Ce nouveau produit offre une découverte et une évaluation des risques SaaS couplées à une révision gratuite de l’accès des utilisateurs dans un modèle « freemium » unique.
Sécuriser l’utilisation du SaaS par les employés devient de plus en plus crucial pour la plupart des organisations basées sur le cloud. Bien que de nombreux outils soient disponibles pour répondre à ce besoin, ils utilisent souvent des approches et des technologies différentes, ce qui entraîne une confusion et une complexité inutiles. Entrez le nouveau » de Wing SecuritySSPM essentiel » (SaaS Security Posture Management), qui vise à simplifier le processus de sécurisation de l’utilisation du SaaS dans l’ensemble de l’organisation. Son approche commerciale est simple : s’auto-embarquer, essayer le produit et, si vous êtes impressionné, le mettre à niveau pour débloquer des fonctionnalités de sécurité plus vitales.
Quelle est la sécurité SaaS essentielle ?
Selon Wing, trois capacités basiques mais fondamentales sont nécessaires aux organisations qui souhaitent sécuriser leur SaaS : la découverte, l’évaluation et le contrôle. Celles-ci sont conformes aux normes de sécurité réglementaires telles que ISO 27001 et SOC, qui mettent l’accent sur les programmes d’évaluation des risques des fournisseurs et des tiers, ainsi que sur le contrôle de l’accès des utilisateurs aux outils commerciaux critiques.
1. Découvrir : vous ne pouvez pas sécuriser ce que vous ne pouvez pas voir
Informatique fantôme n’est pas une question nouvelle mais plutôt une question en évolution. Avec l’augmentation continue de l’utilisation du SaaS et la possibilité pour les utilisateurs de contourner les politiques de sécurité telles que MFA et SSO lors de l’intégration d’applications SaaS, le nouveau visage du shadow IT est basé sur le SaaS. Le processus est simple : les employés doivent accomplir une tâche professionnelle et ont souvent besoin d’un outil pour la faciliter. Ils recherchent une solution en ligne, en utilisant les informations d’identification de l’entreprise pour se connecter, en particulier lorsque la plupart des services ne nécessitent pas d’informations de carte de crédit pour démarrer. Le SaaS, étant la chaîne d’approvisionnement moderne, nécessite clairement une solution de sécurité en raison de sa nature décentralisée et non gouvernée.
 |
| La découverte SaaS de Wing |
2. Évaluez les risques : tous les risques ne sont pas égaux, gagnez un temps précieux
Une fois l’élément fantôme résolu, les organisations se retrouvent avec une longue liste d’applications, se comptant souvent par milliers. Cela soulève la question : et maintenant ? Sans une méthode automatisée d’évaluation des risques associés à toutes les applications SaaS liées à l’organisation, la découverte du Shadow SaaS peut s’avérer plus déroutante et fastidieuse qu’utile. Cela souligne l’importance d’évaluer l’état de sécurité de ces applications et de déterminer un seuil qui requiert une attention particulière.
La découverte du SaaS doit aller de pair avec un certain degré d’évaluation des risques liés aux fournisseurs ou aux tiers. Le nouveau niveau de produit de Wing combine la découverte SaaS avec des processus automatisés pour déterminer le score de sécurité SaaS d’une application. Ces informations sur les risques sont extraites d’une vaste base de données SaaS de plus de 280 000 SaaS enregistrés, recoupées avec les données de centaines d’utilisateurs de Wing et de leurs environnements SaaS. Les clients payants bénéficient d’évaluations des risques SaaS plus larges et plus approfondies, notamment des alertes de renseignements sur les menaces en temps quasi réel.
3. Contrôle : assurez-vous que les utilisateurs disposent uniquement des accès nécessaires
Découvrir tous les SaaS utilisés (et non utilisés) et comprendre leurs risques ne représente que la moitié de la bataille ; l’autre moitié concerne les utilisateurs SaaS. Ils accordent aux applications l’accès et les autorisations aux données de l’entreprise, en faisant des choix concernant les autorisations de lecture/écriture pour les nombreuses applications qu’elles utilisent. En moyenne, chaque employé utilise 28 applications SaaS à tout momentce qui se traduit par des centaines, voire des milliers d’applications SaaS ayant accès aux données de l’entreprise.
Effectuer des examens périodiques des accès des utilisateurs sur les applications métier essentielles n’est pas seulement une exigence réglementaire, mais également fortement recommandé pour maintenir une posture sécurisée. Contrôler qui a accès à quelle application peut empêcher que des données sensibles ne tombent entre de mauvaises mains et réduire considérablement la surface d’attaque potentielle, car les employés sont souvent les premières cibles des acteurs malveillants. Une longue liste d’utilisateurs et leurs autorisations et rôles dans diverses applications peuvent être écrasantes, c’est pourquoi Wing aide à prioriser les utilisateurs en fonction de leurs autorisations, de leurs rôles et en encourageant le concept de moindre privilège. Cela garantit que tous les utilisateurs, à l’exception des administrateurs approuvés, n’ont qu’un accès de base aux applications SaaS.
 |
| Examen de l’accès des utilisateurs de Wing |
En résumé – Ces trois fonctionnalités sont essentielles pour démarrer un programme de sécurité SaaS approprié, mais elles ne garantissent pas une couverture ou un contrôle complet. Les organisations de sécurité matures auront besoin de davantage. Les fonctionnalités de sécurité des données, les chemins de remédiation automatisés et un meilleur contrôle sur les privilèges et les comportements des utilisateurs ne sont possibles qu’avec la solution complète de Wing. Cela dit, il s’agit d’un point de départ important pour les organisations qui n’ont pas encore mis en place la sécurité SaaS ou qui réfléchissent aux outils et aux approches avec lesquels se lancer.
En quoi est-ce différent d’un POC ou d’une démo interactive ?
Cette nouvelle approche « essayez d’abord, payez plus tard » se distingue du POC moyen principalement par sa nature totalement sans contact. Les utilisateurs peuvent s’auto-intégrer au produit en acceptant les conditions juridiques de Wing, sans avoir besoin d’interagir avec un représentant humain ou un personnel commercial, à moins qu’ils ne le souhaitent. Bien que le produit gratuit soit intentionnellement limité en termes de fonctionnalités et de capacités, il constitue un point de départ pour ceux qui sont curieux ou recherchent la sécurité SaaS. Contrairement aux démonstrations en ligne, ce processus implique le traitement réel de vos données et peut véritablement améliorer votre posture de sécurité en offrant une visibilité sur l’utilisation réelle du SaaS par votre entreprise et en vous permettant d’évaluer l’ampleur de votre surface d’attaque SaaS. Une approche freemium dans les produits liés à la sécurité est rare, ce qui en fait une opportunité pour ceux qui souhaitent tester le produit avant de s’engager.