{"id":1126928,"date":"2024-01-31T17:39:27","date_gmt":"2024-01-31T19:39:27","guid":{"rendered":"https:\/\/teknomers.com\/fr\/la-sec-ne-laissera-pas-les-rssi-agir-comprendre-les-nouvelles-regles-de-cybersecurite-saas\/"},"modified":"2024-01-31T17:39:32","modified_gmt":"2024-01-31T19:39:32","slug":"la-sec-ne-laissera-pas-les-rssi-agir-comprendre-les-nouvelles-regles-de-cybersecurite-saas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/la-sec-ne-laissera-pas-les-rssi-agir-comprendre-les-nouvelles-regles-de-cybersecurite-saas\/","title":{"rendered":"La SEC ne laissera pas les RSSI agir\u00a0: comprendre les nouvelles r\u00e8gles de cybers\u00e9curit\u00e9 SaaS"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/La-SEC-ne-laissera-pas-les-RSSI-agir-comprendre-les.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>La SEC ne donne pas un laissez-passer gratuit au SaaS.  Les soci\u00e9t\u00e9s publiques concern\u00e9es, connues sous le nom de \u00ab d\u00e9clarants \u00bb, sont d\u00e9sormais soumises \u00e0 des exigences de divulgation des cyberincidents et de pr\u00e9paration \u00e0 la cybers\u00e9curit\u00e9 pour les donn\u00e9es stock\u00e9es dans les syst\u00e8mes SaaS, ainsi que les applications tierces et quatri\u00e8mes qui y sont connect\u00e9es. <\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/www.sec.gov\/news\/press-release\/2023-139\" target=\"_blank\">Les nouveaux mandats de cybers\u00e9curit\u00e9<\/a> ne faites aucune distinction entre les donn\u00e9es expos\u00e9es lors d&#8217;une violation qui ont \u00e9t\u00e9 stock\u00e9es sur site, dans le cloud ou dans des environnements SaaS.  Selon les propres mots de la SEC : \u00ab Nous ne pensons pas qu&#8217;un investisseur raisonnable consid\u00e9rerait une violation de donn\u00e9es importante comme insignifiante simplement parce que les donn\u00e9es sont h\u00e9berg\u00e9es sur un service cloud. \u00bb <\/p>\n<p>Cette approche \u00e9volutive intervient alors que les failles de s\u00e9curit\u00e9 des SaaS font continuellement la une des journaux et suscitent des d\u00e9bats entre les leaders technologiques. <a rel=\"nofollow noopener\" href=\"https:\/\/www.forbes.com\/sites\/forbestechcouncil\/2024\/01\/08\/how-sec-action-could-shake-up-cybersecurity\/?sh=51ae86d65379\" target=\"_blank\">comment la SEC peut changer la cybers\u00e9curit\u00e9<\/a> apr\u00e8s avoir accus\u00e9 SolarWinds et son RSSI de fraude. <\/p>\n<h2>Pourquoi les risques de connexion SaaS et SaaS \u00e0 SaaS sont importants pour la SEC \u2013 et pour votre organisation <\/h2>\n<p>La perception et la r\u00e9alit\u00e9 de la s\u00e9curit\u00e9 SaaS sont, dans de nombreux cas, tr\u00e8s \u00e9loign\u00e9es.  Responsable s\u00e9curit\u00e9 SaaS <a rel=\"nofollow noopener\" href=\"https:\/\/appomni.com\/saas-security-report-2023-sspm\/?utm_campaign=SEC%20SSPM%20Hacker%20News%20Article&amp;utm_source=The%20Hacker%20News&amp;utm_medium=01.31.24%20article&amp;utm_content=CTA\" target=\"_blank\">Rapport sur l&#8217;\u00e9tat de la s\u00e9curit\u00e9 SaaS d&#8217;AppOmni<\/a> a montr\u00e9 que 71 % des organisations ont \u00e9valu\u00e9 leur maturit\u00e9 en mati\u00e8re de cybers\u00e9curit\u00e9 SaaS comme moyenne \u00e0 \u00e9lev\u00e9e, mais que 79 % d&#8217;entre elles ont subi un incident de cybers\u00e9curit\u00e9 SaaS au cours des 12 derniers mois. <\/p>\n<p>La SEC constate \u00e9galement des lacunes en mati\u00e8re de s\u00e9curit\u00e9 SaaS, citant \u00ab l&#8217;augmentation substantielle de la pr\u00e9valence des incidents de cybers\u00e9curit\u00e9 \u00bb comme facteur cl\u00e9 de motivation pour sa nouvelle approche.  Ces pr\u00e9occupations ne se limitent bien entendu pas \u00e0 un petit nombre de d\u00e9clarants s\u2019appuyant sur le SaaS.  Statista rapporte qu&#8217;\u00e0 la fin de 2022, une organisation mondiale moyenne utilisait 130 applications SaaS. <\/p>\n<p>Le risque de fuite de donn\u00e9es ne se limite pas \u00e0 l\u2019omnipr\u00e9sence et \u00e0 la vuln\u00e9rabilit\u00e9 du SaaS.  Pour tirer davantage de valeur des plates-formes SaaS, les organisations \u00e9tablissent r\u00e9guli\u00e8rement des connexions SaaS \u00e0 SaaS (connectant des applications tierces aux syst\u00e8mes SaaS), que ces connexions soient approuv\u00e9es par le service informatique ou int\u00e9gr\u00e9es secr\u00e8tement comme une forme de <a rel=\"nofollow noopener\" href=\"https:\/\/www.securitymagazine.com\/articles\/98795-shadow-it-risk-a-dangerous-connection\" target=\"_blank\">informatique fant\u00f4me<\/a>.  Alors que les employ\u00e9s connectent de plus en plus les solutions d\u2019IA aux applications SaaS, les \u00e9cosyst\u00e8mes num\u00e9riques supervis\u00e9s par les RSSI deviennent de plus en plus interconnect\u00e9s et n\u00e9buleux. <\/p>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">Guide de s\u00e9curit\u00e9 SaaS<\/span><a rel=\"nofollow noopener\" class=\"wn-head\" href=\"https:\/\/appomni.com\/saas-security-report-2023-sspm\/?utm_campaign=SEC%20SSPM%20Hacker%20News%20Article&amp;utm_source=The%20Hacker%20News&amp;utm_medium=01.31.24%20article&amp;utm_content=CTA\" target=\"_blank\"><\/p>\n<p>Votre \u00e9quipe de s\u00e9curit\u00e9 peut-elle surveiller les applications tierces\u00a0?  60\u00a0% des \u00e9quipes ne peuvent pas<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">Les \u00e9quipes de s\u00e9curit\u00e9 estiment qu&#8217;elles sont couvertes, mais les donn\u00e9es parlent d&#8217;elles-m\u00eames\u00a0: 79\u00a0% des organisations ont subi des violations SaaS.  Le rapport AppOmni expose les surprenantes failles cach\u00e9es dans la s\u00e9curit\u00e9 SaaS.  T\u00e9l\u00e9chargez-le maintenant pour voir si vous \u00eates vuln\u00e9rable.<\/p>\n<p><a rel=\"nofollow noopener\" class=\"wn-button-2\" href=\"https:\/\/appomni.com\/saas-security-report-2023-sspm\/?utm_campaign=SEC%20SSPM%20Hacker%20News%20Article&amp;utm_source=The%20Hacker%20News&amp;utm_medium=01.31.24%20article&amp;utm_content=CTA\" target=\"_blank\">Apprenez comment vous pouvez<\/a><\/section>\n<p>Les d\u00e9fis de gouvernance et les risques de cybers\u00e9curit\u00e9 augmentent de fa\u00e7on exponentielle \u00e0 mesure que les connexions SaaS \u00e0 SaaS complexes se d\u00e9veloppent.  Bien que ces connexions am\u00e9liorent g\u00e9n\u00e9ralement la productivit\u00e9 de l&#8217;organisation, les applications SaaS-to-SaaS introduisent de nombreux risques cach\u00e9s.  Le <a rel=\"nofollow noopener\" href=\"https:\/\/appomni.com\/article\/unpacking-preventing-circleci-data-breach\/?utm_campaign=SEC%20SSPM%20Hacker%20News%20Article&amp;utm_source=The%20Hacker%20News&amp;utm_medium=01.31.24%20article&amp;utm_content=CTA\" target=\"_blank\">violation de CircleCI<\/a>, par exemple, mettait en danger d\u2019innombrables entreprises disposant de connexions SaaS \u00e0 SaaS \u00e0 l\u2019outil CI\/CD leader du secteur.  Il en va de m\u00eame pour les organisations connect\u00e9es \u00e0 Qlik Sense, Okta, LastPass et \u00e0 des outils SaaS similaires qui ont r\u00e9cemment subi des cyberincidents.<\/p>\n<p>\u00c9tant donn\u00e9 que les connexions SaaS \u00e0 SaaS existent en dehors du pare-feu, elles ne peuvent pas \u00eatre d\u00e9tect\u00e9es par les outils d&#8217;analyse et de surveillance traditionnels tels que les Cloud Access Security Brokers (CASB) ou les Secure Web Gateways (SWG).  En plus de ce manque de visibilit\u00e9, les fournisseurs ind\u00e9pendants proposent souvent des solutions SaaS avec <a rel=\"nofollow noopener\" href=\"https:\/\/appomni.com\/resources\/articles-and-whitepapers\/the-risks-of-oauth-tokens-and-third-party-apps-to-saas-security\/?utm_campaign=SEC%20SSPM%20Hacker%20News%20Article&amp;utm_source=The%20Hacker%20News&amp;utm_medium=01.31.24%20article&amp;utm_content=CTA\" target=\"_blank\">vuln\u00e9rabilit\u00e9s que les acteurs malveillants peuvent compromettre via le d\u00e9tournement de jetons OAuth<\/a>, cr\u00e9ant des voies cach\u00e9es vers les donn\u00e9es les plus sensibles d&#8217;une organisation.  AppOmni rapporte que <a rel=\"nofollow noopener\" href=\"https:\/\/appomni.com\/blog_post\/2020-blog-how-3rd-party-apps-can-compromise-the-security-of-saas-environments\/?utm_campaign=SEC%20SSPM%20Hacker%20News%20Article&amp;utm_source=The%20Hacker%20News&amp;utm_medium=01.31.24%20article&amp;utm_content=CTA\" target=\"_blank\">la plupart des entreprises disposent de 256 connexions SaaS \u00e0 SaaS uniques install\u00e9es<\/a> dans une seule instance SaaS. <\/p>\n<p>Les donn\u00e9es susceptibles d\u2019affecter les investisseurs et le march\u00e9 sont d\u00e9sormais accessibles \u2013 et piratables \u2013 via un vaste r\u00e9seau de canaux num\u00e9riques. <\/p>\n<h2>&#8220;Suivez les donn\u00e9es&#8221; est le nouveau &#8220;Suivez l&#8217;argent&#8221;<\/h2>\n<p>\u00c9tant donn\u00e9 que la SEC est charg\u00e9e de prot\u00e9ger les investisseurs et de maintenir \u00ab des march\u00e9s justes, ordonn\u00e9s et efficaces \u00bb, la r\u00e9glementation des connexions SaaS et SaaS-\u00e0-SaaS des d\u00e9clarants rel\u00e8ve de la comp\u00e9tence de l&#8217;agence.  Dans l&#8217;annonce des r\u00e8gles de cybers\u00e9curit\u00e9, le pr\u00e9sident de la SEC a d\u00e9clar\u00e9 : \u00ab\u00a0Qu&#8217;une entreprise perde une usine dans un incendie \u2013 ou des millions de fichiers dans un incident de cybers\u00e9curit\u00e9 \u2013 cela peut \u00eatre important pour les investisseurs.\u00a0\u00bb<\/p>\n<p>L&#8217;ampleur et la fr\u00e9quence des violations sous-tendent l&#8217;expansion de la r\u00e9glementation de la SEC dans le domaine des cyber-risques. <a rel=\"nofollow noopener\" href=\"https:\/\/appomni.com\/resources\/saas-breach-info-center\/?utm_campaign=SEC%20SSPM%20Hacker%20News%20Article&amp;utm_source=The%20Hacker%20News&amp;utm_medium=01.31.24%20article&amp;utm_content=CTA\" target=\"_blank\">Les violations et incidents SaaS se produisent r\u00e9guli\u00e8rement<\/a> dans les entreprises publiques, et AppOmni a suivi une augmentation de 25 % des attaques entre 2022 et 2023. IBM calcule que <a rel=\"nofollow noopener\" href=\"https:\/\/www.ibm.com\/reports\/data-breach\" target=\"_blank\">le co\u00fbt d&#8217;une violation de donn\u00e9es a atteint en moyenne un niveau record de 4,45 millions de dollars<\/a> en 2023.<\/p>\n<p>M\u00eame si les exigences de divulgation ont retenu le plus l&#8217;attention des m\u00e9dias, les nouvelles r\u00e9glementations de la SEC pr\u00e9cisent \u00e9galement des mesures de pr\u00e9vention.  Les RSSI doivent d\u00e9crire leurs processus pour \u00ab \u00e9valuer, identifier et g\u00e9rer les risques importants li\u00e9s aux menaces de cybers\u00e9curit\u00e9 \u00bb, ainsi que partager le r\u00f4le du conseil d&#8217;administration et de la direction dans la surveillance des risques et des menaces de cybers\u00e9curit\u00e9.<\/p>\n<p>Qu\u2019on les aime ou qu\u2019on les d\u00e9teste, ces r\u00e8gles obligent les clients SaaS \u00e0 adopter une meilleure hygi\u00e8ne de cybers\u00e9curit\u00e9.  Divulguer ce qui s\u2019est pass\u00e9 \u2013 et ce que votre organisation a fait et fait \u00e0 ce sujet \u2013 aussi directement et franchement que possible renforce la confiance des investisseurs, garantit la conformit\u00e9 r\u00e9glementaire et favorise une culture de cybers\u00e9curit\u00e9 proactive.<\/p>\n<p>En SaaS, la meilleure attaque est une d\u00e9fense imp\u00e9n\u00e9trable.  L&#8217;\u00e9valuation et la gestion des risques de chaque syst\u00e8me SaaS et connexion SaaS \u00e0 SaaS ayant acc\u00e8s \u00e0 vos donn\u00e9es sensibles sont non seulement obligatoires, mais essentielles pour \u00e9viter les violations de donn\u00e9es et minimiser leur impact. <\/p>\n<h2>Comment prot\u00e9ger et surveiller vos syst\u00e8mes SaaS et vos connexions SaaS \u00e0 SaaS<\/h2>\n<p>Le fardeau de l&#8217;\u00e9valuation manuelle des risques et de la posture de s\u00e9curit\u00e9 du SaaS peut \u00eatre all\u00e9g\u00e9 gr\u00e2ce \u00e0 un <a rel=\"nofollow noopener\" href=\"https:\/\/appomni.com\/what-is-saas-security-posture-management\/?utm_campaign=SEC%20SSPM%20Hacker%20News%20Article&amp;utm_source=The%20Hacker%20News&amp;utm_medium=01.31.24%20article&amp;utm_content=CTA\" target=\"_blank\">Outil de gestion de la posture de s\u00e9curit\u00e9 SaaS (SSPM)<\/a>.  Avec SSPM, vous pouvez surveiller les configurations et les autorisations sur toutes les applications SaaS, ainsi que comprendre les autorisations et la port\u00e9e des connexions SaaS \u00e0 SaaS, y compris les outils d&#8217;IA connect\u00e9s. <\/p>\n<p>Les d\u00e9clarants doivent avoir une compr\u00e9hension globale de toutes les connexions SaaS \u00e0 SaaS pour une gestion efficace des risques.  Cela doit inclure un inventaire de toutes les connexions et des employ\u00e9s qui les utilisent, les donn\u00e9es touch\u00e9es par ces connexions et les niveaux d&#8217;autorisations sur les syst\u00e8mes SaaS que ces outils tiers ont \u00e9t\u00e9 accord\u00e9s.  SSPM \u00e9value tous ces aspects de la s\u00e9curit\u00e9 SaaS-to-SaaS.<\/p>\n<p>SSPM alertera \u00e9galement les \u00e9quipes de s\u00e9curit\u00e9 et informatiques des d\u00e9rives de configuration et d\u2019autorisation pour garantir que la posture reste sous contr\u00f4le.  Il d\u00e9tectera et alertera \u00e9galement en cas d&#8217;activit\u00e9 suspecte, telle qu&#8217;une tentative de compromission d&#8217;identit\u00e9 \u00e0 partir d&#8217;une adresse IP ou d&#8217;un emplacement g\u00e9ographique inhabituel. <\/p>\n<p>Les RSSI et leurs \u00e9quipes peuvent avoir du mal \u00e0 r\u00e9pondre aux exigences de pr\u00e9paration sans une posture appropri\u00e9e et des outils de d\u00e9tection des menaces pour r\u00e9duire les risques de violation de donn\u00e9es.  SSPM centralise et normalise les journaux d&#8217;activit\u00e9 pour aider les entreprises \u00e0 pr\u00e9parer des informations compl\u00e8tes et factuelles dans un d\u00e9lai de quatre jours.<\/p>\n<p>Seul le temps nous dira comment la SEC appliquera ces nouvelles r\u00e8gles.  Mais m\u00eame si ces r\u00e9glementations disparaissent demain, le renforcement de la s\u00e9curit\u00e9 SaaS est essentiel pour prot\u00e9ger les march\u00e9s des donn\u00e9es sur lesquels comptent les investisseurs.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/01\/the-sec-wont-let-cisos-be-understanding.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>La SEC ne donne pas un laissez-passer gratuit au SaaS. Les soci\u00e9t\u00e9s publiques concern\u00e9es, connues sous le nom de \u00ab d\u00e9clarants \u00bb, sont d\u00e9sormais soumises \u00e0 des exigences de divulgation des cyberincidents et de pr\u00e9paration \u00e0 la cybers\u00e9curit\u00e9 pour les donn\u00e9es stock\u00e9es dans les syst\u00e8mes SaaS, ainsi que les applications tierces et quatri\u00e8mes qui y [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1126929,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,1562,4168,6564,4165,4161,200267,6002,4159,4171,36095,65,200271,200268,120,200269,200270,132,479,89918,44970,6846,128318,4172,4169,4166,4164],"class_list":["post-1126928","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-agir","tag-comment-pirater","tag-comprendre","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-laissera","tag-les","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-pas","tag-regles","tag-rssi","tag-saas","tag-sec","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1126928","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1126928"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1126928\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1126929"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1126928"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1126928"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1126928"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}