Blog

La vue d'ensemble s'arrête au M365. Vos données ne le sont pas.

6682b12146194e3fd0dbca7b_Andy-Fernandez-color.jpg
Andy Fernandez
Director of Product Management
Publié
Mis à jour

En entrant dans presque n'importe quelle entreprise de taille moyenne, vous trouverez la même configuration de sécurité : Microsoft 365 avec un certain niveau de couverture Purview, peut-être Defender, et une case à cocher à côté de "protection des données" sur le dernier questionnaire d'audit.

Etudiez ensuite l'empreinte réelle de SaaS.

Confluence. Salesforce. Box. GitHub. Jira. Slack. Workday. Notion. Zendesk. DocuSign. Asana. Une poignée d'outils départementaux dont personne ne se souvient qu'ils ont été approuvés par le service informatique.

C'est là que se trouvent les données sensibles aujourd'hui. Et pour la plupart des équipes de sécurité des moyennes entreprises, c'est un trou noir.

Ce que Purview couvre réellement

Purview est un outil raisonnable pour ce qu'il est : une couche de gouvernance des données et de DLP pour Microsoft 365. Si vous avez le bon niveau de licence - généralement E5 ou le module complémentaire de conformité autonome - vous pouvez classer les données dans SharePoint, OneDrive, Exchange et Teams. Vous pouvez rédiger des politiques DLP. Vous pouvez voir certaines étiquettes de sensibilité se propager.

Purview ne couvre pas votre pipeline Salesforce. Il ne peut pas vous dire qui a un accès permanent au dossier Box dans lequel le service financier dépose les projections trimestrielles. Il ne voit pas l'outil RH, l'outil de recrutement, l'outil d'assistance ou la douzaine d'autres endroits où vivent des données sensibles.

Si vos données ne se trouvaient que chez Microsoft, tout irait bien. Mais vos données ne se trouvent pas uniquement dans Microsoft 365.

La véritable pile du marché intermédiaire

Une entreprise type de 500 à 3 000 personnes utilise entre 50 et 200 applications SaaS. Une grande partie d'entre elles contiennent des données sensibles : informations confidentielles sur les clients, données financières, code source, dossiers de ressources humaines, informations médicales, contrats, informations d'identification.

La plupart de ces données sont.. :

  • largement partagées par défaut (les apps SaaS optimisent pour la collaboration, pas le moindre privilège)
  • Accessible à beaucoup plus de personnes qu'on ne le pense
  • Invisible pour les outils de sécurité que l'entreprise possède déjà
  • Augmente en volume et en sensibilité chaque trimestre

Personne ne l'avait prévu. Cela s'est produit parce que les équipes commerciales ont acheté des outils plus rapidement que la sécurité ne pouvait les inventorier, et parce que l'histoire de la gouvernance pour les SaaS non-Microsoft a toujours été le problème de quelqu'un d'autre.

Pourquoi la DSPM existante ne résout pas le problème

La réponse évidente est la DSPM. Ces plates-formes existent spécifiquement pour découvrir, classer et gérer les données dans les magasins SaaS, IaaS et non structurés.

Voilà le problème : aucune d'entre elles n'a été conçue pour le marché intermédiaire.

Ils ont été conçus pour les acheteurs du Fortune 500 disposant de budgets à six chiffres, d'équipes dédiées à la sécurité des données et d'une marge de manœuvre suffisante pour effectuer des déploiements de longue durée. Demandez à une entreprise de 400 personnes de mettre en place un fournisseur de DSPM d'entreprise et vous obtiendrez généralement trois réactions dans l'ordre : le devis, le silence et le non poli.

Les obstacles spécifiques :

  • Coût. La plupart des plates-formes DSPM démarrent dans les six chiffres par an. Pour les budgets de sécurité des entreprises de taille moyenne, il s'agit de l'ensemble du poste de l'outillage.
  • Complexité du déploiement. Chaque application SaaS a besoin d'une intégration, chaque intégration a besoin d'informations d'identification et de champs d'application, et chaque champ d'application doit faire l'objet d'un examen de sécurité. Une équipe réduite ne peut pas passer un trimestre à câbler des connecteurs.
  • Frais généraux opérationnels. Le DSPM génère des résultats. Les résultats nécessitent un triage. Le triage nécessite des analystes. Les équipes du marché intermédiaire n'ont pas d'analystes - elles ont une personne chargée de la sécurité qui gère également l'IAM, patche les serveurs et gère le programme de formation sur l'hameçonnage.
  • Le parti pris de l'entreprise est intégré au produit. L'interface utilisateur suppose que vous avez un analyste de la sécurité des données qui la lit. Les politiques supposent que vous disposez d'une équipe pour les mettre au point. Les alertes supposent que quelqu'un a le temps d'enquêter.

Le résultat : les entreprises de taille moyenne paient pour un outil d'entreprise qu'elles ne peuvent pas rendre opérationnel, ou bien elles s'en passent et espèrent.

Le risque n'est pas théorique

J'ai vu ce schéma à plusieurs reprises :

  • Un entrepreneur conserve l'accès à Salesforce 90 jours après avoir été débarqué parce que personne ne possède la liste de contrôle de déprovisionnement pour les applications non IDP.
  • Un ingénieur exporte une liste de clients de HubSpot vers un Google Drive personnel "juste pour travailler hors ligne".
  • Un représentant commercial qui quitte l'entreprise télécharge trois ans de données de compte à partir de Gong avant son dernier jour.
  • Un dossier Box mal configuré contenant des preuves SOC 2 est partagé avec "toute personne disposant du lien" pendant 14 mois.

Aucune de ces situations n'apparaîtrait dans Purview. Aucun n'apparaîtrait dans un SIEM sans un travail personnalisé que personne n'a le temps de faire. Et la plupart n'apparaîtraient pas non plus dans un DSPM existant, parce que le client ne pouvait pas se permettre de le déployer contre cette application SaaS en premier lieu.

Il ne s'agit pas d'attaques hypothétiques. Il s'agit d'incidents réels auxquels les entreprises de taille moyenne sont confrontées en toute discrétion - ceux qui apparaissent dans un rapport post-mortem plutôt que dans un tableau de bord.

Pourquoi le problème n'est pas résolu

Le fossé persiste parce que le modèle DSPM traditionnel ne permet pas de réaliser des économies. Construire un scanner pour chaque application SaaS, maintenir les connecteurs, gérer les limites de taux d'API, classer les données à l'échelle, c'est de l'ingénierie coûteuse, et les fournisseurs fixent leurs prix en conséquence. Les acheteurs du marché intermédiaire sont écartés, et les fournisseurs montent en gamme pour chasser les contrats plus importants. Le cycle se poursuit.

Pendant ce temps, l'empreinte SaaS ne cesse de croître. Chaque nouvel outil de service, chaque acquisition, chaque achat "nous avons juste besoin de cela pour l'équipe" ajoute une nouvelle poche de données sensibles que personne ne surveille. Le fossé ne se comble pas. Il se creuse.

Les équipes de sécurité du marché intermédiaire le savent. Elles ne sont pas naïves. Elles sont coincées entre un outil tarifé pour quelqu'un d'autre et un problème qui ne cesse de s'aggraver. La plupart d'entre elles se sont accommodées de ce problème de la même manière que vous vous accommodez de tout risque que vous ne pouvez pas vous permettre de réparer : vous le documentez, vous espérez et vous passez à autre chose.

Voilà l'état honnête de la gestion de la posture de sécurité des données en dehors de Microsoft 365 pour la plupart des entreprises de taille moyenne. Elle n'est pas résolue. Il s'en faut de peu. Et Purview n'a pas l'intention d'y remédier.

Categories:
#Data Protection as a Service #Risk Management #Security
Continue Reading
Post
Si Microsoft Teams est votre infrastructure téléphonique, protégez-la comme telle
iManage keeps the platform running. Recovering your documents is still your job.
Post
Comprendre votre responsabilité dans la résilience des données d'iManage Cloud
Your security stack sees 3% of your company. Your backup has the rest. HYCU aiR reads backup data to answer security and compliance questions in plain English.
Post
Présentation de l'HYCU aiR
Voir tous les articles du blog