Il n’est pas surprenant que les applications SaaS aient changé notre façon de travailler, tant dans notre vie personnelle que professionnelle. Nous nous appuyons régulièrement sur des applications basées sur le cloud et à distance pour exécuter nos fonctions de base, ce qui fait que le seul véritable périmètre de nos réseaux est devenu les identités avec lesquelles nous nous connectons à ces services.
Malheureusement, comme c’est souvent le cas, notre appétit pour de meilleurs flux de travail, collaboration et communications a dépassé notre volonté de garantir la sécurité de ces outils et processus lorsque nous les avons intégrés à nos environnements, nous déchargeant ainsi de notre contrôle sur la sécurité de nos données. Chacune de ces applications demande différents niveaux d’autorisations sur nos données, qui dépendent souvent des services d’autres fournisseurs, créant non pas un réseau, mais un enchevêtrement d’interdépendances complexes qui sont devenues si complexes que la plupart des équipes de sécurité et informatiques ne savent même pas combien d’applications SaaS sont connectées, et encore moins ce qu’elles sont ou leurs autorisations d’accès.
Notre tentation collective – et compréhensible – de flexibilité et d’évolutivité nous a conduit là où nous en sommes aujourd’hui : la plupart d’entre nous ne peuvent pas opérer dans des entreprises modernes sans applications SaaS, car elles sont devenues vitales pour nos opérations, mais se retrouvent vulnérables aux attaques sur ces services et applications basés sur le cloud.
Les acteurs malveillants comprennent le modèle « en tant que service » aussi bien que quiconque, vendant souvent des ransomwares en tant que service sur le dark web à leurs affiliés. Ils comprennent qu’attaquer ces fournisseurs d’applications SaaS tiers ne mène pas seulement aux joyaux de la couronne d’une entreprise, mais à de nombreuses autres. Augmentation de 68 % des attaques provenant d’applications tierces en 2023, et les chercheurs s’accordent tous à dire que ce chiffre ne fera qu’augmenter à mesure que l’adoption du SaaS continue de croître.
Heureusement, il existe des mesures à prendre pour démêler cette boule de poils SaaS dont les équipes informatiques et de sécurité du monde entier doivent se débrouiller.
Comprendre votre environnement SaaS et votre shadow IT
Cela semble si simple : si vous avez besoin de sécuriser quelque chose, vous devez d’abord savoir que cette information existe. Mais comme nous le savons, en matière de SaaS, ce n’est jamais simple.
Le Shadow IT, c’est-à-dire tout outil ou programme installé et ayant accès aux données de l’entreprise sans que les équipes informatiques et/ou de sécurité n’en soient informées, est omniprésent. Imaginez : lorsqu’un membre du service marketing a besoin d’utiliser un nouvel outil de conception disponible sous forme d’application SaaS, il se connecte, lui accorde l’accès à vos fichiers partagés pour faciliter les téléchargements et/ou les chargements, et il ne veut pas passer par le service informatique pour l’obtenir pour un certain nombre de raisons (cela prend trop de temps, la demande peut être refusée, le délai est serré, etc.). Ces applications ont souvent une visibilité et des autorisations immenses sur les données de l’entreprise sans que personne du côté de la sécurité ne sache même qu’elles existent ou ne surveille les comportements suspects.
Pour comprendre l’ampleur du problème et pourquoi obtenir une vue complète de votre environnement SaaS, faisons quelques calculs approximatifs.
- La plupart des entreprises ont, en moyenne, ~500 applications métiers connectés à leur environnement.
- Parmi ceux-ci, environ 49 % sont sanctionnés/approuvés par le service informatique/sécurité et ~51% sont des applications non autorisées.
- Chaque application a généralement 9 utilisateurs par application
- Si nous multiplions le nombre d’utilisateurs par application (9) par le nombre d’applications non autorisées (~255), cela équivaut à une moyenne de 2 295 vecteurs d’attaque potentiellement uniques que les équipes informatiques et de sécurité n’ont aucune visibilité et que les acteurs de la menace adorent exploiter.
C’est pourquoi il est essentiel de comprendre combien d’applications sont connectées à votre environnement, ce qu’elles font, quelles sont leurs autorisations et leur activité. Ces autorisations et cette surveillance doivent également être effectuées en permanence : vous ne savez jamais quand quelqu’un pourrait contourner le service informatique et ajouter une nouvelle application ou un nouveau service et lui accorder un accès complet à vos données.
Découvrez toutes les applications connectées à vos données, y compris les applications fantômes
Fermez les routes ouvertes à vos données
Une fois que vous maîtrisez vos applications, il est temps de modéliser vos autorisations et de vous assurer que ces applications et ces utilisateurs ne bénéficient pas d’autorisations excessives. Cela nécessite également une surveillance constante : souvent, ces applications peuvent modifier leurs structures d’autorisations pour exiger davantage d’accès sans le préciser clairement.
Récemment, la vague de violations très médiatisées, toutes associées au fournisseur de stockage cloud Snowflake, a mis en évidence Comment les organisations sont-elles vulnérables ? C’est souvent le cas. Ticketmaster, Santander Bank et Advance Auto Parts ont toutes été victimes de la même attaque, qui résultait du vol d’identifiants antérieurs, d’un fournisseur de stockage tiers (Snowflake) permettant la mise en place de ces coffres de stockage cloud sans IDP ou MFA, et d’entreprises contournant les meilleures pratiques pour configurer leurs données massives de manière à ce qu’elles soient protégées uniquement par des mots de passe.
Pour faire le premier pas vers la sécurisation de leur écosystème SaaS, les entreprises doivent avant tout le cartographier : comprendre toutes les applications connectées, les identités associées et les actions. Cela peut demander beaucoup de travail et ce n’est que la pointe de l’iceberg. Il y a aussi l’espoir que les employés fautifs diront la vérité sur l’utilisation d’une application non autorisée.
Pour éviter une violation, les entreprises doivent :
- Connaître toutes les applications SaaS utilisées (connues et inconnues), en particulier celles qui ont des besoins d’accès approfondis ou qui détiennent des données propriétaires/clients
- Assurez-vous que ces applications à haut risque sont protégées avec IDP, MFA, etc.
- Assurez-vous que les utilisateurs de ces applications ne bénéficient pas de privilèges excessifs
- Soyez alerté et capable de prendre des mesures rapides lorsque les applications et/ou les données qui les transitent sont consultées et/ou déplacées de manière suspecte
Ce type de surveillance des accès, des autorisations et de l’utilisation présente l’avantage supplémentaire d’aider votre entreprise à rester en conformité avec un certain nombre d’agences et/ou de régulateurs. Si vos données sont piratées en raison d’une violation par un tiers, le fait de ne pas connaître l’application et son accès aux données n’est pas bien accueilli. Ce type de surveillance ne doit pas non plus se faire au détriment de la convivialité, comme nous le voyons dans notre situation actuelle de shadow IT rampante.
Découvrez comment être informé des utilisateurs sans MFA activé dans vos applications SaaS
En conclusion : sécurisez le fonctionnement de votre entreprise
De toute évidence, les applications SaaS sont là pour rester, de l’aide à la vente à la gestion de bases de données en passant par les outils d’IA. C’est passionnant et cela nous a ouvert des opportunités de travailler de manières et dans des lieux nouveaux et innovants. Maintenant que nous en sommes conscients, il est également temps de commencer à démêler la pelote de fil SaaS qu’est devenu notre environnement.
À mesure que les acteurs malveillants trouveront de plus en plus de nœuds de défaillance et de dépendance dans cet enchevêtrement, ils seront de plus en plus capables de les exploiter en commettant des violations plus importantes et plus dévastatrices. Plus nous accorderons la priorité à la sécurisation de notre façon de travailler, plus nous serons en mesure d’accomplir de grandes choses.
Note: Cet article est rédigé de manière experte et rédigé par Dvir Sasson, directeur de la recherche en sécurité chez Reco.