Le modèle de responsabilité partagée précise les rôles respectifs des entreprises et des fournisseurs SaaS en matière de sécurité des données. Au sein de l’entreprise, L’implémentation du modèle de responsabilité partagée nécessite une collaboration entre les équipes IT et les propriétaires d’applications. Ignorer ces responsabilités peut entraîner des lacunes importantes dans la sécurité des informations sensibles.
Pour éviter des failles de sécurité et des risques majeurs pour les données sensibles, les entreprises doivent comprendre le modèle de responsabilité partagée utilisé par de nombreux fournisseurs SaaS.
Alors que les entreprises intègrent de plus en plus d’applications SaaS, IaaS et d’autre nature dans leurs environnements et processus, certaines ne sont pas conscientes de leur rôle dans la sécurisation des données sensibles.
Cette méconnaissance peut engendrer des lacunes majeures dans la pile de sécurité d’une entreprise lorsqu’elle s’appuie uniquement sur des fournisseurs SaaS pour protéger ses informations.
Le modèle de responsabilité partagée permet de comprendre quels aspects de la sécurité relèvent de la responsabilité d’une entreprise et ceux qui relèvent du domaine de l’application SaaS.
Les équipes de sécurité doivent être en mesure d’appréhender ce modèle pour atténuer les risques liés aux principales cyber menaces actuelles et protéger leurs informations sensibles.
Mais qu’est-ce qu’un modèle de responsabilité partagée ?
Ce modèle oblige les fournisseurs SaaS à sécuriser l’infrastructure et à fournir une solution hautement disponible. Le consommateur est responsable de la protection et la sécurisation de ses données au sein de la plateforme, ce que de nombreuses entreprises ignorent.
Ce malentendu provient généralement du fait que les équipes internes achètent des produits SaaS sans impliquer leur service informatique ou leurs équipes de sécurité.
Vous trouverez ci-dessous une répartition généralement admise de la responsabilité partagée, à laquelle plusieurs fournisseurs de services cloud, tels que Salesforce, AWS et Microsoft, adhèrent.
La responsabilité partagée en pratique
Salesforce illustre parfaitement le fonctionnement de ce modèle.
Salesforce utilise la sécurité dès la conception pour son infrastructure, mais c’est à l’utilisateur final de mettre en œuvre les contrôles de sécurité appropriés et les bonnes pratiques pour protéger ses données critiques contre les menaces et les fuites.
Lorsque les entreprises adoptent Salesforce, les équipes commerciales ont tendance à gérer l’outil CRM et à s’assurer que les informations sont facilement accessibles aux utilisateurs.
Cependant, les équipes de sécurité ont généralement une visibilité ou une connaissance limitée des risques associés à une plateforme SaaS comme Salesforce, malgré la nature sensible des données qu’elle contient.
La nécessité d’un accès rapide et l’absence de surveillance en matière de sécurité conduit souvent à négliger la sécurité et la gouvernance des données. C’est particulièrement le cas lorsque les applications SaaS sont achetées et déployées avec peu ou pas de supervision informatique, ce qui accroît considérablement la probabilité d’une fuite de données.
C’est pourquoi la mise en œuvre d’un modèle de responsabilité partagée est primordiale pour la protection des données.
Comment mettre en œuvre le modèle de responsabilité partagée
Pour éviter que les données sensibles ne tombent entre de mauvaises mains, les composantes d’un modèle de responsabilité partagée doivent être reconnues et comprises par les équipes de sécurité et les propriétaires des applications.
En instaurant une relation de collaboration entre les équipes internes et les propriétaires d’applications, les données contenues dans le cloud sont correctement protégées et aussi bien traitées que les données stockées sur un serveur de fichiers.
Il convient de donner à l’équipe IT et aux propriétaires des applications un accès et des contrôles appropriés pour que les deux groupes puissent répondre à ces trois questions :
1- Où mes données sensibles sont-elles stockées dans cette application ?
2- Qui peut accéder à ces données ?
3- Qui accède à mes données ?
Les membres de l’équipe doivent comprendre quelles responsabilités en matière de sécurité incombent à l’entreprise et celles qui incombent au fournisseur SaaS. Toutes les plateformes SaaS utilisées par l’entreprise doivent être évaluées en gardant à l’esprit le modèle de responsabilité partagée.
Il ne faut pas attendre une fuite de données pour agir !
Si les entreprises ne définissent pas correctement leur responsabilité partagée en matière d’applications SaaS, le manque de propriété et de préparation pourrait les empêcher de répondre de manière appropriée à une fuite de données ou à une menace interne.
____________________________
Par Jérôme Soyer, Vice President Avant Vente pour l’Europe Continental chez Varonis
puis