Le passage au SaaS : les enjeux pour la cybersécurité
Le passage au SaaS : les enjeux pour la cybersécurité
Imaginez que vous soyez un investisseur et que vous entriez au siège de PTC, dans le quartier de Seaport à Boston. La tour inondée de lumière par le soleil, les 17 étages peuplés de professionnels passionnés et de logiciels totalement novateurs. Imaginez ensuite que vous assistiez à une présentation du PDG, Jim Heppelmann, qui déclare avec assurance que votre investissement sera protégé, car il le conservera en un lieu sécurisé, au même titre que tous les autres investissements : à savoir sous son matelas. Le terme « choc » ne suffirait sans doute pas à décrire votre réaction. Et qu'en est-il des banques ? Ces organisations sont là pour gérer et protéger les fonds, afin que les personnes n'aient pas à le faire elles-mêmes.
Cet exemple ridicule met en lumière une réalité frappante : les entreprises sont aujourd'hui nombreuses à, pour ainsi dire, cacher des objets de valeur sous leur matelas. Dans le cas présent, il ne s'agit pas de billets ou de pièces de monnaie mis de côté, mais de données confidentielles et d'informations sur les utilisateurs. On se figure qu'elles seront en sécurité puisque personne ne sait qu'elles se trouvent sous le matelas. Cela dit, c'est au propriétaire et à son équipe qu'incombe la responsabilité de les garder cachées et en sécurité.
Pour dire les choses clairement, les solutions de cybersécurité sur site sont bien plus sûres qu'un matelas, et il convient de féliciter les équipes informatiques pour leur travail acharné. Cependant, elles mènent souvent des batailles impossibles en matière de cybersécurité.
De nombreux pays se livrent aujourd'hui à la cyberguerre, notamment la Russie, la Chine et les États-Unis. Gartner a récemment mis en lumière de quelle façon la Russie avait coordonné des cyberattaques dans le cadre de son plan d'invasion de l'Ukraine au tout début de la guerre. Outre les conflits géopolitiques, les organisations doivent rester en alerte vis-à-vis des tiers malveillants qui cherchent à voler des données et à demander des rançons, des agents du chaos qui s'efforcent tout simplement d'effacer ou de divulguer des informations sans rechercher un quelconque avantage, et même des saboteurs accidentels ou intentionnels au sein de leur propre organisation.
Compte tenu de ces menaces croissantes, il n'est pas étonnant que le FBI ait annoncé, pour la seule année 2021, près de 7 milliards de dollars de pertes imputables à la cybercriminalité. Quels que soient les coupables de ces cyberattaques, toutes ces situations ont des points communs : l'équipe informatique était surchargée de travail ou trop peu nombreuse, les mesures de sécurité ont pris du retard, une violation de données s'est produite.
Pour revenir à l'exemple de la banque et du matelas, si la première est aujourd'hui considérée comme la norme en matière de protection monétaire, c'est pour une raison simple. En confiant des actifs de valeur à une organisation exclusivement consacrée à leur protection et leur utilisation, les chances de bénéficier d'une sécurité continue et complète augmentent.
Le respect de la tradition ne doit pas empêcher l'adoption de méthodes nouvelles et (notablement) plus efficaces en matière de protection des données. La technologie du Cloud et les programmes basés sur le Cloud, dont font partie par extension les solutions SaaS (Software-as-a-Service), se sont développés et continuent de se perfectionner. La plupart se sont émancipés des restrictions inhérentes à une solution de sécurité sur site. Bien qu'il puisse être difficile, pour les organisations disposant de solutions de cybersécurité sur site présentes de longue date, d'envisager le transfert de la propriété directe des données confidentielles, le climat d'hostilité croissant du paysage numérique impose un changement de paradigme.
Dans ce livre blanc, PTC crée une base de référence pour comprendre la cybersécurité, ainsi que sa relation avec le SaaS et le Cloud, et la façon dont chaque technologie peut potentiellement renforcer la protection des données. Pour souligner l'importance de cette évolution, les données d'une enquête récente sont utilisées pour montrer à quel point les organisations réfléchissent à des projets de cybersécurité et investissent dans ces derniers.
Méthodologie
Pour étayer ce livre blanc, PTC a contacté 76 personnes et leur a posé une série de 28 questions sur divers sujets liés à l'évolution du travail, en mettant l'accent sur les solutions SaaS et les opérations dans le Cloud. Toutes les personnes interrogées étaient des décideurs à plein temps (directeurs ou acteurs de niveau hiérarchique encore supérieur) qui travaillaient dans divers secteurs d'activité aux États-Unis.
Recueillies et compilées en mars-avril 2022, les données de l'enquête reflètent les points de vue de ces personnes et leur compréhension des thématiques clés à ce moment.
Terminologie clé
Une grande partie de cette enquête étant axée sur le développement de concepts relatifs au Cloud et au SaaS, les personnes interrogées ont été invitées à choisir un terme décrivant « la fourniture de solutions logicielles via Internet et en tant que service, au lieu de la prise en charge directe de leur installation et de leur gestion ». Elles avaient le choix entre les termes SaaS, Cloud ou Cloudnative. Cela étant dit, PTC reconnaît que ces trois termes ne sont pas interchangeables. C'est pourquoi nous fournissons ci-dessous leurs définitions actuelles :
Cloud : abréviation de « Cloud computing », le Cloud désigne la disponibilité et la fourniture en ligne et à la demande de divers services logiciels, notamment la puissance de calcul et les options de stockage. Ces services sont accessibles à tout utilisateur autorisé, mais sont généralement gérés et supervisés par un fournisseur tiers.
Cloud Native : une application Cloud Native est conçue et développée avec le Cloud computing comme composant principal. Ces applications logicielles s'exécutent sur différents types de Clouds, que ceux-ci soient publics, privés ou hybrides. Comme ces applications sont développées exclusivement pour le Cloud, il n'existe généralement pas d'équivalent sur site capable d'offrir une expérience totalement identique.
SaaS : le modèle « software as a service » est un modèle d'abonnement dans lequel l'utilisateur achète et renouvelle son achat à des intervalles différents (généralement mensuels ou annuels). En échange, l'utilisateur reçoit un logiciel continuellement mis à jour et entretenu, qui s'améliore fréquemment et régulièrement pour respecter diverses normes de sécurité et d'utilisabilité.
Sur site : il s'agit généralement d'applications logicielles qui sont installées, gérées et mises à jour sur le lieu même où elles sont utilisées. Dans ce cas, c'est l'utilisateur final qui assume la majeure partie de la responsabilité de la maintenance et de l'efficacité de la solution logicielle.
L'état actuel de la cybersécurité
La cybersécurité a gagné en importance parallèlement à l'utilisation d'Internet. Plus l'information est stockée en ligne, plus il est essentiel de protéger certaines données. Malheureusement, l'évolution du paysage numérique s'est accompagnée d'une diversification de la cybercriminalité. Aujourd'hui, les cyberattaques revêtent de nombreuses formes, les deux plus fréquentes étant les logiciels malveillants et l'hameçonnage.
D'autres formes courantes de cybercriminalité sont le déni de service (DoS) et l'homme du milieu (MitM). Malheureusement, les appareils IoT étant de plus en plus répandus, ces systèmes nouveaux, qui ne sont d'ailleurs pas toujours bien compris, peuvent servir de points d'accès non protégés au réseau. Même de simples machines, comme les imprimantes, peuvent être vulnérables si elles ne sont pas correctement protégées. De plus, si les organisations doivent se méfier des tiers, un employé non qualifié ou insuffisamment formé peut également être à l'origine d'une violation/fuite de données ou d'une divulgation accidentelle d'informations confidentielles. Les données recueillies par RedTeam Security ont montré que 71 % des violations de données sont dues à des utilisateurs négligents qui divulguent accidentellement des données, et que 68 % sont dues à la négligence (utilisateurs connaissant la politique en matière de données mais ne respectant pas toutes les procédures correctes). Aucune de ces violations n'est le fait d'une personne mal intentionnée, mais toutes ont eu des conséquences financières.
Quel que soit le type d'acte de cybercriminalité, la plupart poursuivent le même objectif : nuire à la victime en exploitant de façon malveillante ses données confidentielles. Les cybercriminels se nourrissent de la nouveauté et de la nature constamment changeante du paysage numérique. Les organisations dans lesquelles les employés ne sont pas spécialement formés à la détection ou à la lutte contre la cybercriminalité sont des cibles parfaites. La violation des données va de paire avec l'ignorance.
Cette situation s'est considérablement aggravée lorsque la pandémie a frappé en 2020. Les organisations qui n'avaient pas sérieusement réfléchi au travail à distance et à ce à quoi ressemblerait le fonctionnement d'une infrastructure logicielle décentralisée ont soudainement été contraintes de le faire, et ce rapidement. De nombreux employés et cadres ont dû s'adapter à des solutions qu'ils ne maîtrisaient pas. Conséquences partielles : le FBI a indiqué que les plaintes et les pertes dues aux cyberattaques ont presque doublé entre 2019 et 2021. Les coûts de ces pertes ont également doublé, passant de 3,5 milliards de dollars à environ 7 milliards de dollars.
Alors que la pandémie prend des proportions endémiques et que les organisations s'installent dans un nouveau mode de travail flexible, le rôle de la cybersécurité ne peut que continuer à prendre de l'importance. La question n'est plus de savoir « si » les organisations seront confrontées à la cybercriminalité, mais « quand » elles le seront. Même si les données de PTC ont montré que 64 % de toutes les personnes interrogées étaient conscientes de l'importance de la cybersécurité et lui accordaient une priorité absolue, il peut être difficile de savoir exactement comment relever le défi.
Les bonnes pratiques en matière de cybersécurité
Étant donné l'importance cruciale de la protection des données à l'ère numérique, PTC encourage ses clients à adopter une approche holistique et multicouche en matière non seulement de cybersécurité, mais aussi de protection de la vie privée en général. Un élément crucial à retenir est le suivant : un réseau présentant une seule insécurité est un réseau non sécurisé, et ce indépendamment du niveau de protection de tous les autres points d'accès et serveurs. Le maillon faible ne risque pas seulement de briser la chaîne, il peut la désintégrer. Cela vaut tout autant pour les services sur site que pour les services SaaS.
Une cyberprotection efficace peut être complexe, mais elle se définit au départ par trois éléments simples : les personnes, les processus et les technologies.
Personnes : en l'état actuel, il n'existe aucune technologie suffisamment sûre pour passer outre l'importance des personnes. Les personnes, à tous les niveaux, doivent être informées de leur rôle dans la mise en place d'une stratégie de cybersécurité efficace. Ces formations doivent être ciblées et régulières, car la cybercriminalité est en évolution constante. En menant des actions de sensibilisation, les organisations réduisent non seulement le risque qu'un employé se laisse prendre au piège d'un stratagème, mais aussi la probabilité d'une violation de données résultant d'un comportement accidentel de l'employé.
Processus :même en ayant des employés de confiance présents à tous les niveaux d'une organisation, des processus doivent être mis en place pour garantir la visibilité et la conservation des données. En outre, le processus peut intégrer des approches telles que la confiance zéro et le principe du moindre privilège, tous deux sécurisés par définition. En mettant en place une organisation conçue pour limiter le degré d'exposition et les risques, ainsi que pour suivre les flux de travail numériques sous tous les angles, les dirigeants réduisent la probabilité de survenue d'une violation qui échapperait à tout contrôle.
Technologies : toutes les technologies ne se valent pas, de sorte que les organisations doivent veiller à choisir des programmes compatibles avec des initiatives plus vastes, tant en termes de sécurité que d'utilisabilité. À cet égard, l'automatisation peut jouer un rôle important, car en limitant les points d'interaction humaine, on réduit les possibilités pour les cybercriminels de pénétrer dans l'infrastructure d'une entreprise. Peu importe la solution retenue, sur site ou dans le Cloud, des mesures doivent systématiquement être prises pour garantir un suivi de la technologie et sa mise à jour le cas échéant.
Pour mieux préparer les clients à évoluer dans un paysage de cybersécurité encore nouveau, Cloud Native et sous-tendu par le SaaS, PTC recommande de choisir des partenaires SaaS qui privilégient la sécurité au niveau des personnes, des processus et des technologies.
La cybersécurité doit être globale et s'étendre à toute l'entreprise ; il ne s'agit pas d'une solution unique, mais plutôt d'un processus continu d'amélioration et d'innovation. Au niveau de l'organisation, réfléchissez à la façon de mieux préparer et équiper le personnel, les processus et les technologies pour élaborer une approche complète en matière de cybersécurité.
L'importance de l'approche « Secure by design »
Lorsque l'on parle de cybersécurité, et par extension de cybersécurité SaaS, des concepts tels que la confiance zéro et le principe du moindre privilège sont souvent d'actualité. Chacun a sa propre définition de ces concepts, mais tous deux s'inscrivent dans une approche plus large de la cybersécurité, appelée l'approche « Secure by design ». Cette approche constitue un aspect essentiel de la philosophie moderne des politiques de cybersécurité, l'une des raisons pour lesquelles PTC la considère pertinente pour les solutions Cloud et SaaS.
L'approche « Secure by design » est issue du domaine des logiciels. Comme son nom l'indique, il s'agit pour les ingénieurs en logiciel de prendre le temps de réfléchir au développement de solutions fondamentalement plus sûres et moins exposées que les logiciels existants. Pour exprimer les choses de façon imagée, il s'agit de concevoir une banque de A à Z et non pas de transformer un bâtiment abritant autrefois un fast-food en banque. Le premier scénario permet d'obtenir des niveaux de sécurité intrinsèques plus élevés sans procéder à des investissements aussi conséquents que dans le second scénario.
L'approche « Secure by design » s'est étendue au-delà du domaine des logiciels, car les organisations cherchent à l'appliquer à l'ensemble de leur infrastructure. Elle peut revêtir de nombreuses formes, l'une d'entre elles étant les programmes de formation réguliers précédemment évoqués. Les organisations qui élaborent des plans d'intervention se conforment également davantage à cette approche, en décrivant clairement les mesures à prendre en cas de violation possible ou confirmée des données. Le principe du moindre privilège relève également de l'approche « Secure by Design » dans la mesure où il limite la manière dont les utilisateurs peuvent interagir avec les logiciels et les programmes. Ce principe stipule que les utilisateurs autorisés ne peuvent accéder qu'aux seuls aspects d'un programme logiciel dont ils ont absolument et légitimement besoin pour s'acquitter de leurs tâches. Prenons l'exemple de la gestion des salaires. Il est courant pour les employés de pouvoir accéder à leurs paiements à venir, mais ils n'ont aucune raison légitime d'accéder au système de gestion des salaires de l'ensemble de l'organisation.
La confiance zéro est un concept similaire. Comme son nom l'indique, la confiance zéro est une approche de la conception d'une architecture logicielle exigeant « une vérification en cas de doute ». On ne peut faire confiance à aucun appareil par défaut, y compris aux appareils inconnus présents en un endroit habituel du site (comme un bureau). Cette approche met l'accent sur la validation d'identité à chaque étape du processus de conception, ce qui permet de vérifier que seuls les bons utilisateurs ont accès au réseau.
Toutes les solutions SaaS concurrentes sont sécurisées dès la conception. Les solutions sur site, en revanche, sont souvent des systèmes hérités, des flux de travail créés à une époque où la cybersécurité était une moindre priorité. Même lorsqu'ils sont actualisés, ces processus peuvent encore présenter des vulnérabilités et des failles dont la correction s'avère onéreuse. À l'ère du numérique, il n'est plus possible d'envisager la sécurité en seconde intention. Les organisations doivent la considérer comme un aspect fondamental de toutes les opérations commerciales, tant pour les employés en interne que pour ceux en contact avec l'extérieur.
Comment le Cloud renforce la cybersécurité
Malgré les difficultés liées à la mise à jour des logiciels existants, les directeurs informatiques et les cadres peuvent encore hésiter à faire appel au Cloud pour garantir la cybersécurité. Comme le dit le vieil adage : « Les mains les plus sûres, ce sont les nôtres. » Même en ne tenant pas compte du défi posé par les systèmes existants, les systèmes sur site ne sont pas meilleurs. Si le stockage des données sur site ou dans des serveurs propriétaires place toutes les données confidentielles sous le contrôle immédiat et total de l'organisation, il s'agit là d'une arme à double tranchant.
Dans un monde parfait, peut-être qu'avec une dotation en personnel informatique complète (au niveau de l'équipe de sécurité de l'information entre autres), les organisations pourraient protéger efficacement leurs données, mais cela ne tient pas compte de tendances plus globales (sans parler des cyberattaques de plus en plus puissantes), telles que la pénurie de travailleurs qualifiés, les rotations plus importantes de personnel et le risque accru de burnout. Même les organisations préparées à une violation de données avec un plan de reprise après sinistre ne sont pas à l'abri, comme en atteste une étude réalisée par IDC en 2022. Selon cette dernière, 79 % des personnes interrogées avaient activé ce plan au cours des 12 derniers mois.
Les données recueillies par PTC le confirment : 68 % des organisations déclarent que leurs équipes informatiques fonctionnent dans un état de maintenance quasi permanent. Compte tenu de l'énorme basculement vers les flux de travail numériques, l'équipe informatique est désormais impliquée à tous les niveaux de l'entreprise ou presque. Du fait de cette situation, les équipes informatiques internes sont toujours sur le qui-vive. Elles n'ont ni le temps ni la marge de manœuvre nécessaires pour penser de manière proactive ou s'organiser à l'avance en prévision de défis potentiels en matière de sécurité. Pour exprimer les choses simplement, tant qu'il n'y a pas le feu (au sens propre et figuré), rien ne bouge, même si cela devrait être le cas.
Comparez cette approche à celle d'un fournisseur de services de stockage sur le Cloud, une organisation dont la seule fonction est de préserver les données et les informations confidentielles. De toute évidence, les fournisseurs de services de stockage sur le Cloud ne sont pas tous égaux en termes de prestations de cybersécurité, mais en transférant la charge vers une organisation dont la seule fonction est de stocker des données en toute sécurité, les dirigeants mettent leurs secrets à l'abri de lieux qui sont en permanence surveillés pour détecter d'éventuelles failles et expositions.
En fin de compte, le Cloud s'inscrit dans l'approche « Secure by Design », car il rend les données plus difficiles d'accès pour tous les membres de l'organisation cliente. Les fournisseurs sur le Cloud sont, par nature, prudents en matière d'autorisations et ils demandent généralement directement à leurs clients quelles sont les personnes supposées avoir accès aux données et quelles sont ces données. Ce mode de fonctionnement limite la probabilité pour un employé de pouvoir accéder à un système avec lequel il n'est pas en interaction professionnelle. Il empêche également un employé d'endommager ou de détruire un serveur sur site, que ce soit de façon accidentelle ou volontaire. Bien qu'il soit possible de mettre en place une solution sur site, cela représente également une tâche supplémentaire pour le service informatique interne, lequel doit constamment la surveiller, la mettre à jour et la gérer.
Comment le SaaS renforce la cybersécurité
Autrefois, les mises à jour logicielles concernaient principalement les fonctionnalités, et l'ajout de nouveaux contenus et capacités reste l'un des principaux motifs justifiant l'adoption d'un logiciel plus récent. Néanmoins, la sécurité est elle aussi devenue un motif convaincant de mise à jour, certains fournisseurs allant même jusqu'à imposer cette amélioration. Les solutions SaaS ne doivent pas être considérées comme des échanges ponctuels. Les organisations n'achètent pas le logiciel, elles en louent la version la plus récente. Bien que la perte de la propriété complète puisse s'apparenter à une rétrogradation, le SaaS renforce considérablement les cyberprotections dans leur ensemble.
Imaginez un programme installé de manière traditionnelle. L'utilisateur le charge sur son ordinateur où il reste utilisé selon les besoins. Sur un ordinateur personnel, l'utilisateur peut effectuer une mise à jour s'il souhaite obtenir de nouvelles fonctionnalités ou corriger une faille de sécurité. Cependant, dans un cadre professionnel, une telle initiative de modification est bien souvent déconseillée. L'employé peut bien entendu réussir à mettre à jour sa machine, mais il peut aussi se déconnecter pendant une durée inacceptable. La plupart des organisations n'accordent même pas les autorisations requises pour permettre à l'employé lambda de réaliser ces mises à jour.
Il en résulte une multiplication des versions de logiciels, lesquelles tentent de fonctionner de manière homogène au sein de l'infrastructure de l'entreprise. Dans le meilleur des cas, ces versions restent parfaitement compatibles les unes avec les autres. Certaines fonctionnalités peuvent toutefois être perdues selon les logiciels. Dans le pire des cas, certains employés utilisent des logiciels dont les failles sont connues et n'ont pas été corrigées.
Cela posait déjà des problèmes importants lorsque tout le monde travaillait en un même lieu. La décentralisation des employés n'a fait qu'aggraver le problème. Si l'usage du logiciel acheté est strictement limité au site, l'employé devra peut-être envoyer sa machine pour maintenance, ou le service informatique devra envoyer le nouveau logiciel par courrier et fournir des instructions détaillées, sans forcément obtenir de résultat.
Dans une solution SaaS, les mises à jour sont effectuées de manière cohérente, ce qui met tous les employés sur un pied d'égalité. De même, le risque de vulnérabilité en matière de cybersécurité est considérablement réduit grâce à l'automatisation du processus de mise à jour. Les organisations qui utilisent des solutions SaaS n'ont pas besoin de charger le service informatique de passer manuellement au peigne fin chaque poste pour s'assurer que les logiciels sont toujours sécurisés. Avec les solutions SaaS, les employés hautement qualifiés ont moins besoin de se concentrer sur la maintenance et la surveillance, et ont donc plus de temps à consacrer à l'élaboration de stratégies et à l'accompagnement d'initiatives commerciales.
L'importance de choisir le bon partenaire SaaS
L'entreprise devient numérique. Cette vérité, valable depuis des années, n'est pas près de changer. Des perturbations comme la pandémie (et maintenant l'inflation) alimentent le souhait des employés de travailler de manière décentralisée. Les organisations sont donc encore plus fortement sollicitées pour mettre en place des infrastructures robustes et sécurisées, autorisant des habitudes de travail flexibles.
En conséquence, l'importance de la cybersécurité ne fera qu'augmenter. Les données montrent que de nombreuses organisations ont déjà compris cette réalité, avec 33 % des personnes interrogées qui estiment que leur organisation investit davantage dans la cybersécurité que dans d'autres grandes priorités (43 % supplémentaires décrivent le niveau d'investissement comme étant similaire à celui consacré à d'autres grandes priorités). En d'autres termes, près d'un quart des personnes interrogées estiment cependant que la cybersécurité n'est pas un poste d'investissement aussi important que les autres initiatives commerciales. Ces organisations risquent fort de ne pas disposer de l'infrastructure solide requise pour lutter contre l'évolution des tendances en matière de cyberattaques.
Lorsqu'on leur a demandé si elles s'attendaient à une hausse des dépenses en matière de cybersécurité au cours des deux prochaines années, 28 % ont répondu par la négative. La majorité des organisations savent qu'avec l'augmentation des dommages causés par la cybercriminalité, les investissements en matière de protection doivent eux aussi progresser.
La diversité croissante des appareils connectés à Internet et la présence accrue d'une main-d'œuvre décentralisée ne feront que compliquer davantage le paysage déjà complexe de la cybersécurité. En passant de solutions sur site à des solutions SaaS basées sur le Cloud, les organisations garantissent leur protection tout en permettant à leurs équipes informatiques d'adopter une approche plus proactive. Dans un monde numérique décentralisé, le SaaS n'est pas seulement plus efficace que les solutions sur site, c'est généralement la solution la plus judicieuse. Bien que cela puisse paraître contre-intuitif, il peut être (et il est souvent plus sûr) de stocker des informations confidentielles en dehors des solutions traditionnelles sur site.
Le SaaS a changé la réalité de la cybersécurité. Les organisations ne sont plus contraintes par les limites de leur propre infrastructure informatique en matière de protection, et cela leur procure un net avantage. Face à la multitude de menaces, y compris venant de l'étranger, il est impossible d'attendre d'une PME moyenne qu'elle puisse garantir, pour elle-même et ses données, une protection complète à l'aide de ses seules ressources.
Il peut être perturbant d'envisager le passage d'une gestion de la cybersécurité par des ressources internes à une gestion effectuée par un partenaire externe. Les organisations SaaS n'opèrent pas toutes avec le même niveau de protection en matière de cybersécurité, et les organisations ne doivent donc pas renoncer à la protection de leurs données sur site chaque fois qu'un fournisseur prononce le terme « SaaS ». Les meilleurs partenaires SaaS intègrent de nombreux protocoles de cybersécurité dans leurs programmes, lesquels sont dès le départ conçus dans une optique de sécurité.
En savoir plus sur PTC
Pour plus d'informations sur la façon dont PTC aborde la cybersécurité, consultez notre Trust Center ou contactez-nous ici.