Qu’est-ce qu’un texte chiffré ?
On appelle texte chiffré des données chiffrées et illisible. La seule façon de lire des données chiffrées est de les déchiffrer à l'aide d'une clé de chiffrement. Comme le texte chiffré ne peut être lu sans...
Le gouvernement fédéral américain s’est engagé à mettre en œuvre la cyber sécurité Zero-Trust dans toutes les agences gouvernementales. En 2021, la Maison Blanche a publié le décret 14028, demandant aux agences fédérales d’adopter des architectures de réseau Zero-Trust. Quelques mois plus tard, la CISA a présenté un projet de modèle de maturité Zero-Trust. Début 2022, l’Office of Management and Budget (OMB) a publié le mémorandum M-22-09, qui demande aux agences de respecter des normes et des objectifs spécifiques en matière de Zero-Trust d’ici à la fin de l’année fiscale 2024. Plus tard dans l’année, le ministère de la Défense (DoD) a publié sa propre stratégie et sa propre feuille de route Zero-Trust.
Cela représente beaucoup de mouvements en peu de temps, surtout si l’on considère que les rouages du gouvernement tournent généralement très lentement. Cependant, malgré toute cette pression exercée par les hauts responsables, les décideurs des agences gouvernementales restent réticents à l’idée d’adopter la technologie cloud-based qui leur permettrait d’atteindre les objectifs Zero-Trust : les solutions SaaS (Software-as-a-Service). De nombreuses fausses idées circulent sur la technologie sous-jacente, en particulier le mythe persistant selon lequel le « SaaS » signifie que les données des utilisateurs sont stockées dans le Cloud, où les cybercriminels peuvent y accéder.
Cet article expliquera ce qu’est réellement le SaaS et vous permettra de dissiper vos craintes.
Le SaaS est une méthode de fourniture de logiciels dans laquelle un fournisseur tiers héberge et maintient les serveurs, les bases de données et le code qui composent une application. Les clients accèdent aux applications SaaS via Internet, généralement à l’aide d’un navigateur Web. Certaines applications SaaS proposent également des applications de bureau, des applications mobiles et des extensions de navigateur.
Presque tout le monde utilise des produits SaaS tous les jours, sans même s’en rendre compte. Parmi les exemples de produits SaaS, citons Gmail, Salesforce et même des applications de médias sociaux comme Instagram.
Non. Le SaaS n’est pas synonyme de cloud computing.
Le « Cloud computing » est un terme générique qui désigne toute solution hébergée à distance et fournie aux clients sur Internet. Le terme « SaaS » signifie simplement que l’application est hébergée et fournie via le Cloud. Toutefois, cela ne signifie pas qu’une application n’a pas de composants sur site, ni que vos données seront envoyées dans le cyberespace, où n’importe qui pourra les consulter.
Les plateformes SaaS ont souvent des composants sur site et sont souvent cloud-based. Plus important encore, si le fournisseur SaaS utilise une architecture de sécurité Zero-Knowledge, vos données ne sont jamais stockées « en clair » sur le Cloud. Elles sont stockées localement, sur votre appareil ; même le fournisseur SaaS ne peut y accéder, et encore moins quelqu’un d’autre.
Le Zero-Trust est un modèle de sécurité moderne qui empêche l’accès non autorisé aux données et aux services en obligeant les utilisateurs à prouver qu’ils sont bien ceux qu’ils prétendent être avant de leur permettre d’accéder à un réseau. En outre, même lorsqu’un utilisateur est authentifié sur un réseau, il n’a accès aux systèmes et aux données que dans la mesure où il en a besoin pour faire son travail, et pas plus.
Le Zero-Trust donne aux administrateurs informatiques une visibilité totale sur l’ensemble des utilisateurs, des systèmes et des appareils. Il permet aux personnes, aux applications et aux services de communiquer en toute sécurité, même sur des environnements réseau. Peu importe que les utilisateurs se connectent depuis leur domicile, d’un hôtel, d’un café ou d’un aéroport, ou même qu’ils utilisent leurs propres appareils. Les administrateurs peuvent voir exactement qui se connecte au réseau, d’où il vient et à quoi il accède. Les utilisateurs ne peuvent pas entrer dans le réseau tant qu’ils ne sont pas complètement authentifiés.
Le Zero-Knowledge est une architecture de sécurité qui ne s’inscrit pas dans le modèle traditionnel de ce que beaucoup considèrent comme le « cloud computing », où les données se trouvent uniquement dans le Cloud. Au contraire, il garantit les plus niveaux les plus élevés de sécurité et de confidentialité des données en adhérant aux principes suivants :
Si vous avez les yeux rivés sur la lecture de la section précédente, vous n’êtes pas le seul ! Le Zero-Knowledge est un concept délicat, même pour les personnes qui connaissent bien la technologie. Voici une métaphore pour expliquer le Zero-Knowledge en un français clair :
Imaginez une boîte magique avec une clé magique. Une fois que vous avez mis quelque chose dans la boîte et que vous l’avez verrouillé avec cette clé, le contenu se transforme en poussière. Seule la clé magique permet de reconstituer le contenu, de sorte que même si quelqu’un pénétrait dans la boîte, il n’y trouverait que de la poussière.
Voici comment cela fonctionne avec un fournisseur SaaS Zero-Knowledge :
Dans ce cas, la « boîte magique » contient vos données chiffrées (qui sont aussi utiles que la poussière), et la clé magique est votre clé de déchiffrement, à laquelle vous seul avez accès, car elle est stockée sur votre appareil, et non dans le Cloud.
De plus, cette clé magique ne traîne pas dans un endroit où elle peut être volée. Elle est dérivée de votre mot de passe et n’existe donc pas tant que vous n’avez pas saisi votre mot de passe et un deuxième facteur d’authentification, tel qu’une clé matérielle ou une carte CAC. Une fois que vous êtes déconnecté ou que vous avez dépassé le temps imparti, la clé disparaît jusqu’à ce que vous vous authentifiez à nouveau.
Les solutions SaaS Zero-Knowledge permettent aux entreprises de profiter de tous les avantages du cloud computing, tout en bénéficiant des niveaux les plus élevés de sécurité, de confidentialité et de contrôle total sur leurs données. Ces avantages comprennent :
Réduction des coûts : Les plateformes SaaS robustes s’intègrent dans pratiquement n’importe quelle pile technologique, sans nécessiter de logiciel ou de matériel supplémentaire. Le fournisseur SaaS gère toutes les maintenances et les mises à niveau.
Intégration simple avec les systèmes d’identité centralisés : La stratégie Zero-Trust du gouvernement fédéral, telle que décrite dans l’EO 14028 et l’OMB M-22-0-9, met l’accent sur des contrôles d’accès et d’identité d’entreprise solides, y compris l’authentification multifacteur (MFA). Les plateformes SaaS Zero-Knowledge s’intègrent plus facilement aux systèmes modernes de gestion des identités que les solutions sur site traditionnelles.
Une sécurité renforcée : Le décret 14028 exige que toutes les données soient chiffrées pendant leur transmission, une exigence que les solutions Zero-Knowledge ont déjà.
Installation et déploiement rapides : Sans matériel à configurer et sans avoir à télécharger le logiciel sur l’ordinateur de chaque utilisateur, les solutions SaaS sont beaucoup plus faciles à installer et à configurer que les solutions sur site.
Évolutivité et flexibilité : Les produits SaaS peuvent s’adapter à toute taille d’organisation et, comme ils sont vendus sur la base d’un abonnement, les clients peuvent facilement ajuster leurs licences en fonction de l’évolution des besoins de l’entreprise.
Les décideurs gouvernementaux n’ont aucune raison de craindre les produits SaaS, pour autant qu’ils choisissent une solution Zero-Knowledge et, bien sûr, autorisée par FedRAMP. Les solutions SaaS Zero-Knowledge autorisées par FedRAMP offrent une meilleure sécurité à un coût inférieur à celui des logiciels sur site traditionnels, tout en permettant aux agences fédérales d’améliorer les services qu’elles fournissent aux citoyens américains et d’offrir ces services plus efficacement.