December 9, 2022

Branches Tech

Engagé pour la qualité technologique

Il est temps de donner la priorité à la sécurité SaaS

4 min read
One lock in a series is unlocked / weakness / vulnerability

Nous avons mis un issue d’honneur à renforcer la sécurité des clouds d’infrastructure en tant que company, auto ils sont si complexes et comportent de nombreuses pièces mobiles. Malheureusement, les nombreux systèmes logiciels en tant que service utilisés depuis plus de 20 ans ne figurent additionally sur la liste des priorités de sécurité du cloud.

Les organisations font beaucoup d’hypothèses sur la sécurité SaaS. Essentiellement, les systèmes SaaS sont des programs qui s’exécutent à distance, avec des données stockées sur des systèmes dorsaux que le fournisseur SaaS chiffre pour le compte du client. Vous ne savez peut-être même pas quelle foundation de données stocke vos données de comptabilité, de CRM ou d’inventaire, et on vous a dit que vous ne devriez pas vraiment vous en soucier. Après tout, le fournisseur gère l’ensemble du système pour vous, et les utilisateurs et les administrateurs l’exploitent simplement via un navigateur World wide web. En effet, SaaS signifie que vous êtes beaucoup in addition éloigné des composants que d’autres formes de cloud computing.

SaaS, comme indiqué dans la plupart des études promoting, est la in addition grande partie du marché du cloud computing. Cela n’est pas bien compris, car l’accent est mis ces jours-ci sur les clouds IaaS tels qu’AWS, Microsoft et Google, qui ont détourné l’attention du monde largement fragmenté des clouds SaaS, qui sont principalement des processus métier en tant que support auxquels vous accédez by using un navigateur. Mais le SaaS comprend désormais également des systèmes de sauvegarde et de récupération et d’autres companies qui ressemblent davantage à IaaS mais sont fournis à l’aide de l’approche SaaS du cloud computing. Ils vous évitent de vous occuper de tous les petits détails, ce que le cloud devrait faire.

Je soupçonne que la sécurité du cloud SaaS deviendra additionally une priorité une fois que quelques violations bien publiées seront diffusées dans les médias. Vous pouvez parier que cela se produit effectivement, mais à moins que le public ne soit directement affecté, les violations ne font généralement pas l’objet d’un communiqué de presse.

À quoi devons-nous faire consideration en matière de sécurité SaaS ?

Les problèmes de sécurité au cœur du SaaS sont une erreur humaine. Des erreurs de configuration se produisent lorsque les administrateurs accordent trop fréquemment des droits d’accès ou des autorisations aux utilisateurs. Les personnes qui n’auraient peut-être pas dû obtenir de droits peuvent finir par mal configurer les interfaces SaaS, telles que l’API ou l’accès à l’interface utilisateur. Bien que ce ne soit pas vraiment un problème si les droits sont limités, trop souvent, les personnes qui n’ont besoin que d’un easy accès aux données d’une seule entité de données (telle que l’inventaire) ont accès à toutes les données. Cela peut être exploité dans des violations de données dévastatrices qui sont hautement évitables.

Il s’agit normalement d’un problème d’accès aux données que le fournisseur SaaS fournit by using les interfaces utilisateur et l’accès API. Cependant, des problèmes surviennent également avec les couches d’intégration de données que les purchasers SaaS installent pour synchroniser les données dans le cloud SaaS avec d’autres bases de données IaaS hébergées dans le cloud ou, plus probablement, avec des systèmes hérités qui sont toujours détenus en interne. Ces couches d’intégration de données sont souvent facilement violées pour la raison que nous venons de mentionner : une mauvaise gestion des droits d’accès. Les couches d’intégration de données elles-mêmes, dont la plupart sont également fournies en method SaaS, peuvent présenter des vulnérabilités. Dans tous les cas, vos données sont toujours piratées.

D’autres problèmes de sécurité sont in addition faciles à comprendre. Un employé décide d’éliminer certaines frustrations de l’entreprise et copie la plupart des données hébergées en SaaS sur une clé USB et les supprime du bâtiment. Tout comme accorder plus de privilèges d’accès qu’une personne n’en a besoin, cela est facilement résolu avec des constraints et moreover d’éducation.

Du côté des fournisseurs de SaaS, les problèmes incluent un manque de transparence, comme le fait que leurs propres employés sortent du bâtiment avec des données client, ou des violations qui n’ont pas été signalées. Il est unachievable de savoir combien de ces conditions se sont produites, mais si aucune ne vous a été signalée, cela peut indiquer que votre fournisseur SaaS retient des informations qui pourraient lui être préjudiciables.

La sécurité SaaS est à la fois une approche et une pile technologique anciennes et nouvelles. C’était la première sécurité cloud sur laquelle j’ai travaillé, et nous avons parcouru un long chemin depuis lors. Cependant, la sécurité SaaS n’a pas reçu autant de financement, d’amour ou d’éducation que d’autres domaines de la sécurité du cloud. Nous pouvons payer pour cela à un minute donné, à moins que nous ne réparions les choses maintenant.

Copyright © 2022 IDG Communications, Inc.

Leave a Reply