L’extension de navigateur LastPass pour la gestion des mots de passe est déjà bien positionnée pour observer – et même restreindre – l’utilisation du Web par les employés. Et la société a annoncé qu’elle se diversifiait dans la surveillance du SaaS pour les petites et moyennes entreprises (PME).
La surveillance de l’utilisation des solutions de SaaS fait partie d’une catégorie technologique plus large connue sous le nom de gestion des identités et des accès SaaS (SaaS IAM).
Alors que de plus en plus d’employés sont attirés par l’IA pour améliorer leur productivité, l’entreprise propose une solution abordable pour aider les PME à contenir les risques et les coûts associés au shadow SaaS, une catégorie qui regroupe selon elle le shadows IT et sa dernière variante, le shadow AI.
9 dollars par poste et par mois
Comparé au tarif de 7 $ par utilisateur et par mois facturé par LastPass pour son niveau Business Edition, le nouveau niveau Business Max – qui inclut la capacité de surveillance SaaS – coûtera 9 $ par utilisateur et par mois.
« Détecter quels employés accèdent à quelles applications est facile », a déclaré Don MacLennan, chef de produit chez LastPass, à ZDNET. « Sauf que ce problème est résolu par des technologies très coûteuses et très complexes, pour les grandes entreprise. Mais une entreprise de taille moyenne ne peut pas se permettre cela ».
Selon M. MacLennan, LastPass est utilisé par des organisations dont la taille varie de 20 à « quelques milliers » d’employés. Et la principale raison pour laquelle ces entreprises ont besoin d’un gestionnaire de mots de passe est la prolifération des applications SaaS au sein de l’entreprise. Afin de minimiser les risques associés à une mauvaise hygiène des mots de passe, les entreprises se tournent vers les gestionnaires de mots de passe comme moyen d’appliquer les meilleures pratiques en matière de gestion des informations d’identification.
La force de l’extension de navigateur pour gérer les accès
Non seulement les gestionnaires de mots de passe se trouvent déjà sur le chemin critique de l’accès aux applications SaaS, mais les extensions de gestion de mots de passe que presque tous les utilisateurs installent dans leur navigateur web ont les superpouvoirs nécessaires pour lire, manipuler (modifier) et remplir automatiquement chaque page web qu’un utilisateur visite. Lors de l’installation d’une extension de gestion de mots de passe dans Chrome, par exemple, le navigateur demande à l’utilisateur d’autoriser cette extension à « lire et modifier toutes vos données sur tous les sites web », comme le montre la capture d’écran partielle ci-dessous.
Capture d’écran par David Berlind/ZDNET
Sans installer de nouveaux agents de gestion, les extensions de gestionnaires de mots de passe ont donc déjà le pouvoir d’observer et de documenter tout ce qu’un utilisateur fait avec son navigateur web. Et donc de perturber ses tentatives d’accès à des sites SaaS non approuvés par l’organisation.
À titre d’exemple, une organisation qui tente de contrôler l’utilisation d’applications d’IA non approuvées – c’est-à-dire de shadow IA – pourrait utiliser la solution de surveillance SaaS de LastPass pour identifier où les employés se connectent aux applications approuvées et non approuvées, et prendre les mesures de réduction des risques jugées nécessaires.
Conformité et gestion du risque
Selon IBM sur les risques liés aux données et au shadow IA, « diverses parties prenantes de l’organisation peuvent facilement l’exposer à des risques liés à des données non approuvées, à des modèles d’IA et à l’utilisation générale de l’IA. Ces utilisations peuvent être invisibles pour les équipes informatiques et de sécurité ». Les conclusions d’IBM rejoignent celles de l’étude de Gartner qui indique que « d’ici 2027, 75 % des employés acquerront, modifieront ou créeront des technologies en dehors de la visibilité de l’équipe informatique – contre 41 % en 2022 ».
LastPass considère que les nouvelles fonctionnalités s’alignent sur les objectifs commerciaux d’une organisation de différentes manières.
« L’une d’entre elles pourrait être la conformité », a déclaré M. MacLennan à ZDNET. « Une autre pourrait être la gestion du risque de l’organisation. Un autre pourrait être le coût, car nous faisons apparaître les applications par catégorie, auquel cas vous verrez tout l’univers des applications dupliquées en cours d’utilisation ».
Repérer les doublons de licence
M. MacLennan fait remarquer que la nouvelle offre permet de réduire facilement les coûts liés à l’approvisionnement excessif en licences SaaS. Par exemple, une organisation paie pour 100 postes d’une solution SaaS alors que l’outil de surveillance SaaS révèle que seulement 30 de ces licences sont utilisées.
LastPass n’est pas le premier fournisseur de solutions de gestion de mots de passe à s’aventurer dans la catégorie adjacente de l’IAM SaaS. Plus tôt cette année, 1Password a diversifié son portefeuille de solutions avec l’acquisition de Trelica.
La capture d’écran ci-dessous montre un exemple des analyses que les administrateurs de LastPass peuvent voir lorsqu’ils consultent son tableau de bord de surveillance SaaS.
Orienter vers les applications approuvées
Par exemple, des statistiques d’un coup d’œil sur la façon dont les utilisateurs se connectent à leurs applications SaaS – via l’authentification unique à travers une solution comme Okta, via un passkey, ou via un mot de passe.
Dans le cadre d’un exercice de gestion des risques, un service informatique pourrait utiliser ce type de données pour inciter davantage d’employés à accéder aux applications approuvées par l’organisation via l’authentification unique ou les clés d’accès par rapport à l’utilisation plus risquée des mots de passe. En outre, le tableau de bord révèle dans quelle mesure les utilisateurs utilisent LastPass pour gérer leurs informations d’identification par rapport aux approches manuelles plus risquées de la gestion des mots de passe.
Capture d’écran par LastPass/ZDNET
La nouvelle solution a ses limites. Par exemple, par rapport aux agents de bureau et mobiles qui peuvent surveiller toute l’utilisation des applications de bureau et SaaS (c’est-à-dire pas seulement les applications web), la visibilité de l’extension web de LastPass est limitée à toutes les applications SaaS auxquelles on accède par le biais d’un navigateur web de bureau.