‹ Retour vers l’espace Cybersecurity 101

Software-as-a-Service (SaaS)

août 23, 2022

Qu’est-ce que le SaaS ?

Le SaaS (Software-as-a-Service) est un modèle de fourniture de services cloud. L’utilisateur accède à une application logicielle au moyen d’un appareil connecté à Internet.

Dans le modèle SaaS, un fournisseur tiers gère tous les aspects de l’application logicielle : codage, hébergement, surveillance, mises à jour et sécurité, mais aussi l’achat et la maintenance du matériel associé (serveurs et bases de données, par exemple).

Les solutions SaaS étant fournies par Internet, les clients n’ont ni à télécharger ni à installer le logiciel pour utiliser le service. Les utilisateurs peuvent donc accéder à l’application ou à leurs données où qu’ils soient, avec une connexion Internet, moyennant le respect de la configuration requise et des protocoles de sécurité.

Exemples de SaaS

La plupart des internautes accèdent régulièrement à des applications SaaS sans le savoir. Les applications de messagerie comme Webmail et Outlook sont des exemples de SaaS. En entreprise, les utilisateurs recourent souvent à des applications SaaS pour des tâches courantes : organisation de réunions en ligne et de téléconférences, accès à des portails de gestion des données client ou à des bases de données, journalisation des tickets d’assistance ou de support, création ou modification de documents et d’autres fichiers, etc.

Salesforce est probablement le fournisseur de services SaaS le plus connu. L’entreprise, qui a lancé sa plateforme de gestion de la relation client (CRM) en 1999, a été un précurseur du genre. Elle a ainsi donné naissance à un nouveau modèle de fourniture de services, adopté aussi bien par des entreprises établies que par des start-ups. Parmi les autres fournisseurs et solutions SaaS de premier plan, on trouve les acteurs suivants :

  • Adobe
  • Amazon Web Services (AWS)
  • Atlassian
  • Box
  • Dropbox
  • GSuite
  • Microsoft Office 365
  • SAP
  • ServiceNow
  • Slack
  • Quickbooks
  • Workday
  • Zapier
  • Zendesk
  • Zoom

Quelle est la différence entre les modèles SaaS, PaaS et IaaS ?

Avant de nous pencher plus en détail sur le SaaS, présentons rapidement les deux autres grands modèles de services cloud « as-a-service ».

  1. Infrastructure-as-a-Service (IaaS) : modèle cloud dans le cadre duquel un fournisseur de services cloud offre à ses clients des ressources informatiques virtualisées telles que des serveurs, des espaces de stockage de données et des équipements réseau à la demande, sur Internet.
  2. Platform-as-a-Service (PaaS) : modèle de fourniture de services de plateforme qui peut être acheté et utilisé pour développer, exécuter et gérer des applications. Dans le modèle de plateforme cloud, le fournisseur de solutions PaaS gère à la fois le matériel et les logiciels utilisés par les développeurs d’applications.

Déploiement SaaS

L’accès à toutes les solutions SaaS passe par Internet. On distingue trois grands modèles de déploiement :

  1. Multitenant ou cloud public
  2. Tenant unique ou cloud privé
  3. Cloud hybride

Multitenant ou cloud public

La plupart des applications SaaS sont déployées dans le cloud public. Les ressources sont partagées par plusieurs clients ou tenants. Chaque tenant garde la maîtrise de son compte et de ses données. Néanmoins, la plateforme et l’infrastructure sur lesquelles l’application est créée et exécutée sont communes à tous les clients. Le cloud public a tendance à être le modèle le plus abordable, puisqu’un groupe d’utilisateurs se partage le coût de la plateforme. Cependant, il s’accompagne d’un risque plus élevé, chaque tenant étant tenu de sécuriser ses données et ses utilisateurs. La compromission d’un seul compte peut menacer la sécurité de tous les utilisateurs du SaaS.

Tenant unique ou cloud privé

Comme son nom l’indique, le modèle de déploiement à tenant unique est un modèle où l’application SaaS est fournie dans un cloud privé et utilisée exclusivement par un client. Dans ce modèle, l’application SaaS est gérée par le fournisseur SaaS, mais la gestion du cloud proprement dit incombe au client ou à un autre fournisseur. Nettement plus coûteux que l’option publique, ce modèle a néanmoins la cote auprès des entreprises, des organismes ou des services publics qui gèrent ou stockent des informations sensibles telles que des données à caractère personnel, des transactions financières ou des éléments de propriété intellectuelle. Grâce au cloud privé, ces entités ont plus de prise sur leurs données, bénéficient d’une sécurité renforcée et sont en mesure de se conformer à toutes les dispositions légales ou sectorielles en vigueur.

Cloud hybride

Un nombre croissant d’entreprises recourent à un environnement de cloud hybride combinant des attributs du cloud public, du cloud privé et de l’infrastructure sur site dans une architecture unique, mutualisée et unifiée. Avec ce modèle, elles peuvent déployer des solutions SaaS dans un cloud privé ou public en fonction de l’usage de l’application, de la présence de données sensibles ou des réglementations. L’environnement hybride offre aux entreprises une plus grande souplesse et une meilleure rentabilité tout en garantissant une sécurité optimale.

EN SAVOIR PLUS

Pour en savoir plus sur les différences entre le déploiement des clouds public, privé et hybride, lisez l’article suivant : Cloud public et cloud privé

Avantages du SaaS

Le succès des applications SaaS ne se dément pas depuis ces 30 dernières années. Grâce à elles, petites et grandes entreprises peuvent réaliser des économies et améliorer la productivité de leurs équipes. Voici leurs principaux avantages :

  • Accès : les applications SaaS étant hébergées dans le cloud, elles sont accessibles à tous les utilisateurs, partout et à tout moment. Ordinateur, smartphone ou tablette : un appareil connecté à Internet suffit. Les collaborateurs peuvent utiliser les applications quand bon leur semble, sans devoir se rendre dans les locaux de l’entreprise ou sur un terminal dédié. La facilité d’accès est une nécessité pour l’entreprise dont les équipes sont disséminées aux quatre coins du monde ou en télétravail.
  • Économies : dans le modèle SaaS, les entreprises ne doivent pas investir dans le matériel ou l’équipement nécessaire à l’exécution de l’application, dont les serveurs ou les bases de données. Elles n’ont pas non plus à se soucier du développement, du déploiement, de la gestion, de la mise à jour ou de la maintenance de l’application en question. En outre, la plupart des applications SaaS sont flexibles à l’usage, en fonction des besoins de l’entreprise. Les coûts d’utilisation des logiciels sont ainsi considérablement réduits par rapport au modèle traditionnel de la suite d’entreprise.
  • Facilité d’utilisation : l’interface utilisateur de la plupart des applications SaaS est intuitive et conviviale. Elle s’adresse à des utilisateurs au bagage technique variable.
  • Maintenance : comme nous l’avons dit, c’est au fournisseur SaaS qu’incombe la maintenance de la solution SaaS (mise à jour, application de correctifs et gestion des contrôles de sécurité). En outre, l’entreprise SaaS a la possibilité de centraliser le chargement des mises à jour logicielles. Les clients n’ont même pas à configurer ni tester la sécurité ou la compatibilité des endpoints.
  • Évolutivité : la plupart des solutions SaaS sont très évolutives. Les entreprises peuvent adapter rapidement les workloads à la demande.
  • Données et analyses : la plupart des applications SaaS fournissent aux utilisateurs des outils de cyberveille et des rapports réguliers sur les données. Les entreprises disposent ainsi de précieuses informations sur les performances opérationnelles et les résultats commerciaux.

Inconvénients du SaaS

Le modèle SaaS a également ses inconvénients. Les clients qui recourent à des applications SaaS doivent relever les défis suivants :

  • Sécurité et confidentialité : la grande majorité des solutions SaaS sont fournies selon un modèle de cloud public ou multitenant. L’entreprise s’expose ainsi à certains risques, liés aux actions – ou inactions – de ses colocataires. Dès lors, elle doit faire en sorte, avec son partenaire en cybersécurité, d’adopter et de mettre en place une stratégie de sécurité complète qui protège en particulier les ressources dans le cloud.
  • Conformité : beaucoup d’entreprises sont tenues de se conformer à des dispositions légales ou sectorielles en matière de sécurité et de confidentialité des données. Il incombe au client de s’assurer que chaque produit SaaS et sa méthode de déploiement sont bien conformes à toutes les réglementations en vigueur. Les entreprises doivent poser des questions claires et précises sur la conformité des fournisseurs SaaS et soumettre tous les contrats à l’avis d’un juriste.
  • Personnalisation : si la personnalisation et la configuration des applications SaaS ont considérablement progressé ces dernières années, elles peuvent être complexes et chronophages. Les clients doivent examiner la flexibilité de l’application et s’assurer que sa personnalisation ne perturbe pas les performances de l’application ou d’autres aspects de l’environnement informatique.

Analyse approfondie de la sécurité et de la confidentialité du SaaS

La sécurité et la confidentialité du SaaS sont capitales pour les utilisateurs. Or le recours à des applications SaaS augmente les risques liés à la sécurité du cloud, notamment :

  • Compromissions de données : les cyberadversaires peuvent s’infiltrer dans une application SaaS en exploitant des erreurs de configuration logicielle, des identifiants compromis, des privilèges de compte trop permissifs ou d’autres vulnérabilités système. Une fois dans la place, ils peuvent accéder aux données de la solution SaaS ou faire de l’application leur point d’entrée vers d’autres emplacements réseau.
  • Visibilité : l’utilisation d’applications SaaS complexifie l’environnement informatique, ce qui complique la tâche de l’équipe de sécurité qui se doit de garder une visibilité de bout en bout.
  • API (interface de programmation d’application) non sécurisée : c’est grâce à l’API que les applications ou leurs composants peuvent communiquer sur Internet ou sur un réseau privé. En d’autres termes, les entreprises recourent aux API pour connecter des services cloud et transférer des données, en interne ou vers des partenaires, des fournisseurs, des clients, etc. Les API exposées, craquées et piratées sont source d’importantes compromissions de données, laissant les données financières, client, médicales et sensibles à la merci des personnes mal intentionnées. Les API transforment certains types de données en endpoints. La moindre modification de règle ou des niveaux de privilège peut donc accroître le risque d’accès non autorisé à plus de données qu’initialement prévu par l’hôte.
  • Workloads dynamiques : un workload regroupe tous les processus et ressources prenant en charge une application. Une application est constituée de nombreux workloads (p. ex. machines virtuelles, conteneurs, clusters Kubernetes, microservices, fonctions sans serveur, bases de données). Le workload comprend l’application, les données générées ou saisies dans l’application, ainsi que les ressources réseau prenant en charge une connexion entre l’utilisateur et l’application. L’incapacité à sécuriser correctement chacun de ces workloads rend l’application et l’entreprise vulnérables aux compromissions. Elle retarde aussi le développement des applications, compromet la production et les performances, et ralentit l’activité.
  • Contrôle d’accès/accès non autorisé : souvent, les entreprises accordent aux collaborateurs des accès et des autorisations dont ils n’ont pas forcément besoin, ce qui amplifie les cybermenaces liées à l’identité. Les règles d’accès mal configurées sont des erreurs courantes qui échappent aux audits de sécurité. En outre, les entreprises qui utilisent des environnements multiclouds ont tendance à faire aveuglément confiance aux contrôles d’accès par défaut de leurs fournisseurs cloud. C’est risqué, surtout dans les environnements multiclouds et cloud hybride. Avec leur accès privilégié, leur connaissance des cibles et leur aptitude à faire disparaître leurs traces, les cybermenaces internes peuvent faire de gros dégâts.

L’avenir du SaaS

Le modèle SaaS a révolutionné l’activité des entreprises et les modes de travail. Les entreprises sont toujours plus nombreuses à faire migrer leur environnement informatique sur site vers le cloud. Elles ont toujours plus recours aux applications SaaS pour gérer tous les aspects de leurs activités, dont la communication, la relation avec le personnel, la gestion des données, la planification financière, les rapports et la conformité.

Les applications SaaS sont appelées à encore gagner en performance. Pour ce faire, il leur faudra :

  • tirer parti de l’automatisation intelligente, telles les technologies d’intelligence artificielle et de Machine Learning pour automatiser les processus opérationnels courants et améliorer la prise de décision ;
  • améliorer la personnalisation de l’outil SaaS ;
  • répondre à des usages plus avancés, notamment propres à un créneau ou à un secteur ;
  • multiplier les possibilités d’intégration ou d’association de flux de données entre applications ou systèmes de services cloud.

Featured Articles

Featured Image
Qu'est-ce que l'Architecture de Sécurité du Cloud ?
Featured Image
Qu'est-ce que l'Évaluation de la Sécurité du Cloud ?
Featured Image
Qu'est-ce que le Chiffrement Cloud ?