Lorsque les applications SaaS ont commencé à gagner en popularité, il n’était pas clair qui était responsable de la sécurisation des données. Aujourd’hui, la plupart des équipes de sécurité et informatiques comprennent le modèle de responsabilité partagée, dans lequel le fournisseur SaaS est responsable de la sécurisation de l’application, tandis que l’organisation est responsable de la sécurisation de ses données.
Ce qui est beaucoup plus trouble, cependant, c’est où la responsabilité des données incombe à l’organisation. Pour les grandes organisations, il s’agit d’une question particulièrement difficile. Ils stockent en ligne des téraoctets de données clients, de données sur les employés, de données financières, de données stratégiques et d’autres enregistrements de données sensibles.
Les violations de données SaaS et les attaques de rançongiciels SaaS peuvent entraîner la perte ou l’exposition publique de ces données. Selon le secteur, certaines entreprises pourraient faire face à des sanctions réglementaires sévères pour les violations de données en plus des relations publiques négatives et de la perte de confiance que ces violations entraînent.
Trouver le bon modèle de sécurité est la première étape avant de déployer tout type de SSPM ou autre solution de sécurité SaaS.
Découvrez comment la solution SSPM d’Adaptive Shield peut vous aider à sécuriser votre pile SaaS.
Apprendre à connaître les joueurs
Il existe plusieurs groupes d’acteurs différents impliqués dans l’écosystème de sécurité SaaS.
Propriétaires d’applications SaaS – Lorsque les unités commerciales s’abonnent à un logiciel SaaS, une personne de l’unité commerciale est généralement responsable de la configuration et de l’intégration de l’application. Bien qu’ils puissent bénéficier de l’aide du service informatique, l’application relève de leur responsabilité.
Ils choisissent des paramètres et des configurations qui correspondent aux besoins de leur entreprise, ajoutent des utilisateurs et se mettent au travail. Les propriétaires d’applications SaaS reconnaissent le besoin de sécurité des données, mais ce n’est pas leur responsabilité ou quelque chose qu’ils connaissent très bien. Certains supposent à tort que la sécurité des données relève uniquement de la responsabilité du fournisseur SaaS.
Informatique centrale – Dans la plupart des grandes organisations, Central IT est responsable de choses comme l’infrastructure, le matériel et les mots de passe. Ils gèrent l’IDP et les serveurs, ainsi que supervisent les activités du service d’assistance. Les applications SaaS ne relèvent généralement pas de leur domaine direct.
Le service informatique central est plus familier avec les exigences de sécurité que l’employé moyen, mais ce n’est pas sa principale préoccupation. Cependant, il est important de garder à l’esprit qu’ils ne sont pas des professionnels de la sécurité.
Équipes de sécurité – L’équipe de sécurité est la personne idéale pour mettre en œuvre les contrôles et la surveillance de la sécurité. Ils sont chargés de créer et de mettre en œuvre une politique de cybersécurité qui s’applique à l’ensemble de l’organisation.
Cependant, plusieurs défis entravent leur capacité à sécuriser les applications. Pour commencer, ils ignorent souvent les applications SaaS utilisées par l’entreprise. Même pour les applications dont ils ont connaissance, ils n’ont pas accès aux panneaux de configuration au sein de la pile SaaS et ne sont pas toujours conscients des aspects de sécurité uniques associés à chaque application. Ceux-ci sont contrôlés et maintenus par les propriétaires d’applications SaaS et le service informatique central.
Équipes GRC – Les équipes de conformité et de gouvernance sont chargées de s’assurer que l’ensemble de l’informatique répond à des normes de sécurité spécifiques. Bien qu’ils ne jouent pas un rôle spécifique dans la sécurisation des actifs de l’entreprise, ils exercent une surveillance et doivent déterminer si l’entreprise s’acquitte de ses responsabilités en matière de conformité.
Fournisseur SaaS – Bien que le fournisseur SaaS soit dégagé de toute responsabilité quant à la sécurisation des données, c’est l’équipe qui a construit l’appareil de sécurité pour l’application SaaS et qui possède une connaissance approfondie de son application et de ses capacités de sécurité.
Définir les rôles et les responsabilités
La sécurisation de l’ensemble de la pile SaaS nécessite une collaboration étroite entre les experts en sécurité et ceux qui gèrent et exécutent leurs applications SaaS individuelles. Nous avons développé ce tableau RACI pour partager notre point de vue sur les départements qui sont responsables, imputables, consultés et informés pour les différentes tâches impliquées dans la sécurisation des données SaaS.
Gardez à l’esprit que ce tableau n’est pas une taille unique, mais un cadre basé sur la façon dont nous voyons de nombreuses entreprises gérer leurs rôles de sécurité SaaS. Il doit être adapté aux besoins de votre organisation.
En savoir plus sur les rôles et responsabilités des utilisateurs SaaS. Planifiez une démo aujourd’hui.
Construire la bonne infrastructure
Le développement de la matrice RACI est important, mais sans les bons outils en place, la mise en œuvre des responsabilités de sécurité devient une tâche presque impossible.
Les organisations ont besoin d’une plate-forme de sécurité SaaS qui facilite une communication claire entre l’équipe de sécurité et les propriétaires d’applications. Cette communication doit inclure des alertes lorsque des erreurs de configuration se produisent qui affaiblissent la posture de sécurité de l’application individuelle et lorsque des menaces sont détectées par ses outils de gouvernance IAM.
La communication doit être indépendante du canal, afin que les utilisateurs puissent recevoir des messages et des alertes par e-mail, Slack, Splunk ou la plate-forme de messagerie de leur choix. Toutes les notifications liées à la sécurité doivent également inclure des étapes de correction, fournissant aux propriétaires d’applications et au service informatique central une compréhension claire des étapes nécessaires pour atténuer le risque.
Au sein de la plate-forme, chaque propriétaire doit avoir une visibilité et un accès à l’application ou aux applications sous son contrôle. Ils doivent pouvoir voir l’état de leurs paramètres de sécurité, leur score de sécurité, leurs utilisateurs, les applications SaaS tierces connectées à leur application et les appareils utilisés pour accéder à leur application SaaS.
Les propriétaires d’applications et le service informatique central doivent également avoir la possibilité de rejeter une alerte de sécurité due, soit parce qu’elle ne s’applique pas, soit en raison des besoins de l’entreprise, et de consulter l’équipe de sécurité sur les risques.
La sécurisation des données SaaS nécessite un effort inter-équipes
Il est facile de négliger la sécurité des applications SaaS. Il se trouve hors de la vue de l’équipe de sécurité et est géré par des professionnels compétents dont les responsabilités n’incluent pas la sécurité.
Cependant, les données contenues dans les applications SaaS sont souvent la pierre angulaire d’une organisation, et le fait de ne pas sécuriser les données peut avoir des conséquences désastreuses.
La protection complète des données contre l’exposition nécessite un effort et un engagement inter-équipes de la part de toutes les parties impliquées, ainsi qu’une plate-forme SSPM sophistiquée conçue pour le SaaS dans le monde réel.
Découvrez comment une SSPM peut vous aider à sécuriser vos données. Réservez une démo.
