Guide de la sécurité des applications SaaS

Déc 22, 2020

Sécurité des applications SaaS : comment bien s’informer ?

Le logiciel en tant que service (SaaS) est une des branches du cloud computing. Les entreprises modernes se penchent de plus en plus vers ces solutions attrayantes.

C’est un model de distribution dans lequel un logiciel est hébergé par un prestataire tiers, plutôt que sur la machine de l’utilisateur. Le fournisseur rend les applications disponibles pour ses clients par l’intermédiaire d’internet.

On dénote une hausse dans l’adoption des applications SaaS par les entreprises. Selon le Gartner, Les dépenses des utilisateurs sur les services de cloud public devraient progresser de 18,4% en 2021 pour atteindre 304,9 milliards de dollars.

En effet, ce modèle comporte de nombreux avantages dont deux points majeurs:

  • La réduction des coûts : le coût d’un abonnement à un SaaS est très faible face au coût d’investissement dans des licences, du matériel, une équipe informatique de maintien du logiciel etc. Cela permet un accès aux meilleures solutions sans gros investissement.
  • L’agilité : Ce modèle permet de déployer une même solution dans différents endroits géographiques en même et pour plusieurs utilisateurs, sans matériel additionnel. De plus, il est possible de résilier son abonnement à tout moment pour s’adapter aux besoins de l’entreprise.

Cependant, avec ce modèle, la sécurité des données de l’entreprise est garantie par des fournisseurs externes, ce qui peut s’avérer être un frein dans l’adoption d’une application SaaS. 

Il est important de savoir quels sont les risques liés à l’utilisation de SaaS et comment s’en prémunir.

Afin de faire un choix éclairé, il est important de savoir quels sont les risques associés à l’utilisation de ces logiciels et comment savoir si une application SaaS est bien sécurisée.

A ce niveau, voici les principaux risques:

  • La confidentialité

Le risque d’atteinte à la confidentialité des données est majoritairement mis en avant. Opter pour une application SaaS implique de céder le contrôle de ses données à un fournisseur externe, le fait de stocker des informations sensibles hors du champ de contrôle de l’entreprise peut provoquer certaines craintes. L’entreprise reste responsable de ses données même si celles-ci sont stockées en externe. Il incombe à l’entreprise de s’informer préalablement sur les conditions d’utilisation et sur la politique de confidentialité, et de s’assurer qu’elles sont bien conformes au RGPD.

  • Risque d’interruption des services : 

Dans le cadre d’une adoption d’une application SaaS, votre utilisation du service est soumise à la qualité du logiciel. Ainsi il se peut que si le fournisseur venait à interrompre son service pour une raison quelconque, l’accès au service ne sera plus disponible et dans ce cas, rien ne garantit qu’il sera possible de récupérer vos données.  

  • La menace du shadow IT

Le shadow IT concerne le fait d’utiliser des applications sans l’approbation de la direction. Cette pratique peut se produire lorsque des employés cherchent à aller plus vite et être plus efficients. 

En cela, l’entreprise perd le contrôle sur l’emploi des logiciels de ses employés, ce qui peut conduire à une augmentation des risques.

  • Le piratage

La menace de piratage est amplifiée avec le Cloud. Dans ce cadre, il suffit que le hacker obtienne les identifiants d’un compte pour pouvoir accéder à toutes les données confidentielles de l’entreprise.

  • Les vulnérabilité zero day

Une attaque Zero Day est une menace informatique qui tente d’exploiter les vulnérabilités hébergées au sein d’applications informatiques et inconnues de tiers ou du développeur du logiciel.

Le terme attaque « zero day » renvoie au fait qu’une entreprise dispose de zéro jour pour prendre connaissance et corriger une faille de sécurité avant qu’il n’y ait un risque d’attaque.

Les points d’entrée pour ces attaques sont généralement des applications SaaS, notamment les applications des géants du numérique tels que Google, Apple et Microsoft qui sont devenus la cible des hackers.

 

Afin de se protéger des risques encourus, quelles sont les questions à se poser ?

Voici une liste de vérification à entreprendre:

  • Conformité aux certifications et réglementations. Par exemple, en Europe, tout fournisseur SaaS doit se conformer au RGPD, et doit garantir la protection des données personnelles de chaque utilisateur grâce notamment au cryptage des données. Certains types de données, comme les données de santé, doivent être hébergés selon des règles très strictes, par des hébergeurs agréés de données de santé.
  • Les garanties de service: Le taux de disponibilité de l’application SAAS doit être précisé.  Cela identifie la proportion du temps pour lequel le service est réellement accessible sur une période donnée.
  • Un protocole d’authentification des utilisateurs encodé et sécurisé. 
  • Des outils de détection et de blocage des cyberattaques, qui vont scanner sans arrêt en temps réel les menaces et comportements suspects. 

 

Le fournisseur est responsable de la sécurité de son data-center et de la performance de son service. 

Cependant l’entreprise cliente doit également participer proactivement à cet effort de protection des données personnelles, et ne pas faire reposer toute la charge de la responsabilité du traitement des données au fournisseur. 

Il est important que l’entreprise s’informe préalablement sur la politique de confidentialité et de protection des données mise en place par l’éditeur SaaS, examine correctement les contrats et accords de niveaux de services (SLA) et s’assure que ces mesures soient en phase avec ses besoins. 

L’entreprise est également responsable de la bonne utilisation et maintenance de l’application SaaS (mises à jour, correctifs, différents niveaux d’accès des utilisateurs aux données sensibles etc).

Dans ce contexte très favorable au développement des applications SaaS, il semble intéressant de se pencher sur leur avenir et les principaux défis.

A l’heure du numérique et de la dématérialisation, le modèle SaaS est en pleine expansion. Ce modèle représente 80% de l’utilisation du Cloud computing. Les entreprises sont de plus en plus nombreuses à l’adopter. Par conséquent, la compréhension de la demande s’affine et les éditeurs de logiciels sont de plus en plus innovants et performants. 

Ces solutions comportent de nombreux avantages; simplicité, flexibilité et faible coût, et sont sans aucun doute un modèle d’avenir, plébiscité par les entreprises de toutes tailles. 

Cependant des réticences demeurent en matière de confidentialité, sécurité et performance. 

L’externalisation des logiciels place l’entreprise dans une situation de dépendance face à son prestataire, ce qui engendre des réticences. 

L’enjeu majeur de ces solutions cloud est donc de gagner la confiance des entreprises clientes afin que cette interdépendance ne soit plus un frein à leur adoption.

Pour cela, les applications SaaS devront continuer à gagner en transparence et présenter des garanties en matière de sécurité des données, de qualité des services, et communiquer sur leur engagement de mise en conformité sur les évolutions légales et réglementaires.

L’Intelligence artificielle est également à évoquer lorsque l’on fait référence à l’avenir des SaaS; cette nouvelle technologie apparaît comme la prochaine grande disruption dans l’univers des SaaS. De plus en plus d’entreprises ont recours à l’automatisation intelligente, et pour cause, les bénéfices sont considérables : augmentation de la productivité, simplification des processus, et amélioration de l’efficience. 

A ce titre, les chatbots sont l’une des utilisations les plus populaires de l’intelligence artificielle. 

Des entreprises comme Calmedica, dans le secteur de la santé, utilise l’intelligence artificielle pour améliorer l’efficience du système de soins grâce à un chatbot de suivi des patients 

Les entreprises qui ignorent ces tendances émergentes ne seront bientôt plus aptes à faire face à la concurrence.