Nous avons l'habitude de considérer la sécurisation des plates-formes SaaS (Software-as-a-Service) et du cloud comme deux bêtes distinctes. Cette séparation découle de la façon dont le SaaS et le cloud public sont apparus respectivement comme des solutions ponctuelles et une extension du centre de données traditionnel. Aujourd’hui, avec l’avènement du low code, cette séparation est une erreur et nous empêche de voir ce qui se trouve sous nos yeux. Le low code fait des plates-formes SaaS une partie du cloud public, un endroit où les développeurs créent plusieurs applications plutôt que d'en consommer une seule : une plate-forme cloud.
Si nous ne parvenons pas à changer notre état d’esprit, nous en arriverons là où nous en sommes aujourd’hui, où ces applications restent à gagner, sans aucune visibilité en matière de sécurité. Et pour aggraver les choses, les applications low-code sont intégrées directement dans des plateformes comme Salesforce et Microsoft Dynamics, que nous utilisons tous et qui contiennent nos données commerciales les plus sensibles.
Comment en sommes-nous arrivés là?
Les histoires d’origine sont toujours intéressantes car elles expliquent quelque chose de fondamental sur la façon dont nous percevons le héros de l’histoire. Alors que le SaaS était au départ une extension du réseau d’entreprise, le cloud public était au départ une extension du centre de données. Ces points de départ très différents expliquent pourquoi la sécurisation du SaaS a commencé avec le shadow IT (protection du périmètre) et la sécurisation du cloud public a commencé avec la protection des charges de travail (serveurs lift-and-shift et leurs agents réseau/hôte). Cela signifiait également que différentes équipes de sécurité étaient chargées de sécuriser le SaaS et le cloud, ce qui conduisait bien sûr à une séparation des outils, à une modélisation différente des menaces et, surtout, à la formation de mentalités différentes en matière de sécurité.
Le SaaS et le cloud public ont considérablement évolué depuis ces débuts. Les fournisseurs de cloud public ont introduit des paradigmes de calcul toujours plus granulaires, introduisant progressivement l'infrastructure en tant que service (IaaS), la plate-forme en tant que service (PaaS) et le sans serveur pour aider les développeurs à se concentrer sur le problème commercial en question. Ils ont également construit tout un écosystème de solutions prêtes à l'emploi pour des problèmes complexes mais courants : identité, autorisations, journalisation, configuration et déploiement, pour n'en nommer que quelques-uns.
SaaS signifiait auparavant une solution ponctuelle à un problème spécifique. Salesforce a commencé comme un CRM, ServiceNow comme un système de tickets et Office365 comme un courrier électronique, des feuilles de calcul, des documents et des diapositives. (Bien qu'il s'agisse de plusieurs solutions, celles-ci sont très spécifiques.) Comparez cela avec aujourd'hui : les développeurs Salesforce créent des applications pour à peu près n'importe quel besoin professionnel au-dessus de la plateforme Salesforce, les applications low-code ServiceNow sont gérer à peu près n'importe quoi des processus RH aux processus de santé et financiers, et Power Platform, la plate-forme low-code de Microsoft intégrée à Office365, est utilisée par plus de 20 millions d'utilisateurs à travers l'industrie pour répondre à tous les besoins de l'entreprise, de la productivité aux processus d’approvisionnement et liés au COVID.
De toute évidence, celles-ci sont devenues des plates-formes de développement d’applications d’entreprise et ne proposent plus de solutions à des problèmes commerciaux spécifiques. De nombreux développeurs choisissent aujourd'hui de créer leurs applications sur des abstractions fournies par la plateforme, qu'il s'agisse de fonctions sans serveur sur le cloud public ou de blocs de construction extensibles sur des plateformes SaaS low-code.
L’introduction des développeurs commerciaux
Comparer les débuts des plates-formes SaaS et leur situation actuelle montre clairement à quel point elles ont évolué par rapport à leurs versions précédentes. Mais il reste encore un changement majeur que nous n’avons pas encore mentionné : l’introduction des business développeurs.
Les plateformes SaaS low-code tirent leur puissance des données qu’elles conservent et de leurs utilisateurs existants. Ces deux éléments ne se limitent pas à l’informatique, mais sont plutôt fortement orientés vers l’entreprise. Ayant accès à la fois aux données de l'entreprise et aux utilisateurs professionnels, le SaaS est dans la position idéale pour s'attaquer au problème le plus urgent auquel de nombreuses entreprises sont aujourd'hui confrontées : la transformation numérique.
Face à la pénurie mondiale de développeurs et à la difficulté de rationaliser un processus métier impliquant autant de parties prenantes, les plateformes low-code introduisent un raccourci, permettant aux utilisateurs professionnels de rationaliser eux-mêmes leurs processus sans attendre l'informatique.
Le low code prend son envol auprès des utilisateurs professionnels, à tel point que dans son discours Inspire 2019, le PDG de Microsoft, Satya Nadella discuté de l'opportunité de low code pour responsabiliser les gens et créer de nouveaux emplois de col blanc, tout comme Excel l'a fait.
Tout comme le cloud public est une plateforme de développement d'applications permettant aux développeurs de se concentrer sur leur logique métier, les plateformes SaaS sont devenues des plateformes de développement d'applications utilisant le low code pour permettre aux utilisateurs professionnels de devenir développeurs et de répondre à tous les besoins de l'entreprise.
Le SaaS se concentre désormais sur de nouveaux types de développeurs répondant à toute une gamme de besoins commerciaux non satisfaits avec des applications dédiées, créant ainsi un nouveau type de cloud : le cloud professionnel.
Sécuriser le Low Code comme extension du Cloud
Avec la prise de conscience que certaines plateformes SaaS sont désormais des plateformes de développement d’applications et une extension du cloud, nous devrions réexaminer la responsabilités pour sécuriser ces applications et les placer sous l’égide de l’équipe de sécurité.
Nous devrions traiter les plateformes comme Salesforce, ServiceNow et Office365 de la même manière que nous traitons AWS, Azure et GCP, où nous nous concentrons sur les applications qui ont été créées et hébergées sur ces plateformes de développement d'applications plutôt que de traiter l'ensemble de la plateforme comme une seule application. .
Le Shadow IT, par exemple, reste un problème avec des SaaS de plus en plus petits et toujours plus nombreux. Mais cela n’a pas de sens de traiter une seule plate-forme mentionnée ci-dessus comme une seule application à découvrir et à cataloguer. Au lieu de cela, nous devrions découvrir et cataloguer les applications créées avec ces plates-formes – et il en existe des dizaines de milliers. Dans la plupart des organisations, cette énorme complexité est cachée derrière une seule ligne dans l’inventaire des applications.
Les applications créées avec des plates-formes SaaS low-code doivent être examiné avec la même rigueur de sécurité que celle que nous utilisons pour celles construites sur le cloud car, en fin de compte, une application reste une application, peu importe où elle a été créée et hébergée.
Ce qui compte pour la sécurité de nos applications métier, ce sont les personnes, les processus et les outils impliqués dans la création, la maintenance et la protection de ces applications. Pour les applications construites dans le cloud, nous disposons de développeurs professionnels, de processus CI/CD automatisés et de divers outils de sécurité allant de l'analyse de code et de l'analyse dynamique à la surveillance et à la prévention de l'exécution. Pour les applications construites sur des plateformes SaaS low-code, nous avons des développeurs professionnels mais aussi des utilisateurs professionnels qui sont pas doué en matière de sécurité, avec peu ou pas de processus de déploiement et aucun contrôle ou garantie de sécurité.
En pensant aux plates-formes low-code dans le cadre du SaaS, il nous est difficile de voir qu'un majeur partieInvestir dans des appareils économes en énergie et passer à l'éclairage de nos applications métiers sont désormais développées par l'entreprise, en dehors de l'informatique et du contrôle de sécurité. Pour commencer à voir le problème et à déterminer notre approche, nous devons changer notre état d'esprit pour reconnaître les plates-formes low-code comme faisant partie du cloud et traiter les applications sur ces plates-formes comme nous le faisons pour n'importe quelle autre application.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
