{"id":295743,"date":"2022-08-04T15:35:35","date_gmt":"2022-08-04T17:35:35","guid":{"rendered":"https:\/\/teknomers.com\/fr\/qui-a-le-controle-le-paradoxe-de-ladministration-des-applications-saas\/"},"modified":"2022-08-04T15:35:36","modified_gmt":"2022-08-04T17:35:36","slug":"qui-a-le-controle-le-paradoxe-de-ladministration-des-applications-saas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/qui-a-le-controle-le-paradoxe-de-ladministration-des-applications-saas\/","title":{"rendered":"Qui a le contr\u00f4le\u00a0: le paradoxe de l&#8217;administration des applications SaaS"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Imaginez ceci : un verrouillage \u00e0 l&#8217;\u00e9chelle de l&#8217;entreprise du CRM de l&#8217;entreprise, comme Salesforce, parce que l&#8217;administrateur externe de l&#8217;organisation tente de d\u00e9sactiver la MFA pour lui-m\u00eame.  Ils ne pensent pas \u00e0 consulter l&#8217;\u00e9quipe de s\u00e9curit\u00e9 et ne consid\u00e8rent pas les implications de s\u00e9curit\u00e9, seulement la facilit\u00e9 dont ils ont besoin pour que leur \u00e9quipe utilise leur connexion. <\/p>\n<p>Ce CRM, cependant, d\u00e9finit MFA comme un param\u00e8tre de s\u00e9curit\u00e9 de niveau sup\u00e9rieur ;  par exemple, Salesforce a une configuration &#8220;Valeur de connexion d&#8217;assurance \u00e9lev\u00e9e&#8221; et verrouille imm\u00e9diatement tous les utilisateurs par mesure de s\u00e9curit\u00e9.  Toute l&#8217;organisation est au point mort et est frustr\u00e9e et confuse. <\/p>\n<p>Profond\u00e9ment pr\u00e9occupant, il ne s&#8217;agit pas d&#8217;un \u00e9v\u00e9nement ponctuel, les administrateurs des applications SaaS critiques pour l&#8217;entreprise sont souvent assis en dehors du service de s\u00e9curit\u00e9 et ont un contr\u00f4le approfondi.  Non form\u00e9s et non ax\u00e9s sur les mesures de s\u00e9curit\u00e9, ces administrateurs travaillent sur les KPI de leur service.  Par exemple, Hubspot appartient g\u00e9n\u00e9ralement au service marketing, de m\u00eame que Salesforce appartient souvent au service commercial, etc. Les services commerciaux sont propri\u00e9taires de ces applications car c&#8217;est ce qui leur permet de faire leur travail efficacement.  Cependant, le paradoxe r\u00e9side dans le fait qu&#8217;il incombe \u00e0 l&#8217;\u00e9quipe de s\u00e9curit\u00e9 de s\u00e9curiser la pile d&#8217;applications SaaS de l&#8217;organisation et qu&#8217;elle ne peut pas ex\u00e9cuter efficacement cette t\u00e2che sans un contr\u00f4le total de l&#8217;application SaaS.<\/p>\n<p>La <a rel=\"nofollow noopener\" href=\"https:\/\/www.adaptive-shield.com\/2022-saas-security-survey-report#getSurveyForm\" target=\"_blank\">Rapport d&#8217;enqu\u00eate sur la s\u00e9curit\u00e9 SaaS 2022<\/a>, g\u00e9r\u00e9 par CSA et Adaptive Shield, plonge dans la r\u00e9alit\u00e9 de ce paradoxe, en pr\u00e9sentant les donn\u00e9es des RSSI et des professionnels de la s\u00e9curit\u00e9 d&#8217;aujourd&#8217;hui.  Cet article explorera les points de donn\u00e9es importants des r\u00e9pondants et discutera de ce que pourrait \u00eatre la solution pour les \u00e9quipes de s\u00e9curit\u00e9.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/www.adaptive-shield.com\/lp-get-a-demo?utm_source=TheHackerNews&amp;utm_medium=content_syndication&amp;utm_campaign=thn_whohascontrol1\" target=\"_blank\"><em>D\u00e9couvrez comment vos \u00e9quipes de s\u00e9curit\u00e9 peuvent reprendre le contr\u00f4le de toutes les applications SaaS<\/em><\/a><em>. <\/em><\/p>\n<h2 style=\"text-align: left\">Les applications SaaS entre les mains des d\u00e9partements commerciaux<\/h2>\n<p>Dans une organisation typique, un large \u00e9ventail d&#8217;applications SaaS sont utilis\u00e9es (voir figure 1), des plates-formes de donn\u00e9es cloud, des applications de partage de fichiers et de collaboration au CRM, \u00e0 la gestion de projet et de travail, \u00e0 l&#8217;automatisation du marketing et bien plus encore.  Le besoin de chaque application SaaS remplit un certain r\u00f4le de niche requis par l&#8217;organisation.  Sans l&#8217;utilisation de toutes ces applications SaaS, une entreprise pourrait se retrouver en retard ou prendre plus de temps pour atteindre ses KPI. <\/p>\n<p>La <a rel=\"nofollow noopener\" href=\"https:\/\/www.adaptive-shield.com\/2022-saas-security-survey-report#getSurveyForm\" target=\"_blank\">Rapport d&#8217;enqu\u00eate sur la s\u00e9curit\u00e9 SaaS 2022<\/a> rapporte que 40\u00a0% de ces applications sont g\u00e9r\u00e9es et d\u00e9tenues par des \u00e9quipes non li\u00e9es \u00e0 la s\u00e9curit\u00e9, telles que les ventes, le marketing, le service juridique, etc. (voir figure\u00a02).  Alors que les \u00e9quipes de s\u00e9curit\u00e9 et informatiques sont signal\u00e9es comme la principale destination de la gestion des applications SaaS, ce sont les 40\u00a0% des d\u00e9partements commerciaux qui participent \u00e9galement et ont un acc\u00e8s complet qui compliquent le paysage des menaces. <\/p>\n<p>Les \u00e9quipes de s\u00e9curit\u00e9 ne peuvent pas retirer cette propri\u00e9t\u00e9 car les propri\u00e9taires des applications m\u00e9tier doivent maintenir un haut niveau d&#8217;acc\u00e8s \u00e0 leurs applications SaaS pertinentes pour une utilisation optimale.  Pourtant, sans une connaissance approfondie de la s\u00e9curit\u00e9 ou de l&#8217;int\u00e9r\u00eat acquis (un KPI de s\u00e9curit\u00e9 qui se refl\u00e8te sur leur produit de travail), il n&#8217;est pas raisonnable pour l&#8217;\u00e9quipe de s\u00e9curit\u00e9 de s&#8217;attendre \u00e0 ce que le propri\u00e9taire de l&#8217;entreprise assure un haut niveau de s\u00e9curit\u00e9 dans son SaaS. <\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left\">\n<tbody>\n<tr>\n<td style=\"text-align: center\"><img decoding=\"async\" alt=\"Paradoxe de l'administration des applications SaaS\" border=\"0\" data-original-height=\"436\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/1659634535_555_Qui-a-le-controle-le-paradoxe-de-ladministration-des-applications.jpg\" title=\"Paradoxe de l'administration des applications SaaS\" \/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center\">Figure 2. D\u00e9partements g\u00e9rant les applications SaaS, rapport d&#8217;enqu\u00eate sur la s\u00e9curit\u00e9 SaaS 2022<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h4 style=\"text-align: left\">D\u00e9baller le paradoxe de la propri\u00e9t\u00e9 des applications SaaS <\/h4>\n<p>Lorsqu&#8217;on leur a demand\u00e9 la raison principale des incidents de s\u00e9curit\u00e9 li\u00e9s \u00e0 une mauvaise configuration (figure 3), les personnes interrog\u00e9es dans le rapport d&#8217;enqu\u00eate ont cit\u00e9 les quatre principales suivantes\u00a0: (1) Trop de services ont acc\u00e8s aux param\u00e8tres de s\u00e9curit\u00e9\u00a0;  (2) Manque de visibilit\u00e9 sur les param\u00e8tres de s\u00e9curit\u00e9 lorsqu&#8217;ils sont modifi\u00e9s (3) Manque de connaissances en mati\u00e8re de s\u00e9curit\u00e9 SaaS\u00a0;  (4) Autorisations d&#8217;utilisateur d\u00e9tourn\u00e9es.  Toutes ces raisons, qu&#8217;elles soient explicites ou implicites, peuvent \u00eatre attribu\u00e9es au paradoxe de la propri\u00e9t\u00e9 de l&#8217;application SaaS. <\/p>\n<p>La principale cause d&#8217;incidents de s\u00e9curit\u00e9 caus\u00e9s par des erreurs de configuration est que trop de services ont acc\u00e8s aux param\u00e8tres de s\u00e9curit\u00e9.  Cela va de pair avec la cause suivante : le manque de visibilit\u00e9 lorsque les modifications de s\u00e9curit\u00e9 sont modifi\u00e9es.  Un service commercial peut apporter des modifications \u00e0 un param\u00e8tre d&#8217;application pour optimiser sa facilit\u00e9 d&#8217;utilisation sans consulter ni notifier le service de s\u00e9curit\u00e9.<\/p>\n<p>De plus, des autorisations d&#8217;utilisateurs d\u00e9tourn\u00e9es peuvent facilement provenir d&#8217;un propri\u00e9taire de service commercial \u00e0 la barre qui ne pr\u00eate pas une attention particuli\u00e8re \u00e0 la s\u00e9curit\u00e9 de l&#8217;application.  Souvent, les utilisateurs se voient accorder des autorisations privil\u00e9gi\u00e9es dont ils n&#8217;ont m\u00eame pas besoin.<\/p>\n<h2 style=\"text-align: left\">Comment les \u00e9quipes de s\u00e9curit\u00e9 peuvent reprendre le contr\u00f4le<\/h2>\n<p>Avec ce mod\u00e8le de responsabilit\u00e9 partag\u00e9e, le seul moyen efficace de combler ce foss\u00e9 de communication consiste \u00e0 utiliser une plate-forme SaaS de gestion de la posture de s\u00e9curit\u00e9 (SSPM).  Reconnue comme une solution MUST HAVE pour \u00e9valuer en permanence les risques de s\u00e9curit\u00e9 et g\u00e9rer la posture de s\u00e9curit\u00e9 des applications SaaS dans les &#8220;4 technologies incontournables qui ont fait le cycle de Hype Gartner pour la s\u00e9curit\u00e9 du cloud, 2021&#8221;, une telle solution peut alerter l&#8217;\u00e9quipe de s\u00e9curit\u00e9 sur tout changement de configuration de l&#8217;application effectu\u00e9 par le propri\u00e9taire de l&#8217;application, et fournissez des instructions claires sur la fa\u00e7on de le corriger via un syst\u00e8me de gestion des tickets ou de la collaboration.<\/p>\n<p>Avec une solution SSPM, d\u00e9tenue et g\u00e9r\u00e9e par l&#8217;\u00e9quipe de s\u00e9curit\u00e9 de l&#8217;organisation, l&#8217;\u00e9quipe de s\u00e9curit\u00e9 peut obtenir une visibilit\u00e9 compl\u00e8te de toutes les applications SaaS de l&#8217;entreprise et de leurs param\u00e8tres de s\u00e9curit\u00e9, y compris les r\u00f4les et les autorisations des utilisateurs.  O<\/p>\n<p>Les organisations peuvent aller plus loin et faire en sorte que les propri\u00e9taires d&#8217;applications rejoignent la plate-forme SSPM afin qu&#8217;ils puissent contr\u00f4ler et superviser activement toutes les configurations dans leurs propres applications.  En utilisant une capacit\u00e9 d&#8217;administration \u00e9tendue (figure 4), l&#8217;\u00e9quipe de s\u00e9curit\u00e9 peut accorder aux propri\u00e9taires d&#8217;applications l&#8217;acc\u00e8s aux applications qu&#8217;ils poss\u00e8dent et peut r\u00e9soudre les probl\u00e8mes de s\u00e9curit\u00e9, <em>avec<\/em> leur surveillance et leur direction.<\/p>\n<p>Il n&#8217;y a aucun moyen d&#8217;\u00e9liminer l&#8217;acc\u00e8s des services commerciaux aux param\u00e8tres de s\u00e9curit\u00e9 des applications SaaS, et bien que les utilisateurs de l&#8217;ensemble de l&#8217;organisation doivent \u00eatre form\u00e9s \u00e0 la s\u00e9curit\u00e9 SaaS de base afin de r\u00e9duire le risque pouvant survenir des services commerciaux, cela ne se produit pas toujours ou c&#8217;est juste pas assez.  Les organisations doivent mettre en \u0153uvre une solution qui aide \u00e0 \u00e9viter ces situations en permettant la visibilit\u00e9 et le contr\u00f4le pour l&#8217;\u00e9quipe de s\u00e9curit\u00e9, en alertant sur les d\u00e9rives de configuration, les journaux d&#8217;audit qui fournissent un aper\u00e7u des actions dans les applications SaaS et les administrateurs cibl\u00e9s.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/www.adaptive-shield.com\/lp-get-a-demo?utm_source=TheHackerNews&amp;utm_medium=content_syndication&amp;utm_campaign=thn_whohascontrol3\" target=\"_blank\">Obtenez une d\u00e9monstration de 10 minutes de la fa\u00e7on dont la solution SSPM d&#8217;Adaptive Shield aide les \u00e9quipes de s\u00e9curit\u00e9 \u00e0 reprendre le contr\u00f4le.<\/a> <\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/08\/who-has-control-saas-app-admin-paradox.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Imaginez ceci : un verrouillage \u00e0 l&#8217;\u00e9chelle de l&#8217;entreprise du CRM de l&#8217;entreprise, comme Salesforce, parce que l&#8217;administrateur externe de l&#8217;organisation tente de d\u00e9sactiver la MFA pour lui-m\u00eame. Ils ne pensent pas \u00e0 consulter l&#8217;\u00e9quipe de s\u00e9curit\u00e9 et ne consid\u00e8rent pas les implications de s\u00e9curit\u00e9, seulement la facilit\u00e9 dont ils ont besoin pour que leur [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":295744,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[8361,4168,3976,4158,4165,4161,133,4157,4159,4171,4170,10807,4167,4160,4163,4162,27666,364,44970,4172,4169,4166,4164],"class_list":["post-295743","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-applications","tag-comment-pirater","tag-controle","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-ladministration","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-paradoxe","tag-qui","tag-saas","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/295743","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=295743"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/295743\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/295744"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=295743"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=295743"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=295743"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}