La plateforme Veza intègre de nombreuses solutions - PAM, IAM, IGA, ou encore CIEM - afin de sécuriser l'accès aux données à travers les applications SaaS. (crédit : Veza)
La solution Veza for SaaS Apps sécurise les données sensibles dans les applications SaaS et s'intègre à 15 services majeurs tels que Salesforce, Jira, GitHub et Slack.
Le fournisseur de solutions de gestion des identités et des accès Veza a annoncé un service destiné à sécuriser les accès et la gouvernance des applications SaaS. Baptisé Veza for SaaS Apps, il propose aux clients d'automatiser les révisions d'accès, de trouver et de corriger les violations des accès à privilèges, de réduire la prolifération des habilitations et de prévenir les erreurs de configuration des applications SaaS. Le tout, selon l'entreprise, en sécurisant la surface d'attaque et en assurant la conformité avec des cadres tels que ISO 27001 et le RGPD.
Selon Gartner, les entreprises gèrent en moyenne 125 applications SaaS différentes, dont un tiers seulement est connu des services informatiques en raison de la décentralisation de la propriété et de l'approvisionnement. À mesure que les applications SaaS gagnent en popularité, les équipes de sécurité sont confrontées à des défis importants pour gérer et protéger la diffusion des données qu'elles utilisent. La sécurisation de l'accès est rendue complexe par les contrôles basés sur les fonctions propres à chaque application. Par ailleurs, ces dernières sont exposées à la multiplication des habilitations et à des erreurs de configuration risquées si les équipes de sécurité n'ont pas de visibilité sur elles.
Une solution PAM et IAM
Selon l'éditeur, le service Veza for SaaS Apps donne la possibilité aux clients de sécuriser leurs données sensibles contenues dans leurs applications SaaS face aux brèches, aux ransomwares et aux menaces internes. Il s'intègre à 15 applications majeurs, dont Salesforce, Jira, Confluence, Coupa, Netsuite, GitHub, Gitlab, Slack et Bitbucket et propose les fonctionnalités suivantes :
- La surveillance des comptes à privilèges alerte les équipes de sécurité en cas d'octroi de nouveaux accès privilégiés et de perte de privilèges dans les applications SaaS. Selon Veza, la solution surveille à la fois les identités humaines et les identités machine, telles que les comptes de service et les intégrations tierces.
- Les vérifications des accès utilisateurs et des certificats d'autorisation automatisent le processus de gouvernance et d'administration des identités par le biais d'examens périodiques des accès. La solution utilise des règles de workflow pour acheminer les demandes de certificats et fournit aux décideurs un contexte d'autorisation pour choisir le rôle le moins permissif, selon la société.
- La surveillance des applications SaaS analyse les mauvaises configurations administratives et les violations de politiques avec plus de 100 requêtes prédéfinies pour contrôler les accès. Par exemple, la solution alertera l'équipe de sécurité lorsque des utilisateurs ont accès à des données sensibles mais que l'authentification multifactorielle (MFA) n'est pas activée.
La croissance du SaaS entraîne des changements en matière de cybersécurité pour les entreprises
En octobre dernier, la Cloud Security Alliance a publié SaaS Governance Best Practices for Cloud Customers, un livre blanc décrivant un ensemble de pratiques fondamentales de sécurité et de gouvernance destinées aux environnements SaaS. Selon ce document, les entreprises doivent élaborer des stratégies et des architectures de sécurité spécifiques aux SaaS qui guident le déploiement et la maintenance des applications et qui s'articulent autour de l'évaluation, de l'adoption, de l'utilisation et de l'arrêt des services SaaS.
Les entreprises doivent également s'assurer qu'elles considèrent les fournisseurs SaaS comme faisant partie de leurs programmes de gestion des risques des tiers et que processus de réponse aux incidents ainsi que les plans de continuité des activités sont mis à jour en conséquence, ajoute le document d'orientation. « L'environnement SaaS représente un changement dans la manière dont les entreprises gèrent la cybersécurité, qui introduit une responsabilité partagée entre les fournisseurs et les consommateurs. Ne pas s'adapter en conséquence peut avoir des répercussions dévastatrices telles que la divulgation de données sensibles, la perte de revenus, la perte de confiance des clients et des sanctions réglementaires », peut-on lire dans le document.
Suivez-nous