Les applications en mode SaaS (« Software as a Service ») permettent aux entreprises d’améliorer leurs performances et de gagner en agilité. Mais la facilité d’usage du Cloud ne doit pas se faire au détriment de la protection des données qui sont partagées. Les entreprises doivent mettre en place différentes solutions afin de contrôler précisément les accès à ces logiciels en ligne.
La règle de base est de s’appuyer sur une solution de chiffrement lorsqu’il s’agit de données critiques hébergées et partagées dans le Cloud. Cette technique garantit en effet leur confidentialité et permet de restreindre leur consultation à une liste de membres parfaitement identifiés.
Il est également capital de cloisonner les accès à ce type de programmes en créant des groupes d’utilisateurs et des profils usagers (métiers, développeurs, administrateurs…) car ils n’auront jamais les mêmes droits d’accès et de gestion. Cette supervision des accès doit être très stricte avec une gestion très précise des mots de passe et identifiants des collaborateurs, mais également un contrôle des connexions spécifiques à chaque application accessible dans le Cloud.
Il convient d’étudier avec l’hébergeur des applications dans le Cloud les différentes options possibles. Couplées à un pare-feu virtuel, des solutions de contrôle d’accès permettent par exemple de déterminer un filtrage granulaire basé sur des politiques d’accès.
Ce processus de management des accès repose notamment sur :
– le contrôle de chaque salarié depuis son arrivée dans l’entreprise jusqu’à son départ en n’oubliant pas d’inclure les changements de fonction ;
– le déploiement d’un système de SSO (signature unique) étendu aux applications externes et intégrant les cycles de vie des identités (comme dans le point précédent) ;
– le principe du moindre privilège pour chaque accès (c’est-à-dire le strict nécessaire et pas plus) pour tous les types de comptes ;
– la mise en œuvre d’une séparation des tâches, en particulier pour les opérations les plus sensibles.
Autre mesure indispensable : le contrôle et la surveillance des accès distants non protégés des collaborateurs (Wi-Fi public, réseaux domestiques). Là aussi, l’entreprise doit mettre en place des procédures ad hoc de gestion des mots de passe et de fédération d’identités. Autant de dispositifs qui peuvent être gérés par une solution d’administration des comptes automatisée.