais essentielles pour éviter les violations de données et minimiser leur impact.

Comment protéger et surveiller vos systèmes SaaS et vos connexions SaaS à SaaS

Le fardeau de l’évaluation manuelle des risques et de la posture de sécurité du SaaS peut être allégé grâce à un Outil de gestion de la posture de sécurité SaaS (SSPM). Avec SSPM, vous pouvez surveiller les configurations et les autorisations sur toutes les applications SaaS, ainsi que comprendre les autorisations et la portée des connexions SaaS à SaaS, y compris les outils d’IA connectés.

Les déclarants doivent avoir une compréhension globale de toutes les connexions SaaS à SaaS pour une gestion efficace des risques. Cela doit inclure un inventaire de toutes les connexions et des employés qui les utilisent, les données touchées par ces connexions et les niveaux d’autorisations sur les systèmes SaaS que ces outils tiers ont été accordés. SSPM évalue tous ces aspects de la sécurité SaaS-to-SaaS.

SSPM alertera également les équipes de sécurité et informatiques des dérives de configuration et d’autorisation pour garantir que la posture reste sous contrôle. Il détectera et alertera également en cas d’activité suspecte, telle qu’une tentative de compromission d’identité à partir d’une adresse IP ou d’un emplacement géographique inhabituel.

Les RSSI et leurs équipes peuvent avoir du mal à répondre aux exigences de préparation sans une posture appropriée et des outils de détection des menaces pour réduire les risques de violation de données. SSPM centralise et normalise les journaux d’activité pour aider les entreprises à préparer des informations complètes et factuelles dans un délai de quatre jours.

Seul le temps nous dira comment la SEC appliquera ces nouvelles règles. Mais même si ces réglementations disparaissent demain, le renforcement de la sécurité SaaS est essentiel pour protéger les marchés des données sur lesquels comptent les investisseurs.