5 problèmes de sécurité SaaS et comment les résoudre
Publié: 2020-03-31Lorsqu'une startup SaaS passe à la phase de mise à l'échelle, un changement se produit souvent.
Soudain, la sécurité s'ajoute à la liste sans cesse croissante des priorités des entreprises - et pour cause.
À mesure qu'une entreprise évolue, elle doit gérer plus de clients et plus de données que jamais auparavant. Et si l'entreprise vise à attirer des clients plus importants, ces clients auront sans aucun doute de plus grandes préoccupations en matière de sécurité et des normes plus strictes à respecter.
Bien sûr, il y a aussi la réalité qu'une fois que votre entreprise SaaS atteint la phase de mise à l'échelle, il est probable que votre équipe ait consacré beaucoup de temps et d'efforts à établir la place de l'entreprise sur le marché.
Stéphane Nappo, le responsable mondial de la sécurité de l'information (CISO) de l'année, a résumé ainsi le besoin de sécurité : « Il faut 20 ans pour bâtir une réputation, et quelques minutes de cyber-incident pour la ruiner.
Sécurité SaaS pour les startups par rapport aux scale-ups
Lorsque les entreprises SaaS démarrent, leur objectif principal est d'attirer et d'acquérir des clients pour soutenir leur croissance. Ca a du sens. Après tout, si vous n'avez pas de clients pour acheter votre produit, vous n'avez pas d'entreprise.
Dans la phase de démarrage, la sécurité ne figure même pas dans la liste des 10 principales raisons pour lesquelles les entreprises échouent. Les raisons les plus courantes pour lesquelles les startups échouent sont :
- Il n'y a pas assez de besoin sur le marché
- L'entreprise a manqué d'argent
- Il n'y avait pas la bonne équipe en place
- La concurrence les a surpassés
- Il y avait des problèmes de prix
- Le produit n'était pas convivial
- Le modèle commercial était insuffisant pour soutenir le produit
- La commercialisation s'effondre
- Les besoins des clients ont été ignorés
- Le produit est arrivé au mauvais moment
Cependant, lorsqu'une entreprise SaaS atteint la phase de mise à l'échelle, la sécurité devient une préoccupation majeure. Et comme l'a souligné Nappo, les violations peuvent faire tomber une entreprise bien établie en un rien de temps.
Mais quelle est la gravité du problème de la sécurité en ligne pour les entreprises SaaS à l'heure actuelle ? La réponse courte est, très sérieux. La sécurité est en fait la principale préoccupation lors de l'adoption de stratégies de cloud computing d'entreprise, selon 66 % des experts en informatique.
Les réalités de la sécurité des entreprises modernes
Malheureusement, la sécurité compromise n'est plus l'exception. Au premier semestre 2019, les violations ont laissé 4,1 milliards d'enregistrements exposés. Les entreprises de toutes sortes devraient dépenser plus de 1 000 milliards de dollars en mesures de sécurité entre 2017 et 2021. Et avec la montée en puissance de la technologie Internet des objets (IoT) et la prévalence des appareils connectés, ce nombre est appelé à gonfler.
Les estimations suggèrent que les dépenses consacrées aux seules solutions de sécurité IoT passeront de 1,5 milliard de dollars à plus de 3,1 milliards de dollars américains dans le monde d'ici 2021. Et les efforts fragmentaires de l'industrie de l'IoT en matière de solutions de sécurité jusqu'à présent ont été pour le moins préoccupants.
Le rythme des affaires n'a jamais été aussi rapide et l'accent mis sur la rapidité de mise sur le marché plutôt que sur la sécurité des données sur le marché est certainement omniprésent. Les gains à court terme d'être les premiers ou les premiers à commercialiser peuvent être très attrayants pour de nombreuses entreprises en croissance - et même des entreprises établies avec de nouveaux produits - mais les retombées à long terme peuvent être dévastatrices.
Il convient également de noter que les répercussions des violations de données ne s'arrêtent pas après la fin des gros titres de la première page des résultats de Google.
Par exemple, lorsque MyFitnessPal a été victime d'une violation de données, cela a touché environ 144 millions d'abonnés. En réponse, ces abonnés ont été encouragés à changer leurs mots de passe en plus des autres mesures de protection suggérées. Mais dans de nombreux cas, des suggestions comme celles-ci peuvent être trop peu trop tard.
Un an après la violation de données, ces informations compromises originales ainsi que les données piratées de 15 autres sites Web ont été proposées sur le marché du dark web au plus offrant.
En 2012, le géant du partage de fichiers SaaS Dropbox avait son propre dilemme de sécurité. Les pirates ont eu accès à 68 millions de comptes d'utilisateurs, y compris des adresses e-mail et des mots de passe cryptés. À partir de là, les 5 gigaoctets auraient également fait leur chemin vers le marché du dark web.
Des violations très médiatisées comme celles-ci incitent les entreprises SaaS à évoluer à examiner leurs propres mesures de sécurité et à prendre des mesures préventives. Au moins, ils devraient.
Problèmes de sécurité pour l'entreprise de mise à l'échelle SaaS
Les entreprises SaaS évolutives doivent répondre à la question suivante : leurs systèmes peuvent-ils répondre à leurs besoins de sécurité croissants, ou leurs pratiques et infrastructures actuelles les rendront-ils vulnérables au vol de données et à d'autres cyberactivités néfastes ?
Voici quelques-uns des principaux problèmes de sécurité liés à la mise à l'échelle des entreprises SaaS, et quelques conseils sur la façon de les résoudre à l'aide de la technologie et de processus plus stricts.
1. Quelles sont les meilleures pratiques de sécurité SaaS pour le stockage sécurisé des données client ?
Comme mentionné, les entreprises SaaS évolutives ont un nombre croissant de clients et une taille croissante de clients soucieux de la sécurité de leurs données. Les violations de données dans les entreprises sont les événements qui font généralement la une des journaux, mais les données peuvent être volées à des entreprises de toutes tailles.
Ces violations peuvent avoir un impact négatif sur la réputation de votre entreprise, la fidélisation de la clientèle et, en fin de compte, sur les revenus, sans oublier qu'elles peuvent avoir des effets durables sur les activités et la vie de vos clients.
Comme Steve Durbin l'a suggéré dans un récent article du Security Magazine, la sécurité doit aller au-delà de la simple perception. Au lieu de cela, toutes les facettes de l'entreprise doivent être engagées.
"Un programme d'assurance de la sécurité axé sur les affaires réussi nécessite des relations de travail positives et collaboratives dans toute l'organisation", a-t-il écrit.
Lorsque les entreprises comprennent les tenants et les aboutissants de la gestion de la sécurité au sein de leurs organisations, elles peuvent le transmettre à leurs clients en toute confiance.
À mesure qu'une entreprise SaaS évolue, c'est le moment idéal pour mettre en œuvre des processus et des plates-formes pour assurer la sécurité des données. Par exemple, il doit y avoir un processus d'évaluation continue des données que votre entreprise gère et d'identification des vulnérabilités potentielles, de prise de mesures pour remédier à ces vulnérabilités, puis de signalement immédiat et transparent de tout problème afin que des mesures puissent être prises immédiatement.
Et en termes de plates-formes sécurisées, des options telles qu'une plate-forme de facturation d'abonnement robuste peuvent maintenir un haut niveau de sécurité financière pour votre facturation SaaS - un argument de vente énorme pour les clients qui vous confient leurs informations financières. Les solutions qui offrent la certification PCI niveau 1 respectent les normes les plus strictes en matière de stockage des données de carte de crédit.
Établi il y a plus de dix ans, le Conseil des normes de sécurité PCI a été créé pour assurer la sécurité des données financières et peut infliger des amendes pouvant atteindre 100 000 $ par mois aux banques liées aux entreprises qui ne sont pas conformes.
Non seulement la conformité PCI est liée aux normes de sécurité, mais ces normes peuvent être maintenues en toute confiance car des audits sont effectués fréquemment et le processus peut prendre des mois. Les exigences strictes mises en place pour protéger les données des clients sont un élément essentiel pour les entreprises soucieuses de la sécurité.
Assurez-vous de faire vos devoirs lorsque vous vous renseignez sur les solutions SaaS avec lesquelles vous voudrez peut-être faire équipe pour vous assurer qu'elles respectent un niveau élevé de conformité en matière de sécurité. Cela n'a aucun sens de s'efforcer de créer des processus solides et un environnement sécurisé au sein de votre propre entreprise si vous vous intégrez à d'autres solutions qui ne font pas la même chose.
2. Qu'est-ce qu'un pare-feu exactement et comment peut-il aider mon entreprise ?
Le terme « pare-feu » est utilisé depuis de nombreuses années, et alors qu'une entreprise SaaS se prépare à évoluer, il est sage d'en savoir plus sur les pare-feu.
Les pare-feu agissent comme des systèmes de sécurité réseau qui surveillent et contrôlent le trafic entrant et sortant en fonction des paramètres de sécurité définis par votre entreprise. C'est votre première ligne de défense et cela crée une barrière entre vous et Internet en général.
Au sens le plus élémentaire du point de vue du client, un propriétaire d'ordinateur protège son PC avec un pare-feu en installant un logiciel antivirus. Ce logiciel analyse toutes les informations entrantes des sites Web visités pour s'assurer que le trafic entrant est protégé.
Si ce client décide d'effectuer un achat ponctuel ou de s'abonner à un service assorti de frais mensuels récurrents, les informations partagées par le client ne sont plus protégées uniquement par le pare-feu de son propre ordinateur. Ces données sont envoyées ailleurs, pour être stockées pour de futures facturations ou achats. La société SaaS avec laquelle ils travaillent doit disposer de ses propres pare-feu.
Par conséquent, s'assurer que votre entreprise SaaS est protégée par un pare-feu sécurisé est essentiel pour la sécurité de vos propres données ainsi que celle de vos clients. En outre, les entreprises doivent envisager de s'associer uniquement à une technologie protégée par des pare-feu à la pointe de la technologie afin de protéger pleinement les données qu'elles stockent.
3. Les mesures de sécurité SaaS ralentiront-elles mes processus métier ?
De par la nature même d'un produit SaaS, les données doivent être rapidement et facilement accessibles. Plus l'information peut être obtenue rapidement, plus l'entreprise devient agile, ce qui est essentiel pour conserver un avantage concurrentiel.
Une entreprise évolutive apporte beaucoup plus de données que jamais auparavant, car elle gère toutes les informations pour plus de clients que lorsqu'elle était en phase de démarrage. Par exemple, considérez les bases de données qui exécutent des scripts qui s'enlisent avec des informations inutiles. Ces données peuvent s'emmêler et ralentir les processus.
Cependant, certaines mesures peuvent être prises pour s'assurer que les scripts sont accélérés et que vous avez accès rapidement aux résultats de données nécessaires. De plus, avec le stockage des données dans le cloud, l'accessibilité augmente grâce aux processus accélérés par l'apprentissage automatique et l'intelligence artificielle (IA).
4. Si mon entreprise protège les données des utilisateurs, cela réduit-il la transparence ?
La sécurité des données peut être une arme à double tranchant dans ce cas. Bien qu'une entreprise puisse garantir à ses clients que leurs informations sont stockées en toute sécurité, elle peut hésiter à illustrer quelles sont ces mesures de sécurité et risquer de compromettre cette sécurité. En n'étant pas franc avec les clients, il peut sembler que l'entreprise n'est pas transparente.
Les entreprises SaaS peuvent cependant maintenir la transparence tout en démontrant leur protocole de sécurité. Un accord de niveau de service (SLA) est utilisé pour expliquer à un client ce qu'il peut attendre de l'entreprise, comme les temps d'arrêt et les temps de réponse en cas de problème avec le service. Un SLA offre également la possibilité de discuter des problèmes de sécurité, décrivant les étapes pour informer un client en cas de violation de données.
De plus, il est généralement de notoriété publique que les données seront stockées dans le cloud ou sur un autre serveur. Informez vos clients des détails du stockage des données de votre entreprise via votre politique de confidentialité afin qu'ils comprennent ce qui peut arriver en cas de panne ou d'un autre problème entraînant l'arrêt des serveurs sur lesquels les données sont stockées.
5. Quelles mesures de sécurité SaaS dois-je prendre en compte lorsque je travaille avec un fournisseur ?
En plus de la protection par pare-feu, une entreprise SaaS évolutive doit s'assurer que toute plate-forme avec laquelle elle s'associe peut offrir un logiciel de détection des intrusions sur le réseau et de diffusion de contenu. Associée à une protection par pare-feu rigoureuse, la détection des intrusions sur le réseau surveille en permanence un système à la recherche d'activités malveillantes. Si une activité est détectée, une alerte est immédiatement envoyée à l'administrateur réseau, l'invitant à agir.
La détection d'intrusion réseau diffère d'un pare-feu car un pare-feu fonctionne à partir d'un ensemble statique de règles prédéfinies, tandis que la détection d'intrusion réseau met fin activement aux connexions. Ils sont interconnectés mais ont des responsabilités différentes.
Dans le même temps, la sécurité doit encapsuler les réseaux de diffusion de contenu (CDN) qui permettent une transmission rapide des données et permettent un taux élevé de disponibilité et de performances. Les CDN d'aujourd'hui doivent également s'assurer que la transmission est protégée par des protocoles de sécurité qui sont toujours « activés ».
Quels que soient les fournisseurs et les plates-formes que vous pouvez sélectionner, n'oubliez pas que ce qui peut être la crème de la crème en matière de sécurité à un moment donné peut ne pas toujours être le plus sûr dans les années à venir. Vous devez vous assurer que les partenaires que vous sélectionnez maintiennent un haut niveau de sécurité à l'avenir, car les protocoles changent, les logiciels sont mis à jour et de nouvelles menaces apparaissent.
Maintenir une sécurité SaaS efficace est un voyage continu
Bien que votre entreprise SaaS se soit concentrée sur des éléments tels que la croissance de la clientèle, les mises à jour de produits et la survie de base à ses débuts, elle nécessite un changement d'orientation à mesure qu'elle progresse.
Lorsque vous vous préparez à gérer une multitude d'informations supplémentaires, allant de l'augmentation de la facturation SaaS et de la gestion des informations client à la transparence et à la sécurité des partenariats, assurez-vous d'avoir des systèmes en place pour gérer et sécuriser ces données. Et rappelez-vous, la sécurité est un voyage continu, pas un coup unique.
Il est extrêmement important de revoir en permanence les mécanismes de défense de sécurité de votre entreprise. Mettez en place des personnes, des processus et des solutions, à la fois en interne et par le biais de partenariats et de fournisseurs, qui peuvent être maintenus de manière fiable à un niveau élevé de conformité et de protocole de sécurité, maintenant et à l'avenir.
Protégez votre entreprise SaaS avec les dernières connaissances sur la cybersécurité et les outils de conformité à portée de main.