Tribune : Qualys répond à Arkoon sur la pertinence du SaaS…

Arnaud Dimberton,

Pour le principal fournisseur de solutions de sécurité et de conformité en mode à la demande, le SaaS (Software as a Service), est actuellement le modèle le plus sécurisé du marché IT

Quelques éditeurs du marché, de la sécurité informatique ont remis en cause ce modèle, mettant en avant des problèmes de sécurité que pourraient rencontrer les entreprises utilisatrices.

Ainsi, Daniel Fages, fondateur d’Arkoon Network, souligne que « cette tendance engendre des problèmes spécifiques d’intégrité du réseau et de sécurité des données. Le modèle SaaS permet par exemple de télécharger à tout moment des versions révisées des applications, chacune d’elle étant un risque potentiel pour le réseau. »

Cyril Simonnet directeur général EMEA de Qualys (pionner de la sécurité en mode SaaS) revient sur le sujet :

« Les différents arguments avancés sont cependant sans véritable fondement. Prenons par exemple, le plus fréquent qui est de dire que l’externalisation de ses données dans le cadre du SaaS, augmente significativement les risques de perte, de vol et de fraude. Imaginons qu’un hacker souhaite voler les données d’une entreprise, quel serait pour lui le meilleur moyen de réussir ? Pirater l’infrastructure d’un éditeur de solutions SaaS, dont la sécurité est un élément majeur de son offre et un argument de vente ? Ou rentrer par le réseau interne de l’entreprise cliente, qui lui est, par contre, très exposé aux menaces extérieures et ce, souvent à cause des limites technologiques des solutions de sécurité « traditionnelles » ? »

« La seconde option est certainement celle que choisirait tout cyber-criminel expérimenté. N’oublions pas que les sociétés spécialisées dans le SaaS ont pour obligation, dans leurs cahiers des charges, de fournir un environnement sécurisé si elles souhaitent survivre et réaliser des bénéfices. Pour atteindre cet objectif, elles rassemblent donc des spécialistes du secteur, que se soit dans les domaines du CRM ou des ERP, et surtout s’associent aux meilleurs fournisseurs en matière de sécurité informatique. D’ailleurs Qualys participe à la sécurisation de quelques unes de ces entreprises phares du Web 2.0. »

Le SaaS, la vraie réponse aux enjeux des entreprises?

« Aujourd’hui, avec la mondialisation les entreprises sont obligées de rationnaliser leurs coûts pour être de plus en plus compétitives et ne peuvent plus se permettre d’être ralenties dans leur développement par des questions d’ordre technologique. »

« En effet, lors d’une implantation dans un nouveau pays, l’entreprise ne peut attendre le déploiement d’un SI trop complexe ; plus elle perdra de temps, moins son implantation sera bénéfique pour son chiffre d’affaire. De plus, la mobilité des salariés a fortement augmenté et les possibilités de travail hors du périmètre de l’entreprise également. Ainsi, les entreprises sont amenées à leur fournir des accès sécurisés au réseau. »

« Le principe du SaaS est de fournir des applications aux utilisateurs via un browser Internet ; sans avoir à déployer les solutions au sein du SI de l’entreprise et sur les postes de travail, serveurs et autres matériels du groupe. « Cependant, toutes les applications de l’entreprise ne sont pas à prendre en compte. Celles directement liées au métier même de l’entreprise sont rarement concernées par le SaaS ; elles doivent rester sur le réseau interne de l’entreprise. Seules les applications relatives au fonctionnement divers de l’entreprise peuvent être externalisées, comme par exemple la gestion des vulnérabilités, la mise en conformité, la gestion des ressources humaines, les ERP ou le CRM… » Il est naturel, voire indispensable, que ces éditeurs prennent la parole pour mettre en garde les utilisateurs contre le modèle du SaaS. Il n’est en effet pas de grand progrès ou de nouvelles technologies qui n’aient pas eu ses détracteurs à leur lancement. Peut être d’ailleurs est-ce là les signes du succès ? Pour eux, ce nouveau modèle est à la fois une menace et dans une moindre mesure, une opportunité. « En effet, le nouveau paradigme créé par le modèle SaaS dérange les éditeurs traditionnels : les logiciels ne sont plus vendus, ni déployés et encore moins mis à jour de la même manière… Et c’est ici tout le modèle économique des éditeurs de logiciels traditionnels qui est remis en cause… On ne paie plus pour passer de la version 1.0 à la version 2.0, on ne paie plus pour des contrats de maintenance puisqu’avec le SaaS, tout est compris dans l’abonnement ! »