Les SaaS (logiciels en tant que service) correspondent à un modèle de licence et de distribution de logiciels pour lequel le fournisseur de services héberge les applications et les met à disposition des clients via Internet. Également appelés « logiciels à la demande », « logiciels hébergés » ou « logiciel Web » les SaaS font partie des trois composants principaux du cloud computing, l’un des piliers de la transformation digitale. Les autres composants sont l’infrastructure en tant que service (IaaS) et la plateforme en tant que service (PaaS).
La plupart des produits SaaS se basent sur une architecture multi-utilisateurs. Cela signifie qu’une même version de l’application est fournie à tous les utilisateurs. Les clients peuvent changer les paramètres de leur configuration pour profiter de fonctionnalités et d’une ergonomie adaptées ; ils peuvent également personnaliser certains composants du logiciel pour répondre à leurs cas d’utilisation spécifiques, qui sont tenus à jour au moyen de mises à niveau. Cependant, les utilisateurs ne peuvent pas changer l’infrastructure commune sous-jacente ni le code des applications SaaS.
Exemples SaaS
On compte deux grands types de SaaS : les SaaS verticaux et les SaaS horizontaux.
- SaaS verticaux. Gèrent les besoins d’un secteur d’activité spécifique comme les logiciels de traitement des dossiers médicaux électroniques pour le secteur de la santé ou les logiciels de gestion financière pour la banque ou l’assurance.
- SaaS horizontaux. Gèrent les besoins de plusieurs secteurs d’activité. Par exemple, les logiciels de messagerie électronique et de collaboration, de gestion des ressources humaines (HRM), de gestion de la relation client (CRM), de gestion des ressources de l’entreprise (ERP) ou de cybersécurité.
Avantages des SaaS
- Réduction des coûts. Les modèles SaaS sont vendus sous forme d’abonnements facturés en fonction de la consommation : les organisations peuvent ainsi réduire leurs coûts de déploiement initiaux comme les frais de licence et d’installation. Au lieu de cela, elles peuvent partir d’un investissement initial réduit en souscrivant à un abonnement, puis évoluer pour prendre en charge plus d’utilisateurs et de cas d’utilisation, selon les besoins.
- Facilité d’utilisation. Au lieu d’être installées et gérées par l’utilisateur, les applications SaaS sont accessibles via un navigateur Web ou un terminal « thin » client, sans être réservées à une machine ou un site spécifique. Le fournisseur du SaaS gère la disponibilité, les performances, la maintenance continue, les mises à jour et les correctifs, ainsi que la sécurité du cloud lui-même.
- Efficacité opérationnelle. Comme les applications sont hébergées dans le Cloud, les équipes internes peuvent éliminer les tâches longues liées à la gestion de l’infrastructure pour se concentrer sur les compétences essentielles de l’activité. De plus, les SaaS n’ont besoin que de très peu de puissance de calcul et d’espace de stockage, voire aucun, du côté de l’organisation utilisatrice, ce qui contribue à économiser les ressources.
- Les services SaaS peuvent facilement s’adapter en puissance selon les besoins, et des fonctionnalités supplémentaires peuvent être rendues accessibles à la demande. Cette caractéristique est avantageuse pour les entreprises aux besoins cycliques, celles qui connaissent une croissance rapide et celles qui ont besoin de baisser en charge en fonction des besoins et des budgets.
- Facilité d’intégration. La popularité des produits SaaS, associée à la normalisation de la technologie des API, est à l’origine d’une escalade des intégrations et des « mashups » qui combinent les données, la présentation et les fonctionnalités de plusieurs services pour répondre aux fluctuations des besoins des clients et fournir les meilleurs services de leur catégorie pour la sécurité du cloud.
Défis de sécurité des SaaS
Une enquête CyberArk menée en 2019 auprès de plus de 1 000 organisations internationales a conclu que la première motivation d’une adoption du cloud pour les organisations était la sécurité. En outre, plus d’un tiers des participants estiment que la charge du risque relatif à la sécurité des informations incombe entièrement ou partiellement au fournisseur de cloud.
Alors que les fournisseurs de SaaS se concentrent uniquement sur la sécurité de l’infrastructure cloud, ils admettent publiquement qu’ils ne peuvent fournir qu’une solution de sécurité partielle et soulignent l’intérêt de la collaboration en matière de sécurité. Par exemple, Microsoft met en avant un modèle de responsabilité partagée, qui répartit les tâches de sécurité entre le fournisseur de cloud et le client. Microsoft remarque que, quel que soit le type de déploiement, le client cloud a toujours la responsabilité d’assurer la sécurité de ses données et de ses identités, de ses ressources sur site et des composants cloud qu’il contrôle.
Aux États-Unis, la NSA fournit quant à elle des conseils sur le partage des responsabilités en matière de sécurité du cloud.
Dans une directive de janvier 2020, la NSA observe que « les [Cloud service providers (CSPs)] ont la responsabilité de sécuriser l’infrastructure cloud, mais aussi de mettre en œuvre les contrôles logiques permettant de séparer les données des clients. Au sein des organisations, les administrateurs sont généralement responsables de configurer la sécurité au niveau des applications (par ex. contrôles d’accès pour l’autorisation de consulter ou modifier des données). De nombreux CSP (fournisseurs de services cloud) proposent des outils de configuration de la sécurité dans le cloud ainsi que des systèmes de surveillance, mais il incombe néanmoins aux clients cloud de configurer le service afin qu’il se conforme aux exigences de sécurité de l’organisation. »
En cas de fuite de données, c’est l’organisation cliente, et pas le fournisseur de cloud, qui est tenue pour responsable et doit répondre aux régulateurs, aux clients et aux autres parties prenantes. Ainsi, les organisations doivent examiner et comprendre cette division des responsabilités. Elles doivent également mettre en place des mesures permettant de protéger les accès à privilèges aux données et informations sensibles hébergées dans les applications SaaS et les autres environnements cloud.
En savoir plus sur les SaaS
- Solution CyberArk de sécurité des accès à privilèges pour le cloud
- 6 cas d’utilisation stratégiques pour sécuriser la charge de travail dans le cloud de votre organisation
- Présentation CyberArk : Les défis de la protection des actifs hébergés dans le cloud
- La NSA dispense des conseils pour améliorer la sécurité du cloud