La référence SSCF de la CSA vise à aider les fournisseurs SaaS à développer des principes de confiance zéro dans leur environnement et à donner aux clients des contrôles de sécurité plus cohérents à mesure que les risques tiers augmentent.
Des experts en sécurité indépendants ont salué ce qui est présenté comme le premier ensemble standardisé de contrôles de sécurité SaaS (logiciel en tant que service).
Le SAAS Security Capability Framework (SSCF), lancé cette semaine et soutenu par la Cloud Security Alliance, est conçu pour combler les lacunes de longue date dans la gestion des risques tiers.
Le cadre est conçu pour répondre à la nécessité d’une norme de l’industrie qui définit les capacités de sécurité technique minimale que les applications SaaS devraient fournir, en particulier celles qui relèvent de la portée du client dans le cadre de ce que l’on appelle le modèle de responsabilité de sécurité partagée.
Les organisations ont construit des architectures de fiducie zéro sophistiquées autour de leurs environnements sur site et IaaS (infrastructure en tant que service). Cependant, en revanche, les contrôles de sécurité des applications SaaS sont depuis longtemps opaques.
Cette déconnexion crée un risque massif et inutile que le SSCF vise à combler. La publication des directives fait suite à des attaques récentes ciblant les applications Salesforce SaaS qui ont concentré les préoccupations de l’industrie autour de la question plus générale de la sécurité des applications basées sur le cloud.
Lefteris Skoutaris, vice-président associé des solutions GRC à Cloud Security Alliance, a déclaré: «Le SSCF comble une lacune critique dans la sécurité SaaS en établissant la première norme de l’industrie pour les contrôles de sécurité destinés aux clients. appliquer. «
SSCF spécifie les contrôles sur six domaines de sécurité:
- Modifier le contrôle et la gestion de la configuration
- Gestion du cycle de vie des données et de la confidentialité
- Gestion de l’identité et de l’accès
- Interopérabilité et portabilité
- Journalisation et surveillance
- Gestion des incidents de sécurité, découverte électronique et criminalistique cloud
Ces domaines sont conçus pour cartographier les exigences commerciales de haut niveau en fonctionnalités de sécurité SaaS tangibles sur lesquelles les clients peuvent réellement configurer et compter, tels que la livraison de journaux, l’application des SSO, les directives de configuration sécurisées et la notification des incidents.
L’approche est conçue pour compléter plutôt que de remplacer les cadres de sécurité axés sur l’entreprise tels que l’ISO 27001.
«Le cadre des capacités de sécurité SaaS représente un pas en avant significatif pour l’industrie», a déclaré Brian Soby, co-fondateur et CTO du fournisseur de posture de sécurité SaaS Appomni, et auteur principal du SSCF. «Il fournit une norme claire, cohérente et indispensable qui aidera les organisations à dépasser les évaluations des risques obsolètes et à réaliser des principes de confiance zéro dans leurs environnements SaaS.»
Vers des contrôles de sécurité SaaS plus cohérents
L’industrie a longtemps lutté contre un manque de contrôles de sécurité SaaS cohérents. Sans norme de l’industrie, les entreprises, les vendeurs de SaaS et les équipes de sécurité ont fini par duplication des efforts ou comporté des risques inutiles.
Le SSCF relève ce défi de longue date en offrant un cadre pratique de capacités de sécurité qui peuvent être adoptés par les fournisseurs SaaS, offrant plus de cohérence dans l’industrie tout en réduisant les risques de sécurité potentiels.
«La SSCF de la CSA est un pas en avant significatif pour la gouvernance SaaS, établissant des attentes plus claires pour les vendeurs et les acheteurs», a déclaré David Brown, vice-président des entreprises internationales chez Firemon Policy Gestion Firemon. «Mais un cadre ne réduit les risques que lorsqu’ils sont traduits en commandes opérationnelles, en particulier la visibilité continue de la politique de réseau, les commandes de sortie serrées et les vérifications automatisées de conformité.»
Brown Suite: «Les organisations qui jumentirent les exigences du SSCF avec la vérification de la posture du réseau en temps réel peuvent prouver les contrôles du travail et réduire considérablement le risque lié au SAAS.»
Validation continue
Une part croissante du trafic Internet est générée par des acteurs non humains; Les bots, les agents, les systèmes automatisés qui interagissent avec les applications SaaS d’une manière la surveillance traditionnelle manque souvent.
«Le SSCF fournit une référence bien nécessaire pour ce à quoi devrait ressembler« sécurisé par défaut »dans les environnements SaaS», a déclaré Mayur Upadhyaya, PDG chez ApiContext. « Son accent sur les contrôles techniques dans la portée du client est opportun, d’autant plus que les limites entre les utilisateurs internes, les intégrations tierces et le trafic axé sur la machine continuent de se brouiller. »
Upadhyaya a ajouté: « Un cadre comme SSCF ne peut être efficace que s’il reflète cette surface élargie et encourage la validation continue, pas seulement les configurations statiques. »
Étapes suivantes
S’il est largement adopté, SSCF offrira aux entreprises des fonctionnalités de sécurité plus cohérentes sur leur portefeuille SaaS. Les fournisseurs acquierteront les clients des contrôles de sécurité par les clients.
La prochaine phase du projet se concentrera sur la transformation du cadre en quelque chose de plus pratique en développant des directives de mise en œuvre et d’audit et un schéma d’évaluation et de certification. Plutôt que d’offrir des listes de contrôle que les fournisseurs sont encouragés à suivre, SSCF vise à offrir des améliorations de sécurité mesurables.
