Comprendre les modèles de responsabilité partagée et éviter les erreurs critiques dans la protection des données SaaS
Fermez les yeux et pensez au nombre d'applications de type "as-a-service" que votre entreprise utilise actuellement. Et si je vous disais que ce nombre est plus proche de 10 fois votre estimation initiale ? Et si je vous disais qu'il est 20 fois supérieur à votre première estimation ?
Les applications XaaS, y compris SaaS, vont au-delà Microsoft 365. Elles s'appliquent à vos plateformes en nuage et à tous leurs services sous-jacents. Elle s'applique à votre organisation marketing, à votre équipe de vente, à votre groupe financier, etc.
Applications SaaS - partout et en même temps !
L'entreprise moyenne utilise bien plus de 200 applications SaaS et, selon certains rapports de recherche, 71 % d'entre elles sont payées en dehors du service informatique. Pour tous les informaticiens, ce n'est pas une surprise. C'est la réalité. Chez HYCU, nous l'avons constaté dans notre propre organisation et chez bon nombre de nos clients et partenaires, qu'il s'agisse d'organisations natives du numérique ou de sociétés FORTUNE 500 - cette réalité et le problème évident sont les mêmes. Voici un exemple de "pile technologique" que nous voyons souvent dans de nombreuses organisations. Il n'inclut pas tous les services en nuage et les applications en tant que service associés à une application de production particulière.
Aborder la zone grise : La responsabilité des données dans le SaaS
De nombreuses raisons expliquent la popularité des applications SaaS. Les applications SaaS sont évolutives et flexibles. Une fois que vous avez souscrit à une application SaaS, vous n'avez plus à vous soucier de la gestion sur site, des correctifs ou de la mise à jour des éditions du serveur/centre de données. Visitez l'URL, connectez-vous et commencez à l'utiliser. C'est tout. Il n'y a pas plus difficile que cela. Bien sûr, il existe de nombreuses applications SaaS gratuites qui vous proposent des mises à jour dont vous n'avez pas forcément besoin, mais c'est un sujet pour un autre jour.
Cependant, la simplicité du SaaS a donné lieu à un énorme malentendu. De nombreuses entreprises partent du principe qu'elles ne sont pas responsables de la sécurité et qu'il n'est donc pas nécessaire de se préoccuper de la protection des données, de la conformité, de la sauvegarde, etc. C'est un malentendu très répandu et nous comprenons pourquoi les gens pensent ainsi, mais c'est fondamentalement faux. Ce n'est pas seulement une erreur, c'est aussi un danger. Voyons pourquoi et expliquons plus en détail quelle est votre responsabilité dans le cadre d'une application ou d'un service cloud ou SaaS.
Le système - Votre fournisseur est responsable du système, pas le locataire (vous).
Prenons un exemple, Jira Softwareune application Atlassian . C'est l'une des applications les plus utilisées au monde. Vous ne me croyez pas ? Demandez à n'importe lequel de vos développeurs ou membres de votre équipe d'ingénieurs ! Une fois téléchargée ou hébergée sous forme d'éditions serveur et centre de données, Jira est principalement utilisée dans Atlassian Cloud. Atlassian Cloud = SaaS.
Maintenant, considérez Jira comme le système et Atlassian comme son propriétaire et son unique responsable. Cela signifie qu'en tant que propriétaire, il doit gérer toute l'infrastructure et la sécurité, maintenir les lumières allumées et assurer la sécurité du système.
Le locataire - Vous êtes responsable de votre compte et de vos données, et non de votre fournisseur de services en nuage.
Si, comme moi, vous avez l'habitude d'apprendre par l'image, voici une bonne analogie pour mieux comprendre un système et la responsabilité partagée des clients. Pensez à un parking. Lorsque vous avez besoin de vous garer, vous vous rendez dans un garage, vous payez et vous pouvez vous garer. Le garage est responsable de l'éclairage et de l'accessibilité.
Mais qu'en est-il de votre voiture ? Que se passe-t-il si elle est rayée, si quelqu'un entre par effraction et vole quelque chose ou se sert sur la banquette arrière parce que vous l'avez laissée ouverte ? Le garage n'est pas responsable de cette situation, c'est vous qui l'êtes.
Le garage est le système ; la voiture est votre donnée. Cela signifie que vous êtes responsable de :
- Récupération des données/configurations perdues (supprimées, corrompues, cryptées, etc.)
- Conserver régulièrement des sauvegardes et des copies sûres de vos données
- Répondre aux exigences de conformité de votre organisation (NIS2, DORA, etc.)
- Sécuriser vos accès et permissions au sein de votre entreprise
Bien qu'il s'agisse d'un modèle simple, la plupart des administrateurs informatiques et des propriétaires d'applications n'en connaissent pas l'existence. C'est pourquoi les trois mêmes erreurs critiques sont commises par les entreprises :
Erreur n° 1 - Supposer que le fournisseur de logiciel-service récupérera les données pour vous.
La perte de données est une réalité, quelle que soit l'application utilisée. Les suppressions accidentelles, les bogues, la corruption et même les menaces internes font partie du quotidien. Généralement, la première réaction du client est de penser qu'il peut demander au fournisseur de SaaS de récupérer ses données. Bien sûr, la plupart des fournisseurs de SaaS essaieront de vous aider, mais la réalité est qu'ils ne peuvent pas le faire à votre place. Dans tous les modèles de responsabilité partagée, les fournisseurs mentionnent explicitement que la sauvegarde des données et la récupération des données perdues doivent être effectuées à partir des sauvegardes du client.
Erreur n°2 - Supposer que les sauvegardes au niveau du système sont vos sauvegardes.
Oui, les plateformes en nuage et les applications SaaS conservent leurs sauvegardes. Mais il s'agit de sauvegardes au niveau du système, utilisées pour la reprise après sinistre et les scénarios de perte de données au sein de leur infrastructure. Ces sauvegardes ne sont pas accessibles pour les restaurations au niveau du locataire.
Un ouragan ou une panne de courant ? Pas de problème, la plateforme en nuage dispose d'une haute disponibilité au niveau du système, d'une reprise après sinistre et de sauvegardes pour s'assurer que votre accès et vos données sont intacts.
L'un de vos administrateurs a-t-il accidentellement supprimé des données? C'est votre responsabilité.
Par exemple, Salesforce conserve des sauvegardes au niveau du système, mais prend des mesures directes pour informer les clients de l'importance de sauvegarder leurs données.
Erreur n° 3 - Ne pas prendre au sérieux la conservation des données et la conformité.
Poursuivons l'analogie avec le garage. En cas d'accident ou en raison de la loi, vous devez avoir une assurance pour votre voiture ; vous ne pouvez pas dépendre de l'assurance du garage. Il en va de même pour la conformité.
Vous ne pouvez pas compter sur SaaS pour être conforme si vous devez respecter la conformité réglementaire (par exemple, HIPAA) ou les directives soutenues par le gouvernement comme NIS2 et DORA. Vous devez être conforme.
Par exemple, les règlements NIS2 et DORA exigent explicitement que vous créiez des sauvegardes, que vous testiez la restauration et que vous fournissiez la documentation attestant que vous avez effectué toutes les étapes nécessaires. Vous ne pouvez pas utiliser les sauvegardes du système pour cela, vous devez utiliser les vôtres.
Qu'est-ce que cela signifie ? Cela signifie qu'il ne faut pas tomber dans l'erreur que beaucoup font avant qu'il ne soit trop tard. Assurez-vous que vos données sont protégées, que vous êtes en mesure de les sauvegarder et de les récupérer dans l'éventualité inévitable d'une suppression accidentelle ou d'une attaque malveillante. Mais la plupart du temps, il faut d'abord savoir ce que l'on a dans son patrimoine de données. Bien qu'il soit intéressant de savoir exactement combien d'applications SaaS ou de services en nuage fonctionnent dans votre environnement, il arrive souvent que l'ignorance soit à l'origine de tous les problèmes. Restez à l'écoute, nous vous expliquerons pourquoi vous devriez savoir, et à quel point cela peut être facile.
Vous souhaitez en savoir plus ?
- Pour plus de détails,inscrivez-vous à une démonstration
- Améliorez vos capacités avecR-Cloud
- Découvrez le potentiel de R-Graph grâce à untest complet
Obtenir les dernières informations et mises à jour
.png){kind=small}
