{"id":1197540,"date":"2024-06-13T10:27:03","date_gmt":"2024-06-13T12:27:03","guid":{"rendered":"https:\/\/teknomers.com\/fr\/pourquoi-la-securite-saas-est-soudainement-a-la-mode-la-course-a-la-defense-et-a-la-conformite\/"},"modified":"2024-06-13T10:27:07","modified_gmt":"2024-06-13T12:27:07","slug":"pourquoi-la-securite-saas-est-soudainement-a-la-mode-la-course-a-la-defense-et-a-la-conformite","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/pourquoi-la-securite-saas-est-soudainement-a-la-mode-la-course-a-la-defense-et-a-la-conformite\/","title":{"rendered":"Pourquoi la s\u00e9curit\u00e9 SaaS est soudainement \u00e0 la mode\u00a0: la course \u00e0 la d\u00e9fense et \u00e0 la conformit\u00e9"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">13 juin 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 SaaS \/ Shadow IT<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/Pourquoi-la-securite-SaaS-est-soudainement-a-la-mode-la.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Les r\u00e9centes cyberattaques sur la cha\u00eene d&#8217;approvisionnement incitent les r\u00e9glementations en mati\u00e8re de cybers\u00e9curit\u00e9 dans le secteur financier \u00e0 renforcer les exigences de conformit\u00e9, et d&#8217;autres secteurs devraient suivre.  De nombreuses entreprises ne disposent toujours pas de m\u00e9thodes efficaces pour g\u00e9rer les t\u00e2ches de s\u00e9curit\u00e9 et de conformit\u00e9 SaaS li\u00e9es au facteur temps. <a rel=\"nofollow noopener\" href=\"https:\/\/wing.security\/free-saas-discovery\/?utm_campaign=2023-08-SSPM&amp;utm_source=The%20Hacker%20News&amp;utm_medium=Article&amp;utm_term=Racing%20-%20FRA%20LP&amp;utm_content=Racing\" target=\"_blank\">Outils gratuits d&#8217;\u00e9valuation des risques SaaS<\/a> sont un moyen simple et pratique d&#8217;apporter de la visibilit\u00e9 et un contr\u00f4le initial \u00e0 l&#8217;expansion du SaaS et \u00e0 Shadow AI.  Ces outils offrent d\u00e9sormais<a rel=\"nofollow noopener\" href=\"https:\/\/wing.security\/solution\/pricing\/?utm_source=site\" target=\"_blank\"> mises \u00e0 niveau incr\u00e9mentielles<\/a>aidant les professionnels de la s\u00e9curit\u00e9 \u00e0 respecter le budget ou le niveau de maturit\u00e9 de leur entreprise. <\/p>\n<p>Pression r\u00e9glementaire, prolif\u00e9ration du SaaS et de l\u2019IA, et <a rel=\"nofollow noopener\" href=\"https:\/\/wing.security\/blog\/saas-security\/seven-saas-risks-impacting-ny-dfs-compliance-requirements\/\" target=\"_blank\">risque accru <\/a>des violations ou des fuites de donn\u00e9es via des applications tierces, font de la s\u00e9curit\u00e9 SaaS l&#8217;un des domaines les plus int\u00e9ressants \u00e0 apprendre et \u00e0 adopter pour les praticiens.  Les nouvelles r\u00e9glementations n\u00e9cessiteront une gestion robuste du cycle de vie des risques SaaS tiers, qui commence par la d\u00e9couverte des services SaaS et la gestion des risques tiers (TPRM) et se termine par l&#8217;obligation pour les RSSI de signaler les incidents dans leur cha\u00eene d&#8217;approvisionnement dans les 72 heures.  Les cyber-r\u00e9glementations financi\u00e8res telles que <a rel=\"nofollow noopener\" href=\"https:\/\/wing.security\/nydfs\/?utm_campaign=2023-08-SSPM&amp;utm_source=The%20Hacker%20News&amp;utm_medium=Article&amp;utm_term=Racing%20-%20NYDFS&amp;utm_content=Racing\" target=\"_blank\">NY-DFS<\/a> et DORA s&#8217;appuient sur des principes de r\u00e9duction des risques similaires malgr\u00e9 l&#8217;utilisation de terminologies diff\u00e9rentes. <\/p>\n<h2 style=\"text-align: left;\"><strong>Le\u00e7ons \u00e0 tirer des exigences de s\u00e9curit\u00e9 des SaaS financiers<\/strong><\/h2>\n<p>Les professionnels de la s\u00e9curit\u00e9 qui comprennent les exigences de cyber-conformit\u00e9 du secteur financier sont mieux \u00e9quip\u00e9s pour g\u00e9rer leurs risques SaaS et g\u00e9rer divers autres cadres de conformit\u00e9.  Ces principes sous-jacents, globalement class\u00e9s en quatre \u00e9tapes, devraient \u00eatre reproduits dans plusieurs secteurs.  Ils fournissent un excellent mod\u00e8le pour utiliser le SaaS en toute s\u00e9curit\u00e9, qui doit \u00eatre appris comme une bonne pratique de s\u00e9curit\u00e9.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/1718281623_303_Pourquoi-la-securite-SaaS-est-soudainement-a-la-mode-la.png\" style=\"clear: left; display: block; margin-left: auto; margin-right: auto; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/1718281623_303_Pourquoi-la-securite-SaaS-est-soudainement-a-la-mode-la.png\" alt=\"S\u00e9curit\u00e9 SaaS\" border=\"0\" data-original-height=\"500\" data-original-width=\"728\" title=\"S\u00e9curit\u00e9 SaaS\"\/><\/a><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">*Mappage des exigences NY-DFS avec quatre \u00e9tapes de s\u00e9curit\u00e9 SaaS<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h3 style=\"text-align: left;\"><strong>1. D\u00e9couverte tierce et gestion des risques (TPRM)<\/strong><\/h3>\n<p>Le parcours de s\u00e9curit\u00e9 SaaS commence par l&#8217;identification et la cartographie <strong>tous <\/strong>services tiers utilis\u00e9s par l&#8217;organisation.  Ces services doivent \u00eatre \u00e9valu\u00e9s en fonction de leur importance pour les op\u00e9rations et de leur impact sur les informations non publiques (NPI), et ils doivent \u00eatre compar\u00e9s \u00e0 un score de r\u00e9putation du fournisseur (une \u00e9valuation des risques external-in).  Alors que de nombreuses entreprises se concentrent uniquement sur les \u00ab\u00a0applications sanctionn\u00e9es\u00a0\u00bb v\u00e9rifi\u00e9es lors du processus d&#8217;achat, cette approche ne suit pas le rythme de l&#8217;adoption rapide du SaaS et de la mani\u00e8re dont il est utilis\u00e9 dans les organisations.  Une politique de s\u00e9curit\u00e9 compl\u00e8te doit \u00e9galement couvrir le \u00ab shadow IT \u00bb, qui fait r\u00e9f\u00e9rence aux applications non autoris\u00e9es adopt\u00e9es par des employ\u00e9s individuels, ainsi que les essais gratuits utilis\u00e9s par diff\u00e9rentes \u00e9quipes.  Les deux types d&#8217;applications exposent g\u00e9n\u00e9ralement NPI et fournissent un acc\u00e8s d\u00e9rob\u00e9 aux actifs les plus confidentiels de l&#8217;entreprise. <\/p>\n<h3 style=\"text-align: left;\"><strong>2. D\u00e9finir et appliquer des politiques de risque<\/strong><\/h3>\n<p>Apr\u00e8s avoir \u00e9valu\u00e9 les risques, les \u00e9quipes de s\u00e9curit\u00e9 doivent \u00e9tablir des politiques claires concernant les fournisseurs SaaS approuv\u00e9s et non approuv\u00e9s et les types de donn\u00e9es pouvant \u00eatre partag\u00e9es avec ces services h\u00e9berg\u00e9s dans le cloud.  Une \u00e9ducation rationalis\u00e9e des utilisateurs est cruciale pour garantir que chacun comprenne ces politiques.  Une application continue, qui rev\u00eat une importance particuli\u00e8re dans les environnements SaaS, est \u00e9galement requise.  L&#8217;employ\u00e9 moyen utilise 29 applications diff\u00e9rentes, avec des changements fr\u00e9quents.  De nombreuses entreprises s&#8217;appuient encore sur des examens p\u00e9riodiques et des processus manuels qui peuvent n\u00e9gliger l&#8217;application du shadow IT et des applications ajout\u00e9es m\u00eame quelques minutes apr\u00e8s un audit SaaS.  Il est important de noter que les RSSI restent responsables de tout incident de s\u00e9curit\u00e9 li\u00e9 \u00e0 ces applications SaaS int\u00e9gr\u00e9es tardivement ou utilis\u00e9es par les employ\u00e9s.<\/p>\n<h3 style=\"text-align: left;\"><strong>3. R\u00e9duction de la surface d&#8217;attaque<\/strong><\/h3>\n<p>Ensuite, l\u2019accent est mis sur la gestion de la surface d\u2019attaque et la r\u00e9duction du nombre de fournisseurs agr\u00e9\u00e9s.  Les solutions SaaS Security Posture Management (SSPM) sont puissantes pour cette \u00e9tape complexe mais critique.  Cela inclut le renforcement des configurations initiales des applications SaaS, avec un accent r\u00e9glementaire sur l&#8217;authentification multifacteur (MFA), l&#8217;int\u00e9gration et la gestion des droits d&#8217;acc\u00e8s pour les identit\u00e9s humaines et non humaines via les examens d&#8217;acc\u00e8s des utilisateurs.  Les \u00e9quipes avanc\u00e9es surveillent \u00e9galement les jetons inutilis\u00e9s et les applications trop permissives, et g\u00e8rent le partage d&#8217;informations.  Ces aspects sont critiques pour la s\u00e9curit\u00e9 du SaaS mais ne sont que partiellement couverts par la r\u00e9glementation.<\/p>\n<h3 style=\"text-align: left;\"><strong>4. D\u00e9tection et r\u00e9ponse aux incidents<\/strong><\/h3>\n<p>Malgr\u00e9 toutes les mesures de r\u00e9duction des risques, des tiers peuvent toujours \u00eatre confront\u00e9s \u00e0 des violations.  Une \u00e9tude men\u00e9e par Wing a r\u00e9v\u00e9l\u00e9 que presque toutes les 500 entreprises examin\u00e9es ont utilis\u00e9 au moins une application pirat\u00e9e au cours de l&#8217;ann\u00e9e \u00e9coul\u00e9e.  Les r\u00e9gulateurs financiers exigent que les RSSI signalent rapidement les incidents li\u00e9s \u00e0 la cha\u00eene d&#8217;approvisionnement (dans les 72 heures sous NY-DFS et le jour ouvrable suivant sous DORA).  L&#8217;interpr\u00e9tation de ces exigences doit encore \u00eatre test\u00e9e, laissant de nombreux RSSI d\u00e9pendants des bonnes pratiques de leurs fournisseurs lors du reporting des \u00e9v\u00e9nements.  Avec un march\u00e9 comprenant 350 000 applications SaaS diff\u00e9rentes et les d\u00e9fis du shadow IT, des services de support robustes sont n\u00e9cessaires pour une reprise rapide apr\u00e8s les \u00e9v\u00e9nements et la conformit\u00e9. <\/p>\n<h2 style=\"text-align: left;\"><strong>La s\u00e9curit\u00e9 SaaS pour tous<\/strong><\/h2>\n<p>Les organisations varient en termes de niveaux de maturit\u00e9 en mati\u00e8re de s\u00e9curit\u00e9 SaaS, d&#8217;app\u00e9tit pour le risque et d&#8217;investissements dans la main-d&#8217;\u0153uvre et les outils de s\u00e9curit\u00e9.  Wing Security propose un outil d&#8217;entr\u00e9e de gamme gratuit pour d\u00e9couvrir et \u00e9valuer le risque des applications SaaS les plus utilis\u00e9es d&#8217;une organisation.  Ils ont r\u00e9cemment mis \u00e0 jour leur <a rel=\"nofollow noopener\" href=\"https:\/\/wing.security\/solution\/pricing\/?utm_campaign=2023-08-SSPM&amp;utm_source=The%20Hacker%20News&amp;utm_medium=Article&amp;utm_term=Racing%20-%20Pricing&amp;utm_content=Racing\" target=\"_blank\">Niveau de base d&#8217;entr\u00e9e de gamme<\/a> pour automatiser les t\u00e2ches \u00e0 forte intensit\u00e9 de main d&#8217;\u0153uvre et critiques pour les \u00e9quipes de s\u00e9curit\u00e9.  Ce nouveau niveau comprend la d\u00e9couverte informatique approfondie, la d\u00e9finition et l&#8217;application de politiques, ainsi qu&#8217;une formation transparente du personnel sur les fournisseurs SaaS.  \u00c0 partir de 3\u00a0500\u00a0$ par an pour les petites organisations, le niveau de base offre un point d&#8217;entr\u00e9e rentable dans la s\u00e9curit\u00e9 SaaS, avec d&#8217;autres mises \u00e0 niveau disponibles pour am\u00e9liorer davantage de cas d&#8217;utilisation de la protection et r\u00e9duire les co\u00fbts des t\u00e2ches r\u00e9glementaires.<\/p>\n<p>Pour de nombreuses entreprises qui n&#8217;utilisent pas encore de solutions de s\u00e9curit\u00e9 SaaS compl\u00e8tes, les mod\u00e8les de hi\u00e9rarchisation \u00e9volutifs constituent un moyen simple de d\u00e9couvrir les risques et d&#8217;afficher rapidement le retour sur investissement.  Les organisations plus avanc\u00e9es voudront que les niveaux Pro ou Entreprise complet traitent et g\u00e8rent efficacement les quatre \u00e9tapes de conformit\u00e9 typiques d\u00e9taill\u00e9es ci-dessus.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/06\/why-saas-security-is-suddenly-hot.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80213 juin 2024\ue804R\u00e9dactionS\u00e9curit\u00e9 SaaS \/ Shadow IT Les r\u00e9centes cyberattaques sur la cha\u00eene d&#8217;approvisionnement incitent les r\u00e9glementations en mati\u00e8re de cybers\u00e9curit\u00e9 dans le secteur financier \u00e0 renforcer les exigences de conformit\u00e9, et d&#8217;autres secteurs devraient suivre. De nombreuses entreprises ne disposent toujours pas de m\u00e9thodes efficaces pour g\u00e9rer les t\u00e2ches de s\u00e9curit\u00e9 et de conformit\u00e9 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1197541,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,4168,7181,4165,4161,200267,348,40,4159,4171,200271,200268,2268,200269,200270,2147,44970,1835,128318,4172,4169,11470,4166,4164],"class_list":["post-1197540","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-comment-pirater","tag-conformite","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-defense","tag-est","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-sur-la-cybersecurite","tag-mode","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-pourquoi","tag-saas","tag-securite","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-soudainement","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1197540","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1197540"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1197540\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1197541"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1197540"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1197540"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1197540"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}