Pour aider les entreprises à gérer les intégrations SaaS de tiers, l’entreprise de cybersécurité Obsidian a doté sa solution de gestion de la posture de sécurité SaaS (SaaS Security Posture Management, SSPM) de nouveaux outils de sécurité et de conformité. Le déploiement basé sur le SaaS comprend trois modules principaux : Obsidian Compliance Posture Management (CPM), Obsidian Integration Risk Management et Obsidian Extend. « Obsidian ne se contente pas de renforcer la posture et de gérer les risques liés à l'intégration de SaaS tiers, il propose aussi une atténuation des menaces pour le SaaS », a déclaré Glenn Chisholm, chef de produit et cofondateur d'Obsidian. « Obsidian reste la seule entreprise du secteur de la sécurité du SaaS à offrir une solution unifiée capable de couvrir tous les aspects de la sécurité du SaaS. Tous les modules du SSPM d'Obsidian sont déjà disponibles pour les clients et font l'objet d'une licence et d'un prix distincts en fonction du nombre d'utilisateurs et du nombre d'applications SaaS qu'ils utilisent », a-t-il ajouté.
Rationaliser la conformité des intégrations SaaS
Avec Obsidian CPM, les entreprises peuvent mesurer et maintenir la conformité des environnements SaaS au niveau des politiques de sécurité internes et des normes tierces, notamment SOC 2, NIST 800-53, ISO 27001 et CSA Cloud Controls Matrix. Afin de s'assurer que les applications tierces sont conformes aux obligations légales et réglementaires requises, le module met en correspondance des frameworks complexes avec des contrôles SaaS individuels. « Obsidian associe la gestion des identités et des accès, la classification des données, la séparation des tâches et plusieurs autres contrôles audités aux normes de conformité de l'industrie pour une surveillance claire et centralisée », a expliqué M. Chisholm. L'éditeur permet également aux équipes de sécurité de définir des règles et des normes personnalisées sur sa plateforme afin de s'assurer que les politiques de sécurité internes s’appliquent à leurs applications SaaS. D'autres règles de posture personnalisées automatisent la validation des paramètres des applications SaaS qui correspondent aux contrôles du framework de conformité. « Il est très difficile de trouver son chemin dans le labyrinthe des contrôles de conformité, et la multiplicité des environnements SaaS rend cette tâche encore plus ardue », a déclaré Chris Steffen, directeur de recherche au sein du cabinet d'analyse et de conseil Enterprise Management Associates. « Les responsables de la sécurité et de la GRC (Gouvernance, Risques et Conformité) recherchent toujours une meilleure visibilité sur ces exigences. Obsidian CPM génère également des rapports de conformité pour démontrer l'efficacité opérationnelle des contrôles de conformité », a-t-il ajouté.
Capacités supplémentaires pour l'intégration et la sécurité des données
Second module clé du SSPM, Integration Risk Management analyse les interconnexions entre les applications SaaS, cartographie les autorisations et les différents niveaux d'accès, analyse l'activité d'intégration et révèle les zones de risque. « Le module fonctionne en trois étapes : découverte des intégrations, identification des applications non autorisées et surveillance constante », a expliqué M. Chisholm. Alors que la découverte implique de générer un inventaire des connexions des applications tierces consolidées et des applications développées en interne aux plateformes SaaS critiques comme Microsoft 365, Google Workspace et Salesforce, les applications non approuvées sont celles connectées arbitrairement sans l'approbation des équipes de sécurité. « Les responsables de la sécurité cherchent toujours à réduire les risques, et les intégrations entre solutions ne sont pas seulement de plus en plus courantes, elles sont également essentielles pour que des systèmes apparemment disparates fonctionnent harmonieusement les uns avec les autres », a fait remarquer M. Steffen. « Nous sommes conscients que chacun de ces services d'entreprise introduit, gère, autorise et enregistre les intégrations différemment, c'est pourquoi Obsidian résout ces divergences pour présenter aux équipes de sécurité une liste claire. Des options de filtrage supplémentaires donnent aux analystes la possibilité de se pencher sur des problèmes spécifiques, par exemple les applications inactives ou non autorisées ou les intégrations qui nécessitent une attention particulière », a déclaré M. Chisholm.
Le troisième module d'Obsidian SSPM, Extend, assure la sécurité des données métiers sensibles dans l'ensemble de l'écosystème SaaS d'une entreprise via un module dédié. Obsidian Extend comprend des extracteurs d'applications qui interrogent les API des applications SaaS pour extraire les données de configuration et les données utilisateurs pertinentes pour les applications. L'extracteur est exécuté périodiquement pour capturer les données des applications et les stocker dans une base de données au sein de la plateforme. Ces données sont ensuite traitées et transformées selon un schéma commun à Obsidian afin d'évaluer et de faire apparaître des informations dans l'interface utilisateur. « La plateforme Obsidian découvre et analyse les configurations spécifiques aux applications, les comportements des utilisateurs et les autorisations dans toutes les applications fédérées en quelques minutes », a ajouté M. Chisholm. « La gestion de la posture SaaS s'attaque aux défis liés à la cohérence dans la définition et l'application des politiques et des contrôles, à la gestion de l'échelle, à la gestion des accès et au respect des exigences de conformité », a déclaré Melinda Marks, analyste de l'Enterprise Strategy Group. « Les entreprises ont besoin de solutions comme celle d'Obsidian pour aider leurs équipes de sécurité à gérer les risques, en leur évitant les processus manuels fastidieux, en leur offrant une visibilité plus claire sur la posture de sécurité et en les aidant à prendre des mesures efficaces qui renforcent la posture de sécurité et réduisent les risques », a-t-elle ajouté.