Les avantages du SaaS remis en cause par des problèmes de sécurité ?
Par Daniel Fages, Fondateur d'Arkoon Network Security

vendredi 14 décembre 2007

20071214

Le SaaS ne peut se passer du chiffrement. Face au succès annoncé du modèle des logiciels en tant que service (SaaS) en Europe, les entreprises doivent prendre en compte les implications en matière de sécurité avant d'externaliser leurs applications ou leurs données, dans le cadre d'un modèle de fourniture par une tierce partie.

Dans le modèle SaaS de distribution de logiciels, les applications sont hébergées par l'éditeur ou un fournisseur de service, et mises à la disposition des clients via un réseau, en général Internet, avec paiement à l'utilisation.

En Europe, de plus en plus d'entreprises sont tentées par la mise en place de solutions SaaS. Et cette tendance engendre des problèmes spécifiques d'intégrité du réseau et de sécurité des données. Le modèle SaaS permet par exemple de télécharger à tout moment des versions révisées des applications, chacune d'elle étant un risque potentiel pour le réseau.

L'intégrité du réseau est mise en danger

L'association d'applications dotées de nombreuses fonctionnalités, et de la livraison de plusieurs versions via SaaS, peut augmenter notablement les menaces sur l'intégrité d'un réseau d'entreprise.

Les utilisateurs du SaaS devraient donc s'assurer que la mise à jour permanente du logiciel ne se fait pas sans une vérification suffisante de la sécurité de chaque nouvelle version publiée. En général, un éditeur de logiciels effectue des tests détaillés de sécurité entre la version alpha et la finale. Avec le SaaS, ceci peut se produire chaque jour.

Les applications SaaS ont toujours plus de fonctionnalités, ce qui demande davantage de temps et de ressources pour conduire les tests de sécurité. Les analyseurs automatisés peuvent accélérer le processus, mais dans la plupart des cas, ils ne découvrent que 20 % des vulnérabilités potentielles. Le reste ne peut être identifié que par des tests rigoureux, parfois lourds.

Dans le domaine de l'ERP et de la CRM, de récentes études conduites en Europe de l'Ouest par IDC prévoient une croissance à deux chiffres pour les applications à la demande. En dépit de la pénétration élevée du haut débit en Europe, l'adoption du modèle SaaS a quelques années de retard sur les États-Unis. Mais l'écart devrait se réduire entre 2007 et 2011, ce qui implique un taux de croissance très élevé en Europe.

Les applications d'ERP, de BI et de CRM devraient passer à une livraison de type SaaS. Par exemple, au cours des cinq prochaines années, IDC s'attend à ce que les applications de CRM à la demande contribuent pour plus de la moitié à la croissance nette du marché européen de la CRM ¹.

Pour le SaaS, le chiffrement est, au mieux, une pièce rapportée

Les attaques sur les applications hébergées devraient se développer, à cause de l'accroissement de la valeur des données conservées par des tiers, telles que des détails bancaires, l'identification des clients ou les informations des e-transactions puisque la livraison de telles applications par le SaaS va conduire les entreprises à externaliser le stockage, la maintenance et la sauvegarde des données critiques, comme les dossiers financiers ou les informations concernant les clients et les fournisseurs. Jusqu'ici, ces données ne sortaient jamais des limites de l'entreprise. Par conséquent, le chiffrement est le minimum vital pour protéger une entreprise (et ses clients) contre la perte, le vol ou l'endommagement des données. Pour le moment et dans le contexte du SaaS, le chiffrement est rarement pris en considération, même après coup.

Concernant le modèle SaaS, les principaux soucis sont les suivants :

La multiplication des versions du logiciel « à la demande » peut faciliter la propagation des virus, en l'absence de tests rigoureux avant la publication (ce qui n'est pas toujours possible dans le cas de mises à jour quotidiennes).
La gestion et le traitement de données sensibles non chiffrées, externalisées dans le cadre du SaaS, augmente les risques de perte, vol et fraude.
L'utilisation de tierces parties pour l'hébergement. Le niveau des SLA pour le traitement et la sécurité dépend de tous les acteurs impliqués dans la livraison du logiciel ou des contenus, et par exemple de l'utilisation d'un fournisseur de services d'hébergement. Les clients du SaaS s'assurent rarement de la qualité de toutes les parties impliquées dans le traitement de leurs données.
La multiplicité et la complexité des droits accordés aux utilisateurs. La livraison directe sur l'ordinateur de bureau, via SaaS, soulève le problème de la gestion des droits ainsi que celui de nouveaux points possibles pour un accès non autorisé.
Les applications Web 2.0 s'appuient largement sur Ajax, ce qui déclenche de nombreuses requêtes http pour chaque transition ou mise à jour de page. Chacune s'accompagne d'un risque d'attaque (par injection de snippet SQL, insertion d'un script non validé, etc.). Les outils pour tester et sécuriser ces applications sont largement disponibles, mais le très grand nombre de requêtes Ajax générées lors d'une session SaaS typique peut conduire à un accès non autorisé au réseau ou à la pénétration de virus.

Pour résumer, nous soutenons fermement le modèle SaaS, mais les avantages qui rendent le SaaS aussi intéressant, à savoir le logiciel à la demande, les mises à jour en permanence et l'hébergement tierce partie, devraient obliger les utilisateurs à s'assurer de disposer d'un niveau suffisant de sécurisation du réseau et de chiffrement des données, avant même de s'y intéresser.

Daniel Fages, ingénieur INSA Lyon (1997), a été consultant dans les domaines de la sécurité et d'Internet chez IBM France à Montpellier. Constatant que les solutions de sécurité du marché ne répondaient qu'imparfaitement aux besoins des utilisateurs, il s'est lancé en 1999 dans le développement d'une technologie innovante conjuguant l'inspection en profondeur des flux réseaux et la performance. C'est ainsi qu'il a créé la société ARKOON et mis au point la technologie brevetée FAST (Fast Applicative Shield Technology), qui constitue aujourd'hui le coeur de la gamme des appliances UTM FAST360® d'Arkoon. ARKOON Network Security est constructeur, éditeur de solutions de sécurité informatique.

¹ Western European End-User Survey: 2005 Spending Priorities, Outsourcing, Open Source, and Impact of Compliance - Bo Lykkegaard, program manager, European enterprise applications, IDC.