La sécurité des données et la protection des données personnelles constituent la préoccupation citée en premier par les cadres dirigeants interrogés sur les applications en mode SaaS (Software as a service), devant les capacités d’intégration avec les applications d’entreprise existantes et l’adaptation aux besoins des clients. C’est ce qu’indique un rapport publié par le cabinet Saugatuck intitulé « Data Breaches Belie Security Concerns Regarding On-Premise vs SaaS and Cloud ».Les diverses études, notamment celles réalisées par le Gartner montrent que la sécurité est un sujet de préoccupation majeur. Cette dernière enquête réalisée par le cabinet Saugatuck le confirme une fois de plus. Mais l’élément nouveau ici concerne la sécurité des applications SaaS.
Préoccupations des cadres dirigeants concernant les applications SaaS
| 2006 | 2009 |
| Sécurité | Sécurité des données et protection des données personnelles |
| Possibilité de personnalisation | Intégration des applications SaaS avec les applications du SI |
| Scalabilité | Personnalisation des applications aux besoins des clients |
| Questions liées à la réglementation | Intégration des données avec les données stockées sur les systèmes de l’entreprise |
| Intégration | Intégrité des données et des transactionslk |
| Contrôle de la DSI sur le SI | Performances correspondant aux accords SLA |
A ce jour, « aucun éditeur/hébergeur d’applications SaaS n’a rapporté des problèmes majeurs de sécurité ou de pertes de données », précise Bruce Guptill, analyse de Saugatuck et auteur du rapport. Cela contraste avec les informations régulièrement publiées sur les incidents de sécurité. Par exemple, récemment aux Etats-Unis, 130 millions d’enregistrement de transactions traité sur les systèmes de la sécurité de la société Heartland Payment Systems ou encore la perte de données par la chaîne hôtelière Radison sur un historique de six mois de transactions (numéros de cartes de crédit, dates d’expiration, noms de possesseur de cartes…).
La majorité des incidents résultent d’erreurs internes
La question qui est posée consiste à savoir si ce bon résultat est lié aux performances des éditeurs d’applications SaaS ou si c’est parce que les hackers toujours leur attention et leurs efforts sur les applications résidant sur les systèmes d’entreprise (On-Premise).
Sur les incidents de sécurité liés à des applications installées sur les serveurs des entreprises, 60 % sont causés par des erreurs des équipes informatiques internes. Les 40 % restants correspondent à des tentatives de fraudes effectuées par des personnes étrangères à l’entreprise (contre 21% en 2007). Les entreprises qui ont connu de tels incidents indiquent pourtant avoir mis en œuvre des technologies et des politiques de sécurité adéquates.
« Et pourtant, le nombre et l’importance des incidents n’arrêtent pas d’augmenter. Alors que les fournisseurs d’applications SaaS n’ont pas encore fait état de problèmes majeurs, leurs systèmes sont toujours perçu comme n’offrant pas un bon niveau de sécurité », précise Bruce Gupthill.
Deux types de préoccupations
Concernant les fournisseurs SaaS, les préoccupations liées à la sécurité des données sont de deux ordres. D’abord, elles concernent les menaces habituelles d’accès non autorisés aux systèmes et aux données. Ces attaques sont motivées pour récupérer des données pouvant être assez facilement subtilisées et monétisables. Cela concerne des données d’identité et financières. La grande majorité de ces données est hébergé sur les systèmes internes des entreprises.
Le second niveau de préoccupations est lié au fait que les données partagent les mêmes environnements/serveurs que celles d’autres entreprises. Ils souhaitent être sûrs que leurs données ne peuvent être visibles ou/et utilisés par d’autres entreprises. C’est là la problématique de ce que l’on appelle les architectures multi-tenants. Quelle est l’efficacité de la séparation entre les données et l’instance de l’application ?
Selon le cabinet Saugatuck, les fournisseurs de solutions SaaS/Cloud ont développé des systèmes de sécurité qui vont bien au-delà de ce que habituellement les entreprises mettent en place pour elles-mêmes. Par ailleurs, la sécurité a été intégrée dès la conception des systèmes qu’ils ont mis en place plutôt que développée sur des systèmes existants.
C’est la raison pour laquelle l’auteur de ce rapport conclut que « la sécurité devrait être un avantage réel que les fournisseurs de solutions SaaS devraient mettre en avant ».
Source : ITRManager.com
Cyril s’intéresse aux thématiques du SaaS et du Cloud Computing pour les entreprises.
Twitter •
