Pourquoi les RSSI et les CSI doivent repenser leur approche des SaaS

L’avenir du travail dépend des SaaS et l’approche actuelle a besoin d’être remaniée. Comment votre stratégie de sécurité des identités doit repenser ce que vous appelez « visibilité » et les dangereuses lacunes qui existent au sein de votre approche.

Si vous êtes comme les autres RSSI, vous êtes probablement confronté à de nombreux problèmes urgents liés à l’adoption rapide des services dans le cloud. L’évolution du cloud et des SaaS s’est accéléré avec la consumérisation des technologies de l’information. Les utilisateurs se sont familiarisés avec le téléchargement et l’utilisation d’applis et de services dans le cloud pour les aider dans leur travail, mais souvent sans l’accord explicite du service informatique. Le modèle économique des SaaS lui-même dépend de l’adoption par l’utilisateur final. Il existe des équipes d’ingénieurs et de spécialistes du marketing qui créent ces plateformes afin de stimuler la « croissance par le produit » au travers d’essais gratuits, stimulent la rétention au sein du produit, encouragent les invitations des utilisateurs, etc.

La transformation numérique accélérée et le passage généralisé au télétravail a ecore davantage alimenté une croissance massive de l’adoption des SaaS. Et de nombreux RSSI exacerbent d’ailleurs ce problème qui, selon eux, n’est simplement qu’un coût de fonctionnement comme un autre : le Shadow IT. Plus d’informations sur le Shadow IT sont disponibles ici, dans notre blog. J’ai lu des rapports dans lesquels certains experts estiment que 80 % du personnel admet utiliser des applications SaaS au travail sans obtenir l’aval du service informatique.

Le Shadow IT accapare la bagatelle de 30 à 40 % de l’ensemble des dépenses informatiques des grandes entreprises, selon Gartner. Cela signifie que près de la moitié de votre budget informatique est consacré à des outils que les équipes et les unités opérationnelles achètent (et utilisent) à l’insu du service informatique. De nombreux logiciels et services non approuvés peuvent faire doublon avec ceux qui ont été validés, ce qui signifie que votre entreprise dépense inefficacement de l’argent. Comment est-ce que cela affecte le chiffre d’affaires global ? Bien que cela dépende du secteur, les entreprises dépensent en moyenne 3,28 % de leur chiffre d’affaires dans l’informatique, selon une récente étude de Deloitte Insights. Les banques et les maisons de courtage dépensent le plus (7,16 %) et les sociétés de construction dépensent le moins (1,51 %).

De plus, le Shadow IT s’accompagne d’un risque accru de complications en matière de sécurité et de conformité car les outils ne sont pas correctement vérifiés. Parmi ces risques, il y a le manque de sécurité, qui peut entraîner des violations de données. Votre équipe informatique est incapable de garantir la sécurité des logiciels ou des services et elle n’est pas en mesure de les gérer efficacement et d’effectuer les mises à jour. Gartner prévoit que, d’ici 2022, un tiers des attaques réussies subies par les entreprises viseront leurs ressources de Shadow IT. Si l’on utilise le coût moyen d’une violation de Ponemon, qui s’élève à 3,86 millions de dollars, et qu’on établit la moyenne du risque probable de violation à 27,2 % annuellement , le Shadow IT pourrait vous coûter jusqu’à 350 000 dollars par an en frais liés aux risques de violation.

Comment surveillez-vous votre empreinte SaaS ? Je ne parle pas des applis fondamentales de l’entreprise. Je parle de tout. Et si vous dites une feuille de calcul, vous n’êtes pas le seul. Mais le fait est que cela n’offre pas une visibilité complète. C’est une fraction de ce qui existe et, dès que la feuille de calcul est mise à jour, elle est obsolète. Cette approche constitue une perte de temps et elle est truffée d’erreurs.

Laissez-moi vous brosser le tableau de la manière dont cette approche vous affecte…

Vous avez déjà entendu ces histoires. Un directeur financier a, par le biais d’une appli de stockage de fichiers dans le cloud, partagé un dossier racine avec des tierces parties. Cela a involontairement donné accès à des rapports financiers détaillés qui n’auraient jamais dû être rendus publics ou partagés. Des salaires, des pertes et profits, ainsi que d’autres éléments ont été accidentellement dévoilés. De plus, les fichiers, les dossiers et les discussions de l’équipe du directeur financier ont été rendus intégralement publics au lieu de rester en interne et en lecture seule. Cela a rendu les fichiers financiers et d’autres informations sensibles indexables par les moteurs de recherche. Qui est fautif dans cette histoire ? Pas le directeur financier, mais bien le RSSI et le DSI.

Ou que dire de la situation dans laquelle une entreprise utilise pas une, mais cinq (ou plus) applis de gestion de projets similaires en dehors du giron du service informatique, réparties dans l’ensemble de l’entreprise. Cela a créé un gigantesque chevauchement des coûts et des failles de sécurité : quelle quantité de données sensibles ont pu êtes stockées dans les autres applis ? D’après mon expérience personnelle, je peux vous dire que cela arrive trop souvent et que c’est même probablement le cas dans votre propre entreprise.

En braquant les projecteurs sur le Shadow IT et le risque lié à l’accès aux SaaS, ainsi qu’en ayant une visibilité accrue sur la totalité des applications de SaaS non gérées, les entreprises peuvent économiser des centaines de milliers de dollars chaque année. Cela leur permet de gérer un processus fluide de la découverte à la gouvernance dans l’ensemble de leur environnement d’applis de SaaS et d’entourer chaque appli de SaaS nouvellement découverte (et les données qu’elle contient) de contrôles de sécurité adéquats, aidant ainsi à éliminer les problèmes de Shadow IT dans l’entreprise.

On estime que, d’ici 2022, près de 90 % des organisations s’appuieront presque exclusivement sur des applis de SaaS pour gérer leur activité. Dans cette nouvelle ère informatique, la seule façon d’intégralement protéger l’entreprise dans le cloud actuelle et de tout d’abord trouver l’ensemble de ces applications de SaaS cachées, puis d’appliquer les mêmes contrôles de gouvernance qui existent déjà pour le reste des applications d’entreprise essentielles. Seul SailPoint peut vous aider à accomplir ceci. En tant que leader dans le domaine de la sécurité des identités, SailPoint aide les organisations à braquer les projecteurs sur leurs applis de SaaS non gérées, puis à intensifier les contrôles de sécurité adéquats afin de garantir que seuls les individus autorisés puissent accéder à ces applis. Par conséquent, nous aidons les équipes informatiques à rapidement trouver et à gouverner à nouveau ces applis de SaaS, avec la visibilité et l’intelligence nécessaires pour comprendre qui peut y accéder et comment cet accès est utilisé, ainsi que pour supprimer ou modifier les accès superflus ou plus nécessaires. Avec SailPoint, vous avez non seulemet la possibilité d’atténuer le risque lié aux SaaS et d’améliorer la mise en conformité, mais vous pouvez également optimiser les coûts de licence et éliminer les dépenses informatiques inutiles.