L'avenir du travail dépend du SaaS. Comment votre stratégie de sécurité des identités doit-elle reconsidérer ce que vous estimez comme une "visibilité" et quelles sont les lacunes dangereuses qui existent avec votre approche actuelle ?
Si vous êtes comme la plupart des DSI vous êtes probablement confronté à de nombreux problèmes urgents liés à l'adoption rapide des services basés sur le cloud. La croissance du cloud et du SaaS s'est accélérée avec la consumérisation des technologies de l'information. Les utilisateurs téléchargent facilement et utilisent des applications et des services à partir du cloud afin de les aider dans leur travail, mais souvent sans l'approbation explicite du service informatique.
Le business model du SaaS lui-même dépend de l'adoption par l'utilisateur final. Il existe des équipes d'ingénieurs et de spécialistes du marketing qui construisent ces plates-formes pour stimuler la "croissance axée sur les produits" grâce à des essais gratuits, à la stimulation de l'adhérence dans le produit, à l'encouragement des invitations des utilisateurs, etc.
L'accélération de la transformation numérique et le passage généralisé au télétravail ont encore alimenté une croissance massive de l'adoption du SaaS. 80 % des travailleurs admettent utiliser des applications SaaS au travail sans obtenir l'approbation de l’IT.
L'informatique parallèle représente de 30 à 40 % des dépenses IT globales pour les grandes entreprises, selon Gartner. Cela signifie que près de la moitié de votre budget informatique est consacrée à des outils que les équipes et les unités commerciales achètent (et utilisent) à l'insu de l’IT. Beaucoup de logiciels et de services non approuvés peuvent dupliquer les fonctionnalités des logiciels approuvés, ce qui signifie que votre entreprise dépense de l'argent de manière inefficace. Quel est l'impact de ces dépenses ? Bien que cela dépende de l'industrie, les entreprises consacrent en moyenne 3,28 % de leur chiffre d'affaires à l'informatique, selon une étude récente de Deloitte Insights. Les banques et les sociétés de valeurs mobilières dépensent le plus (7,16 %) et les entreprises de construction dépensent le moins (1,51 %).
En outre, le Shadow IT présente un risque plus élevé en termes de sécurité et de conformité parce que les outils ne sont pas correctement vérifiés. Ces risques comprennent le manque de sécurité, qui peut conduire à des violations de données. Votre équipe IT n'est pas en mesure d'assurer la sécurité du logiciel ou des services et ne peut pas les gérer efficacement et exécuter des mises à jour. Gartner prévoit que d'ici 2022, un tiers des attaques réussies subies par les entreprises se feront sur leurs ressources informatiques parallèles. Si nous utilisons le coût moyen d'atteinte de 3,86 millions de dollars (source Ponemon) et probablement une violation à 27,2 % par an, le Shadow IT peut vous coûter jusqu'à 350 000$ par an.
Comment suivez-vous votre empreinte SaaS ? Je ne parle pas seulement des applications de base qui sont celles de l'entreprise, mais bien de la visibilité complète que vous devez nécessairement avoir, à la fois technique et relative aux usages qui en sont faits. Prenons par exemple le cas d’un directeur financier qui utiliserait une application de stockage dans le cloud et déciderait soudain de partager un ou plusieurs de ses dossiers avec un tiers. Hors de tout process de contrôle, des documents strictement confidentiels seraient susceptibles d’être rendus publics : salaires, comptes de pertes et profits, discussions internes à l’équipe de direction… Des centaines de données – voire plus – seraient soudain indexables dans des moteurs de recherches, possiblement redues publiques et fragilisant grandement l’organisation. Dans un tel scénario catastrophe, qui serait le responsable ? Non pas le directeur des finances, mais bien le CIO et le DPI.
Et que dire de la situation d’une entreprise qui exécuterait sans le savoir non pas une, mais cinq (ou plusieurs) applications de gestion de projet en dehors de la compétence du service informatique, réparties dans toute l'entreprise ? Cela créerait un chevauchement massif des coûts et des vulnérabilités de sécurité. Combien de données sensibles ont ainsi pu être stockées dans les autres applications ? Ceci est bien trop courant, et probablement même vrai dans votre propre entreprise.
En mettant en lumière le risque d'accès à l'informatique parallèle et au SaaS, et en ayant une visibilité accrue de toute la portée des applications SaaS non gouvernées, les entreprises peuvent économiser des centaines de milliers de dollars chaque année. Cela permet de conduire un processus transparent, de la découverte à la gouvernance dans l'ensemble de leur paysage d'applications SaaS et de mettre en place les bons contrôles de sécurité autour de chaque application SaaS nouvellement découverte (et des données qu'elle contient) - aidant ainsi à résoudre les problèmes informatiques parallèles dans l'ensemble de l'entreprise.
On estime que d'ici 2022, près de 90 % des organisations dépendront presque entièrement des applications SaaS pour gérer leur entreprise. En cette nouvelle ère, la seule façon de protéger pleinement l'entreprise cloud d'aujourd'hui est d'abord de découvrir toutes ces applications SaaS cachées, puis d'appliquer les mêmes contrôles de gouvernance que ceux qui sont déjà en place pour le reste des applications commerciales critiques.