L’utilisation du logiciel en tant que service (SaaS) connaît une croissance rapide et ne montre aucun signe de ralentissement. Sa nature décentralisée et facile à utiliser est bénéfique pour augmenter la productivité des employés, mais elle pose également de nombreux défis en matière de sécurité et d’informatique. Garder une trace de toutes les applications SaaS qui ont obtenu l’accès aux données d’une organisation est une tâche difficile. Comprendre les risques posés par les applications SaaS est tout aussi important, mais il peut être difficile de sécuriser ce que l’on ne voit pas.
De nombreuses organisations ont mis en place des solutions de gestion des accès, mais leur visibilité est limitée aux seules applications pré-approuvées. L’organisation moyenne de taille moyenne possède des centaines, voire des milliers, d’applications SaaS qui ont été adoptées par les employés qui avaient besoin d’une solution rapide et facile ou qui ont trouvé une version gratuite, contournant complètement l’informatique et la sécurité. Cela entraîne un risque important car bon nombre de ces applications ne disposent pas des normes de sécurité et/ou de conformité nécessaires et pourtant, elles ont des autorisations dans l’organisation.
⚡ Sécurité de l’aile a récemment annoncé qu’il rendait son moteur de découverte d’applications SaaS disponible en tant que produit libre-service gratuit. L’outil est conçu pour aider les entreprises à identifier les applications SaaS à risque qui ont été adoptées par les employés sans suivre la politique de l’entreprise.
Démocratiser la découverte SaaS
Les risques associés au SaaS Shadow IT sont devenus plus répandus ces dernières années en raison de l’utilisation généralisée du SaaS au sein des organisations. Cependant, bon nombre des solutions de sécurité qui étaient disponibles dans le passé visaient à sensibiliser les équipes de sécurité au problème, plutôt qu’à fournir des fonctionnalités de correction intégrées au produit ou automatisées. En effet, la première étape pour traiter les risques liés au SaaS consiste à avoir une compréhension claire de la pile SaaS utilisée au sein de l’organisation. Ces informations doivent être facilement accessibles et tout aussi simples à naviguer que les applications SaaS elles-mêmes.
Pour aider les équipes de sécurité à acquérir une visibilité et une compréhension adéquates des risques associés à l’utilisation croissante du SaaS, Wing Security (Wing) a décidé de proposer son outil SaaS Discovery en tant que produit gratuit en libre-service, comme cela peut être vu ici. L’entreprise a pour objectif de fournir aux équipes de sécurité une vision globale et une meilleure compréhension des applications SaaS utilisées au sein de leur organisation, quelle que soit leur taille ou l’importance de leur budget.
Qu’est-ce qui est inclus dans l’édition Wing Security Free ?
- Auto-onboarding simple et rapide.
- Tableau de bord convivial des applications SaaS utilisées au sein de l’organisation, applications tierces incluses.
- Les applications à risque sont signalées dans le système
- Détails des conformités auxquelles chaque application SaaS répond, comment elles sont connectées à l’organisation, les autorisations qui leur ont été accordées et quels utilisateurs les utilisent (pour les 100 premières applications).
- Score de réputation de Wing Security pour chaque application SaaS exprimé en « boucliers » avec 0 à 3 boucliers.
- Options de classification et de marquage.
 |
| Édition gratuite de Wing Security. |
Découverte non intrusive : aucun agent, aucun proxy
Comprendre que les solutions de sécurité modernes ne doivent en aucun cas être intrusives est au cœur de la nouvelle offre de Wing Security. Pour cartographier l’utilisation des applications SaaS par une organisation, Wing se connecte aux principales applications SaaS approuvées par le service informatique à l’aide d’API. Ce sont des applications couramment utilisées dans presque tous les environnements, tels que Google, Office 365, Salesforce, GitHub et Slack, pour n’en nommer que quelques-uns.
Wing est alors capable de cartographier toutes les applications SaaS qui sont connectées à ces applications et celles qui leur sont connectées. Les applications SaaS sont interconnectées dans un maillage géant, créant un « réseau fantôme » de connexions. Ce réseau fantôme est utilisé par Wing pour cartographier les applications, mais il peut également poser un problème de sécurité car il peut être utilisé pour les déplacements latéraux au sein de l’organisation. Dans son offre d’entreprise complète, Wing cartographie également tous les utilisateurs qui utilisent ces applications, les données qui résident dans et entre ces applications, et fournit des alertes de sécurité en temps quasi réel lorsqu’une application en cours d’utilisation est compromise.
 |
| Wing Security « se connecte » aux applications SaaS via des API |
Qu’est-ce qui est exigé des utilisateurs ?
En accord avec la découverte non intrusive de Wing Security, l’édition Wing Security Free nécessite des autorisations très basiques qui peuvent être accordées par le super administrateur de l’organisation.
La plupart des autorisations requises sont en lecture seule. Il existe une autorisation au sein de Google qui nécessite un accès « gérer », demandé pour que Wing fournisse une visibilité sur les jetons que les utilisateurs ont émis pour des applications tierces. Mentions de sécurité de l’escadre sur la page produit correspondante que la sécurité des données des clients est une priorité et fournit les conformités qu’ils ont mises en place pour la sécurité des données.
Qu’est-ce qui compte comme « SaaS » ?
Alors que le terme SaaS signifiait traditionnellement Slogiciel uns un Sservice, tous les SaaS de nos jours ne sont pas toujours payés comme l’utilisation du mot ‘Sservice’ pourrait impliquer. Il existe 3 types de SaaS courants utilisés de nos jours :
- SaaS d’entreprise largement utilisé tel que Stack, Dropbox, Google, Microsoft, qui se compose principalement d’utilisateurs payants.
- SaaS à usage de niche, un peu moins connu, qui cible des industries spécifiques, telles que Figma ou Canva pour la conception, Outreach pour les ventes, Github pour les ingénieurs. Wing pour la sécurité SaaS. Ces utilisateurs SaaS peuvent inclure des utilisateurs payants et non payants.
- Des applications entièrement gratuites utilisées par des particuliers, probablement sans que personne d’autre ne le sache. Inclut également les applications qui ont été inscrites pour leurs essais gratuits et oubliées pour une raison quelconque.
Bien qu’il s’agisse des 3 principaux types d’applications SaaS, elles ressemblent davantage à des marqueurs sur un spectre. Les applications SaaS montent et descendent régulièrement dans ce spectre à mesure que les entreprises grandissent et évoluent. Mais tant que ces applications sont connectées à l’aide du courrier électronique de l’organisation, elles seront découvertes par Wing Security Free Discovery.
Qu’y a-t-il de plus disponible avec la version payante de Wing Security ?
La version payante de Wing Security s’appelle l’édition Wing Security Enterprise, qui comprend tout de l’édition gratuite, ainsi que :
- Découverte SaaS plus approfondie qui inclut la découverte de toutes les extensions de navigateur et de tout type d’applications SaaS installées localement ou développées en interne
- Surveillance de toutes les données sensibles partagées sur les applications SaaS. Par exemple : clés AWS partagées sur des canaux Slack publics.
- Gérez les risques liés aux utilisateurs tels que les autorisations excessives, les incohérences des utilisateurs ou l’utilisation anormale.
- Alertes de renseignements sur les menaces en temps réel et mises à jour exploitables au cas où des applications SaaS utilisées au sein de l’organisation seraient impliquées dans une violation ou une cyberattaque.
- Outils de remédiation. De nombreux problèmes découverts par Wing Security peuvent être résolus en quelques clics dans l’interface facile à utiliser de Wing, sans avoir à les résoudre manuellement.
- Outils d’automatisation intégrés. Certains problèmes de sécurité SaaS peuvent avoir une grande portée, avec des milliers d’instances du même problème trouvées à plusieurs reprises. Tenter manuellement de résoudre le problème peut prendre des années ! Les outils d’automatisation intégrés de Wing permettent de résoudre de tels cas en quelques minutes, en quelques clics seulement. Avec une protection à long terme activée en configurant une politique que Wing Security aide ensuite à invoquer, car de nouvelles instances du même problème sont susceptibles de réapparaître à l’avenir.
- Engagement de l’utilisateur final. Un joli détail supplémentaire dans l’interface Wing est que l’automatisation peut être configurée pour inclure le maintien des utilisateurs finaux dans la boucle. Soit en les informant simplement du problème et de la manière dont il a été résolu, soit en les laissant cliquer sur « Approuver » pour laisser le problème être résolu par l’automatisation. Dans le cas où les utilisateurs ignorent ou manquent le message, une valeur par défaut est en place pour « approuver » automatiquement la tâche après un laps de temps défini.
En résumé, le nouvel outil de Wing Security répond à l’utilisation croissante du SaaS et aux défis de sécurité et informatiques qu’il pose, en suivant les applications SaaS qui ont obtenu l’accès aux données d’une organisation. L’édition gratuite comprend un processus d’auto-intégration rapide et facile, un tableau de bord convivial des applications SaaS utilisées, un avis sur les applications à risque, des informations sur la conformité et les autorisations, ainsi qu’un score de réputation pour chaque application. L’outil utilise une méthode non intrusive, se connectant aux principales applications SaaS approuvées par l’informatique à l’aide d’API, pour cartographier l’utilisation des applications SaaS par une organisation sans causer de perturbation.
Pour plus d’informations sur la nouvelle solution Free SaaS Discovery de Wing Security, Cliquez ici.
