Débloquer la sécurité des données SaaS grâce à la responsabilité partagée dans le nuage
Comprendre les modèles de responsabilité partagée et éviter les erreurs critiques dans la protection des données SaaS
Fermez les yeux et pensez au nombre d'applications de type "as-a-service" que votre entreprise utilise actuellement. Et si je vous disais que ce nombre est plus proche de 10 fois votre estimation initiale ? Et si je vous disais qu'il est 20 fois votre estimation initiale ?
Les applications XaaS, y compris SaaS, vont au-delà de Microsoft 365. Elle s'applique à vos plateformes en nuage et à tous leurs services sous-jacents. Elle s'applique à votre organisation marketing, à votre équipe de vente, à votre groupe financier, etc.
Les applications SaaS - partout et en même temps !
L'entreprise moyenne utilise bien plus de 200 applications SaaS et, selon certains rapports de recherche, 71 % d'entre elles sont payées en dehors du service informatique. Pour tous les informaticiens, ce n'est pas une surprise. C'est la réalité. Chez HYCU, nous l'avons constaté dans notre propre organisation et chez nombre de nos clients et partenaires, qu'il s'agisse d'organisations natives du numérique ou d'entreprises FORTUNE 500 - cette réalité et le problème évident sont les mêmes. Voici un exemple de "pile technologique" que nous voyons souvent dans de nombreuses organisations. Cela n'inclut pas tous les services en nuage et les applications en tant que service associés à une application de production particulière.
Échantillon de pile technologique
S'attaquer à la zone grise : Responsabilité des données dans les applications SaaS
De nombreuses raisons expliquent la popularité des applications SaaS. Les applications SaaS apportent échelle et flexibilité. Une fois que vous avez souscrit à une application SaaS, vous n'avez plus à vous soucier de la gestion sur site, des correctifs ou de la mise à jour des éditions du serveur/centre de données. Visitez l'URL, connectez-vous et commencez à l'utiliser. C'est tout. Il n'y a pas plus difficile que cela. Bien sûr, de nombreuses applications SaaS gratuites vous proposent des mises à niveau dont vous n'avez pas forcément besoin, mais c'est un sujet pour un autre jour.
Toutefois, la simplicité du SaaS a donné lieu à un énorme malentendu. De nombreuses entreprises partent du principe qu'elles ne sont pas responsables de la sécurité, ce qui signifie qu'elles n'ont pas besoin de se préoccuper de la protection des données, de la conformité, de la sauvegarde, etc. C'est un malentendu très répandu et nous comprenons pourquoi les gens pensent ainsi, mais c'est fondamentalement faux. Et pas seulement erronée, mais dangereuse. Voyons pourquoi et expliquons plus en détail quelle est votre responsabilité dans le cadre d'une application ou d'un service cloud ou SaaS.
Le système - Votre fournisseur est responsable du Système, pas du Locataire.
Prenons un exemple, Jira Software, une application d'Atlassian. C'est l'une des applications les plus utilisées au monde. Vous ne me croyez pas ? Demandez à n'importe lequel de vos développeurs ou membres de votre équipe d'ingénieurs ! Une fois téléchargé ou hébergé sous forme d'éditions serveur et centre de données, Jira est principalement utilisé dans Atlassian Cloud. Atlassian Cloud = SaaS.
Pensez maintenant à Jira en tant que système et à Atlassian en tant que propriétaire et seul responsable. Cela signifie qu'en tant que propriétaire, vous devez gérer l'ensemble de l'infrastructure et de la sécurité, maintenir les lumières allumées et assurer la sécurité du système.
Le système - Votre fournisseur est responsable du système, pas du locataire (vous).
Le locataire - Vous êtes responsable de votre compte et de vos données, et non votre fournisseur de cloud.
Si vous êtes un apprenant visuel comme moi, voici une bonne analogie pour mieux comprendre la responsabilité partagée d'un système et d'un client. Pensez à un parking. Lorsque vous avez besoin de vous garer, vous vous rendez dans un garage, vous payez et vous pouvez vous garer. Le garage est responsable de l'éclairage et de l'accessibilité.
Mais qu'en est-il de votre voiture ? Que se passe-t-il si elle est rayée ou si quelqu'un entre par effraction et vole quelque chose ou se sert sur votre banquette arrière parce que vous l'avez laissée déverrouillée ? Le garage n'est pas responsable de cette situation, c'est vous qui l'êtes.
Le garage est le système ; la voiture est votre donnée. Cela signifie que vous êtes responsable de :
- la récupération des données/configurations perdues (supprimées, corrompues, cryptées, etc.) ;
- la récupération des données et des configurations perdues.)
- Maintenir des sauvegardes et des copies sûres de vos données régulièrement
- Respecter les exigences de conformité de votre organisation (NIS2, DORA, etc.)
- Sécuriser votre accès et vos autorisations au sein de votre entreprise
Le locataire - Vous êtes responsable de votre compte et de vos données, pas de votre fournisseur de cloud
Bien qu'il s'agisse d'un modèle simple, la plupart des administrateurs informatiques et des propriétaires d'applications n'en connaissent pas l'existence. C'est pourquoi nous constatons que les entreprises commettent les trois mêmes erreurs critiques :
Erreur n° 1 - Supposer que le fournisseur de SaaS récupérera les données pour vous.
La perte de données est une réalité, quelle que soit l'application que vous utilisez. Les suppressions accidentelles, les bogues, la corruption et même les menaces internes sont des phénomènes quotidiens. Généralement, la première réaction du client est de penser qu'il peut demander au fournisseur de SaaS de récupérer ses données. Bien sûr, la plupart des fournisseurs de SaaS essaieront de vous aider, mais la réalité est qu'ils ne peuvent pas le faire à votre place. Dans tous les modèles de responsabilité partagée, les fournisseurs mentionnent explicitement que la sauvegarde des données et la récupération des données perdues doivent être effectuées à partir des sauvegardes du client.
Le diagramme suivant illustre les domaines de responsabilité entre vous et Microsoft
Erreur n°2 - Supposer que les sauvegardes au niveau du système sont vos sauvegardes.
Oui, les plateformes en nuage et les applications SaaS conservent leurs sauvegardes. Mais il s'agit de sauvegardes au niveau du système utilisées pour la reprise après sinistre et les scénarios de perte de données au sein de leur infrastructure. Ces sauvegardes ne sont pas accessibles pour les restaurations au niveau du locataire.
Un ouragan ou une panne d'électricité ? Ne vous inquiétez pas, la plateforme en nuage dispose d'une haute disponibilité au niveau du système, d'une reprise après sinistre et de sauvegardes pour garantir que votre accès et vos données sont intacts.
L'un de vos administrateurs a accidentellement supprimé des données ? C'est votre responsabilité.
Par exemple, Salesforce conserve des sauvegardes au niveau du système, mais prend des mesures directes pour informer les clients de l'importance de sauvegarder leurs données.
Bonnes pratiques pour sauvegarder les données Salesforce
Erreur n°3 - Ne pas prendre au sérieux la conservation des données et la conformité.
Poursuivons avec l'analogie du garage. En cas d'accident ou en raison de la loi, vous devez avoir une assurance pour votre voiture ; vous ne pouvez pas dépendre de l'assurance du garage. Il en va de même pour la conformité.
Vous ne pouvez pas compter sur SaaS pour être conforme si vous devez respecter la conformité réglementaire (par exemple, HIPAA) ou les directives soutenues par le gouvernement comme NIS2 et DORA. Par exemple, Les réglementations NIS2 et DORA exigent explicitement que vous créiez des sauvegardes, que vous testiez la restauration et que vous fournissiez des documents attestant que vous avez effectué toutes les étapes nécessaires. Vous ne pouvez pas utiliser les sauvegardes au niveau du système pour cela, vous devez utiliser les vôtres.
NIS2 exige que les entités essentielles et importantes mettent en œuvre des mesures de sécurité de base pour faire face à des formes spécifiques de cybermenaces probables.
Que signifie tout cela ? Cela signifie qu'il ne faut pas tomber dans l'erreur que beaucoup pourraient commettre avant qu'il ne soit trop tard. Assurez-vous que vos données sont protégées, que vous êtes en mesure de les sauvegarder et de les récupérer dans l'éventualité inévitable d'une suppression accidentelle ou d'une attaque malveillante. Mais la plupart du temps, cela commence par la connaissance de ce que vous avez dans votre patrimoine de données. Bien qu'il soit intéressant de savoir exactement combien d'applications SaaS ou de services en nuage fonctionnent dans votre environnement, il arrive souvent que l'ignorance soit le point de départ de tout. Restez à l'écoute, nous vous expliquerons pourquoi vous devriez le savoir et à quel point cela peut être facile.
Intéressé à en savoir plus ?
- Démystifier la protection des données SaaS : La vérité sur la responsabilité partagée
- Éviter l'apocalypse des données SaaS : Le rôle de la protection des données dans la bataille pour sauver notre avenir numérique
- Pour plus de détails, inscrivez-vous pour une démonstration
- Élevez vos capacités avec R-Cloud
- Modèle de responsabilité partagée de l'AWS
- Déverrouillez le potentiel du R-Graph avec un test complet
Andy Fernandez est directeur de la gestion des produits chez HYCU, une société d'Atlassian Ventures. Toute la carrière d'Andy a été consacrée à la protection des données et à la reprise après sinistre pour les applications critiques. Après avoir occupé des postes liés aux produits et à la commercialisation chez Zerto et Veeam, Andy s'attache désormais à garantir que les entreprises protègent leurs applications SaaS et cloud critiques dans le cadre de l'ITSM et du DevOps. Lorsqu'il ne travaille pas sur la protection des données, Andy aime assister à des concerts, découvrir les restaurants locaux et aller à la plage.
Obtenez les dernières informations et mises à jour
Thank you for submitting the form!
The file should open in a new tab. If it doesn't, click the button below for direct download.
Thank you for submitting the form!
La vidéo du webinaire est désormais disponible ci-dessous.