Sécurité du modèle SaaS

Écrit par Frédéric Simonet.

Des experts donnent leur avis sur la question de la sécurité du modèle SaaS. Eclairage sur les critères à retenir avant d'opter pour une solution : réversibilité des données, confidentialité, intégrité, disponibilité.

Source : ARKOON Network Security
Année : 2007

Le modèle SaaS : issue de la sécurité des données ?

Le Software as a Service est une tendance forte en ce début 2008. Daniel Fages , fondateur d'Arkoon revient sur l'utilisation des SaaS et les implications en terme de sécurité informatique que cela engendre.

Q : Pour l'instant combien de vos clients utilisent du SaaS pour sécuriser leurs données ? Quelles parts de marché cela représente ?

R : À l'heure actuelle, le développement du SaaS n'en est qu'à ses débuts, la part de marché n'est donc pas significative.

Progression importante du SaaS en 2008

Q : Quand pensez-vous que cela va vraiment exploser ? A votre avis 2008 est-elle l'année du SaaS ?

R : Il est toujours difficile de faire ce genre de prédiction, mais je pense effectivement que l'année 2008 verra une progression importante de l'utilisation de logiciels en mode SaaS.

Le SaaS s'impose dans les petites entreprises

Q : Y a-t-il des secteurs d'activité pour lesquels le SaaS s'impose plus naturellement ? Les entreprises préfèrent-elles externaliser l'ensemble de leurs données ou seulement une infime partie ? Quelles sont les données les plus critiques ?

R : Le SaaS s'impose beaucoup plus rapidement dans les petites entreprises, car elles sont plus flexibles et surtout parce qu'elles ne disposent en général pas des compétences internes pour administrer correctement des applications complexes. Les applications de type ERP, CRM, outils collaboratifs sont d'ailleurs les plus utilisées dans le modèle SaaS, ces applications renfermant généralement des données très sensibles pour l'entreprise (fichier clients, propositions, prix de revient, etc.)

Facteurs de risque : réversibilité, confidentialité, intégrité, disponibilité

Q : Quelles sont les questions qu'un responsable informatique doit se poser avant de migrer vers une approche SaaS ?

R : La réversibilité (capacité à quitter le fournisseur SaaS tout en récupérant ses données) est assurément le point crucial dont il faut s'assurer quand on migre vers une approche SaaS. La sécurité de l'information (Confidentialité, Intégrité, Disponibilité) est un autre sujet d'extrême importance.

L'approche SaaS améliore le niveaux de sécurité

Q : Que répondez-vous aux éditeurs de solutions de sécurité, (Kaspersky Symantec, Panda McAfee) qui considèrent que le SaaS est une aubaine pour les hackers en ce sens que toutes les données sensibles sont stockées dans un seul et même endroit ? Selon-vous, en quoi le SaaS apporte-t-il plus de sécurité ?

R : Je répondrais par une autre question: est-il plus facile de sécuriser des milliers de serveurs éparpillés dans des lieux différents ou un datacenter qui centralise les mêmes données ? Une très grande majorité des entreprises (notamment les petites et moyennes) n'ont pas accès à la compétence nécessaire pour sécuriser leur système d'information, l'approche SaaS devrait permettre à ces entreprises d'améliorer leur niveau de sécurité (pour peu que le fournisseur SaaS investisse largement sur la sécurisation du SI).

Prendre une assurance

Q : Il semble que le principal frein à l'adoption du SaaS soit la responsabilité du prestataire ? Exemple : les problèmes de la responsabilité en cascade dans plusieurs affaires aux États-Unis. Quelles sont les garanties que vous donnez à vos clients en cas d'une lourde perte de données ? Dédommagements, compensation financière ?

R : Nous le savons tous la sécurité à 100% n'existe pas. Et, quand on arrive à des niveaux de 99% de sécurité, le moindre dixième de pour cent de gagné peut coûter très cher. C'est là que les assurances doivent prendre le relais.

Le SaaS doit intégrer le chiffrement

Face au succès annoncé du modèle des logiciels en tant que service (SaaS) en Europe, un grand spécialiste de la sécurité conseille vivement aux entreprises de prendre en compte les implications en matière de sécurité avant d’externaliser leurs applications ou leurs données, dans le cadre d’un modèle de fourniture par une tierce partie.

Dans le modèle SaaS de distribution de logiciels, les applications sont hébergées par l’éditeur ou un fournisseur de service, et mises à la disposition des clients via un réseau, en général Internet, avec paiement à l’utilisation.

Les clients d'Arkoon réfléchissent à une migration vers le SaaS

« En Europe, la majorité de nos clients sont en train de réfléchir à la mise en place de solutions SaaS », déclare Daniel Fages, fondateur d’ARKOON Network Sécurity. « Mais cette tendance engendre des problèmes spécifiques d’intégrité du réseau et de sécurité des données. Le modèle SaaS permet par exemple de télécharger à tout moment des versions révisées des applications, chacune d’elle étant un risque potentiel pour le réseau. »

L’intégrité du réseau est mise en danger

« L’association d’applications dotées de nombreuses fonctionnalités, et de la livraison de plusieurs versions via SaaS, peut augmenter notablement les menaces sur l’intégrité d’un réseau d’entreprise », poursuit M. Fages.

La sécurité doit suivre les mises à jour

« Les utilisateurs du SaaS devraient donc s’assurer que la mise à jour permanente du logiciel ne se fait pas sans une vérification suffisante de la sécurité de chaque nouvelle version publiée. En général, un éditeur de logiciels effectue des tests détaillés de sécurité entre la version alpha et la finale. Avec le SaaS, ceci peut se produire chaque jour. »

« Les applications SaaS ont toujours plus de fonctionnalités, ce qui demande davantage de temps et de ressources pour conduire les tests de sécurité. Les analyseurs automatisés peuvent accélérer le processus, mais dans la plupart des cas, ils ne découvrent que 20 % des vulnérabilités potentielles. Le reste ne peut être identifié que par des tests rigoureux, parfois lourds. »

Une croissance à deux chiffres

L'écart avec les États-Unis va se réduire d'ici à 2011

Dans le domaine de l’ERP et de le CRM, de récentes études conduites en Europe de l’Ouest par IDC prévoient une croissance à deux chiffres pour les applications à la demande. En dépit de la pénétration élevée du haut débit en Europe, l’adoption du modèle SaaS a quelques années de retard sur les États-Unis. Mais l’écart devrait se réduire entre 2007 et 2011, ce qui implique un taux de croissance très élevé en Europe.

Solutions concernées : ERP, BI et CRM principalement

Les applications d’ERP, de BI et de CRM devraient passer à une livraison de type SaaS. Par exemple, au cours des cinq prochaines années, IDC s’attend à ce que les applications de CRM à la demande contribuent pour plus de la moitié à la croissance nette du marché européen de la CRM .

Les attaques vont se développer, le chiffrement est vital

Selon M. Fages, les attaques sur les applications hébergées devraient se développer, à cause de l’accroissement de la valeur des données conservées par des tiers, telles que des détails bancaires, l’identification des clients ou les informations des e-transactions : « La livraison de telles applications par le SaaS va conduire les entreprises à externaliser le stockage, la maintenance et la sauvegarde des données critiques, comme les dossiers financiers ou les informations concernant les clients et les fournisseurs. Jusqu’ici, ces données ne sortaient jamais des limites de l’entreprise.

Par conséquent, le chiffrement est le minimum vital pour protéger une entreprise (et ses clients) contre la perte, le vol ou l'endommagement des données. Pour le moment et dans le contexte du SaaS, le chiffrement est rarement pris en considération, même après coup. »

Facteurs de risque

Concernant le modèle SaaS, les principaux soucis de M. Fages sont les suivants :

  • Multiplication des versions. La multiplication des versions du logiciel « à la demande » peut faciliter la propagation des virus, en l’absence de tests rigoureux avant la publication (ce qui n’est pas toujours possible dans le cas de mises à jour quotidiennes).
  • Données non chiffrées. La gestion et le traitement de données sensibles non chiffrées, externalisées dans le cadre du SaaS, augmente les risques de perte, vol et fraude.
  • Hébergeur externe. L’utilisation de tierces parties pour l’hébergement. Le niveau des SLA pour le traitement et la sécurité dépend de tous les acteurs impliqués dans la livraison du logiciel ou des contenus, et par exemple de l’utilisation d’un fournisseur de services d’hébergement. Les clients du SaaS s’assurent rarement de la qualité de toutes les parties impliquées dans le traitement de leurs données.
  • Droits d'accès. La multiplicité et la complexité des droits accordés aux utilisateurs. La livraison directe sur l’ordinateur de bureau, via SaaS, soulève le problème de la gestion des droits ainsi que celui de nouveaux points possibles pour un accès non autorisé.

Autre facteur de risque : technologie Ajax

Les applications Web2.0 s’appuient largement sur Ajax, ce qui déclenche de nombreuses requêtes HTTP pour chaque transition ou mise à jour de page. Chacune s’accompagne d’un risque d’attaque (par injection de snippet SQL, insertion d’un script non validé, etc.).

Des outils pour tester et sécuriser Ajax largement disponibles

Les outils pour tester et sécuriser ces applications sont largement disponibles, mais le très grand nombre de requêtes Ajax générées lors d’une session SaaS typique peut conduire à un accès non autorisé au réseau ou à la pénétration de virus.

Arkoon soutient fermement le modèle SaaS

« Entendons-nous bien, nous soutenons fermement le modèle SaaS et nous entendons l’utiliser largement pour livrer de plus en plus de logiciels, directement ou via nos partenaires. Mais les avantages qui rendent le SaaS aussi intéressant, à savoir le logiciel à la demande, les mises à jour en permanence et l’hébergement tierce partie, obligent les utilisateurs à s’assurer de disposer d’un niveau suffisant de sécurisation du réseau et de chiffrement des données, avant même de s’y intéresser », conclut M. Fages.