Le mois dernier, nous avons abordé les tactiques employées par Twitter pour protéger les données de ses utilisateurs. Stephen Lee, directeur des solutions de plateforme chez Okta, est également intervenu lors de la récente réunion sur la sécurité de PagerDuty sur les applications SaaS : les considérations que les entreprises doivent prendre en compte pour leur adoption et la protection des données qu'elles contiennent.

Provisionner les bonnes applications

Le principal avantage des produits SaaS est qu'ils sont accessibles à tous les utilisateurs via le web. Cependant, la simplicité d'utilisation des applications cloud pose également la question du contrôle d'accès : qui a accès à quelles applications et à quel niveau ?

Chez Okta, l'automatisation permet de résoudre l'un des principaux problèmes de contrôle d'accès : le provisionnement. Lorsqu'un nouvel employé arrive, qu'il travaille dans les opérations, l'ingénierie, les ventes ou un autre service, il doit se voir accorder l'accès à certaines applications, et l'automatisation peut grandement simplifier ce processus.

L'automatisation du contrôle d'accès réduit également le risque qu'un employé doive demander manuellement l'accès à une application ultérieurement, ce qui contribue à réduire la charge de travail du service informatique et à améliorer la productivité.

Planifiez en fonction de l'utilisation des appareils mobiles

Une tendance importante que le SaaS contribue à alimenter est la convivialité croissante des espaces de travail pour les utilisateurs mobiles. La mobilité est un atout majeur pour les employés, qui peuvent travailler où et comme ils le souhaitent, d'une manière qui aurait été impossible il y a seulement dix ans. Pourtant, elle représente un véritable casse-tête pour les équipes de sécurité informatique.

Non seulement les données d'entreprise sont stockées sur un nombre croissant d'appareils mobiles, facilement perdus ou volés, mais nombre de ces appareils sont aussi personnels. Que se passe-t-il lorsqu'un employé démissionne ou est licencié ? Son ancien employeur peut-il être sûr que les données de l'entreprise ne partiront pas avec lui ?

Ces considérations exigent un système robuste de gestion du contrôle d’accès, qui facilite l’octroi ou la révocation de l’accès pour chaque personne.

Anticipez le cloud pour tout

Le SaaS ne se limite pas à favoriser la mobilité. L'adoption du cloud en entreprise présente d'autres avantages, notamment des économies de coûts, l'accès à de nouvelles fonctionnalités et une plus grande convivialité. Pourtant, cette transition massive vers le cloud – l'une des deux tendances majeures du marché des technologies d'entreprise soulignées par Stephen, l'autre étant l'adoption des appareils mobiles – n'est pas sans poser des problèmes de sécurité.

Par exemple, gérer l'authentification et l'autorisation lorsque les utilisateurs accèdent aux applications depuis différents emplacements et appareils est complexe. Il faut également tenir compte de l'interaction entre l'utilisateur final et les applications : comment garantir la sécurité des connexions sur des réseaux que vous ne contrôlez pas ? Se pose également la question des audits de sécurité, auxquels toutes les entreprises cotées en bourse sont soumises. En cas d'audit, vous devrez prouver que vous pouvez générer des données sur « qui a accès à quoi ».

Stephen a suggéré d'envisager la sécurité dans le contexte des « cycles de vie des identités ». La première étape de l'élaboration d'un plan de sécurité complet consiste à cartographier ces cycles de vie pour les utilisateurs internes et externes, en tenant compte du contrôle d'accès. L'approche par cycle de vie est particulièrement pertinente lorsqu'elle est utilisée de concert avec une philosophie de « sécurité par défaut », où les contrôles de sécurité sont intégrés au processus de développement produit.

Pensez à vos utilisateurs

Un autre avantage des cycles de vie des identités : ils obligent les entreprises à identifier précisément les accès qu'elles contrôlent. Qu'il s'agisse des utilisateurs réels, comme dans le cas de Twitter, ou des ingénieurs et des équipes opérationnelles en interne, le « cycle de vie » exige une approche globale de la sécurité.

Chez Okta, la question est celle de la précision : les utilisateurs peuvent-ils accéder à ce dont ils ont besoin de manière fiable ? Steven a présenté l'utilisateur final d'Okta comme le « client » de l'équipe de sécurité d'Okta.

« Ils doivent pouvoir accéder à ce dont ils ont besoin, mais ils ne devraient pas pouvoir accéder à ce dont ils n'ont pas besoin. » Stephen Lee, Okta

Penser en termes de besoins des autres est rare dans le monde des affaires, notamment dans le secteur informatique, qui consacre la majeure partie de son temps à l'approvisionnement des appareils, aux corrections de bugs, à l'architecture système, etc. Pourtant, Stephen montre la voie vers une version améliorée et plus conviviale de l'informatique d'entreprise.

Regardez la présentation complète de Stephen ici :