La Cloud Security Alliance améliore la sécurité SaaS

Des experts en sécurité indépendants ont salué ce « premier ensemble normalisé de contrôles de sécurité SaaS ». Lancé cette semaine et soutenu par la Cloud Security Alliance (CSA), le SaaS Security Capability Framework (SSCF) promet de combler des lacunes persistantes relatives à la gestion des risques liés aux tiers. Essentiellement, le framework apporte une norme industrielle qui définit les capacités techniques minimales de sécurité requises par les applications SaaS, en particulier celles qui relèvent de la responsabilité du client dans le cadre dans ce que l’on appelle communément le modèle de responsabilité de sécurité partagée. Les entreprises ont mis en place des architectures sophistiquées de type « zero trust » autour de leurs environnements sur site et IaaS. Sauf que, depuis longtemps, les contrôles de sécurité des applications SaaS sont restés opaques. Ce décalage crée un risque massif et inutile. C’est ce risque que cherche à combler le SaaS Security Capability Framework.

La publication de ces recommandations fait suite aux récentes attaques ayant ciblé les applications SaaS de Salesforce, qui ont focalisé le secteur sur la question plus générale de la sécurité des applications cloud. Selon Lefteris Skoutaris, vice-président associé chargé des solutions de gouvernance, risque & conformité (GRC) pour la Cloud Security Alliance, « le framework SSCF comble une lacune critique dans la sécurité SaaS en établissant la première norme industrielle pour les contrôles de sécurité des opérations orientées clients. Ce framework illustre la mission de la Cloud Security Alliance qui consiste à réunir divers partenaires industriels (des fournisseurs SaaS aux entreprises clientes) en vue de créer des solutions pratiques qui traduisent les exigences de conformité en capacités de sécurité exploitables que les entreprises peuvent réellement configurer et mettre en œuvre. »

Six domaines de sécurité couverts

Le SaaS Security Capability Framework spécifie les contrôles dans les champs suivants :

• Contrôle des changements et gestion de la configuration ;
• Sécurité des données et gestion du cycle de vie de la confidentialité ;
• Gestion des identités et des accès ;
• Interopérabilité et portabilité ;
• Journalisation et surveillance ;
• Gestion des incidents de sécurité, investigation informatique et analyse forensic du cloud.

Ces domaines traduisent les exigences métiers de haut niveau en fonctionnalités de sécurité SaaS tangibles que les clients peuvent réellement configurer et sur lesquelles ils peuvent compter, comme la livraison des logs, l'application de l'authentification unique Single Sign-On (SSO), les directives de configuration sécurisée et la notification des incidents. Cette approche complète plutôt qu’elle ne remplace les frameworks de sécurité d’entreprises, comme la norme ISO 27001. « Le SaaS Security Capability Framework représente une avancée significative pour le secteur », a déclaré Brian Soby, cofondateur et directeur technique du fournisseur de solutions de sécurité SaaS AppOmni, et auteur principal du SSCF. « Il fournit une norme claire, cohérente et indispensable qui aidera les entreprises à dépasser les évaluations des risques obsolètes et à véritablement intégrer les principes du zero trust dans leurs environnements SaaS. »

Vers des contrôles de sécurité SaaS plus cohérents

Le secteur est depuis longtemps confronté à un manque de cohérence dans les contrôles de sécurité SaaS. En l'absence de norme sectorielle, les entreprises, les fournisseurs SaaS et les équipes de sécurité ont fini par multiplier leurs efforts ou prendre des risques inutiles. Le SSCF relève ce défi de longue date en proposant un framework pratique de capacités de sécurité pouvant être adopté par les fournisseurs SaaS, ce qui permet d'améliorer la cohérence au sein du secteur tout en réduisant les risques de sécurité potentiels. « Le framework SSCF de la CSA représente une avancée significative pour la gouvernance SaaS, car il définit des attentes plus claires pour les fournisseurs et les acheteurs », a estimé David Brown, vice-président directeur des activités internationales chez FireMon, un fournisseur de solution de gestion des politiques de pare-feu. « Cependant, un framework ne réduit les risques que s'il se traduit par des contrôles opérationnels, notamment une visibilité continue des politiques réseau, des contrôles stricts des sorties et des vérifications automatisées de la conformité », a souligné M. Brown, ajoutant que « les entreprises qui associent les exigences du SSCF à une vérification en temps réel de la posture du réseau peuvent prouver l'efficacité des contrôles et réduire considérablement les risques liés au SaaS. »

Une part croissante du trafic Internet est générée par des acteurs non humains : des robots, des agents, des systèmes automatisés interagissent avec les applications SaaS d'une manière que la surveillance traditionnelle ne détecte souvent pas. « Le SaaS Security Capability Framework fournit une référence indispensable pour définir ce que devrait être la ‘sécurité par défaut’ dans les environnements SaaS », a fait valoir Mayur Upadhyaya, CEO d'APIContext. « L'accent mis sur les contrôles techniques dans le périmètre du client est opportun, d'autant plus que les frontières entre les utilisateurs internes, les intégrations tierces et le trafic généré par les machines continuent de s'estomper », » ajoutant que « un framework comme le SSCF ne peut être efficace que s'il reflète cette surface élargie et encourage une validation continue, et pas seulement des configurations statiques. »

Des lignes directrices de mise en oeuvre et d'audit à venir

S'il est largement adopté, le SSCF apportera aux entreprises des fonctionnalités de sécurité plus cohérentes dans l'ensemble de leur portefeuille SaaS. Les fournisseurs sauront ainsi quels contrôles de sécurité sont attendus par les clients. La prochaine phase du projet consistera à rendre le framework plus pratique en élaborant des lignes directrices de mise en œuvre et d'audit, ainsi qu'un système d'évaluation et de certification. Plutôt que de proposer des listes de contrôle que les fournisseurs sont encouragés à suivre, le SaaS Security Capability Framework s’emploiera à offrir des améliorations de sécurité mesurables.