Si la publication des derniers bilans financiers de Microsoft, Google et Amazon, démontre bien l’essor formidable qu’ont prises les solutions SaaS sur le cloud, la protection du volume spectaculaire de données générées par ces plateformes n’est toujours pas suffisant dans un contexte de risque cyber en augmentation.
La croissance du SaaS d'entreprise est rapide et inéluctable. Gartner prévoit que les dépenses des utilisateurs finaux en SaaS passeront de 135 milliards d’euros en 2021 à 159 milliards de d’euros en 2022 (soit une augmentation de 18 %). Les avantages du SaaS sont nombreux : il élimine le besoin d'installer et de configurer des logiciels, il offre au client une plus grande flexibilité financière (en passant des frais de licence à un abonnement au logiciel), il n'est pas nécessaire d'acheter et de maintenir le matériel, et les nouvelles versions et mises à jour sont automatiquement déployées.
Mais, malgré sa croissance rapide et ses nombreux avantages, la gestion et la protection des données SaaS pose des problèmes notoires.
Les politiques de conservation par défaut des fournisseurs de services cloud ne suffisent pas
Chaque fournisseur de services cloud (FSC) et fournisseur SaaS a sa propre politique de conservation des données et, une fois que cette politique arrive à expiration, le client est responsable de la sauvegarde, de la protection et, si nécessaire, de la restauration de ses données en cas de cyberattaque. Non seulement le client est responsable, mais les politiques de conservation des données peuvent différer selon le fournisseur de services cloud et le fournisseur de SaaS, et selon le type de données. Dans le monde actuel où les attaques par ransomware se multiplient et où les réglementations en matière de confidentialité et de conformité sont plus strictes, laisser des données non gérées et non protégées est un risque que peu d’entreprises peuvent prendre.
Par exemple, l'adoption de Microsoft 365 a été phénoménale, avec près de 300 millions d'utilisateurs et une croissance de plus de 50 % du nombre d'abonnés au cours des deux dernières années seulement. Il s'agit de l'une des applications SaaS d'entreprise les plus populaires, et pourtant les options de sauvegarde sont limitées en termes de données stockées sur Azure. La gestion et la protection des données deviennent l’unique responsabilité du client. Par ailleurs, les politiques de conservation des données diffèrent entre Microsoft 365 Exchange Online, OneDrive et Teams, il est donc d’autant plus compliqué de gérer la sécurisation de l’ensemble de vos données sur la suite Microsoft Saas. Une enquête récente de l'Enterprise Strategy Group, intitulée "The Evolution of Data Protection Cloud Strategies", a interrogé des professionnels de l'informatique et révélé que 78 % d’entre eux utilisent Microsoft 365: parmi eux, 74 % s'appuient sur les services de Microsoft 365 pour la sauvegarde. Pour ceux ayant subi des pertes, seulement 15 % ont pu récupérer 100 % de leurs données. Ces chiffres devraient tirer la sonnette d’alarme pour les entreprises qui négligent trop souvent la protection de leurs données au-delà des politiques de conservation, fournies par défaut et accompagnées d’une date d’expiration. De plus, chaque FSC et fournisseur de SaaS met en place ses propres politiques de conservation, comme sur Google, Slack et Salesforce. Cette complication, à première vue administrative, peut vite devenir problématique, jusqu’à saper l’essence même de la promesse si attractive d’un Saas : une gestion simplissime et une utilisation sans contrainte technologique.
Comment aller de l’avant
S'appuyer sur les politiques de conservation et de récupération par défaut des FSC n'est tout simplement pas suffisant et sans les bonnes politiques misent en place, les entreprises ont souvent peu de visibilité sur les données SaaS qu'elles possèdent réellement, ainsi que sur l'Etat de ces dernières. Il y a de multiples questions auxquelles il faut être prêt à répondre lorsqu'une crise survient.
Il existe plusieurs moyens de protéger les données SaaS contre l'impact des cyberattaques telles que les ransomwares, le chiffrage ou la divulgation de données clients qui pourraient donner un avantage compétitif à la concurrence ou entacher l’image de marque de l’entreprise. Voici quelques bonnes pratiques :
- Garder le contrôle sur ses données : les données sont le plus grand atout commercial d'une entreprise, et il est préférable de mettre en place son propre service de sauvegarde, de protection et de récupération des données.
- Simplifier la gestion des données et intégrer les données SaaS dans le système central de gestion des données, avec une seule stratégie de conservation et protection.
- Ajouter la protection des données SaaS au système de sauvegarde et de récupération existant si vous le pouvez. Dans le cas inverse, envisager une plate-forme de gestion des données de nouvelle génération, extensible pour répondre aux besoins actuels et futurs en matière de gestion des données.
- Faire l'essai d'une solution DMaaS (Data Management as a Service) qui permet d'ajouter la sauvegarde et la protection des données en mode SaaS sans ajouter d'infrastructure, ce qui permet de consacrer plus de temps à d'autres tâches essentielles.
- Protéger vos données lors du changement vers le cloud de la façon la plus adéquate (sur le site, dans le cloud, en tant que service, ou une combinaison de ces options) dans un monde hybride et multicloud.
- Planifier l'avenir. Il faut prendre de l'avance et planifier une stratégie de gestion des données qui répondra aux besoins de votre entreprise au moins pour les cinq prochaines années à venir.
Il faut donc s’assurer de sauvegarder ses données SaaS et de disposer d’une stratégie concrète pour la sauvegarde et la protection de toutes vos données à long terme. Les fournisseurs de service cloud ne garantissent pas cette fonctionnalité au-delà d’une certaine date d’utilisation, et il vous revient d’anticiper les vulnérabilités qui pourraient apparaître lorsque ces offres par défaut arrivent à expiration. Dans un contexte de risque cyber accru, vous ne pouvez plus négliger la protection de vos données.
Par Brian Spanswick, responsable de la sécurité des systèmes d’information chez Cohesity.