Ce n’est un secret pour personne que les applications tierces peuvent augmenter la productivité, permettre le travail à distance et hybride et sont, dans l’ensemble, essentielles pour créer et faire évoluer les processus de travail d’une entreprise.
Un processus inoffensif un peu comme cliquer sur une pièce jointe était dans les premiers jours du courrier électronique, les gens n’hésitent pas à connecter une application dont ils ont besoin avec leur espace de travail Google ou leur environnement M365, etc. Des actions simples que les utilisateurs prennent, de la création d’un courrier électronique à la mise à jour d’un contact dans le CRM, peut entraîner plusieurs autres actions et notifications automatiques dans les plateformes connectées.
Comme le montre l’image ci-dessous, le mécanisme OAuth facilite incroyablement l’interconnexion des applications et beaucoup ne considèrent pas quelles pourraient être les ramifications possibles. Lorsque ces applications et autres modules complémentaires pour les plates-formes SaaS demandent l’accès aux autorisations, elles sont généralement accordées sans arrière-pensée, ce qui offre davantage d’opportunités aux mauvais acteurs d’accéder aux données d’une entreprise. Cela expose les entreprises au risque d’attaques d’accès à la chaîne d’approvisionnement, de prises de contrôle d’API et d’applications tierces malveillantes.
Demande d’autorisation du mécanisme Oauth |
En ce qui concerne les machines locales et les fichiers exécutables, les organisations disposent déjà d’un contrôle intégré qui permet aux équipes de sécurité de bloquer les programmes et fichiers problématiques. Il doit en être de même pour les applications SaaS.
Découvrez comment gagner en visibilité sur votre pile SaaS
Comment les applications tierces obtiennent-elles l’accès ?
OAuth 2.0 a grandement simplifié l’authentification et l’autorisation, et offre une délégation fine des droits d’accès. Représentée sous forme de scopes, une application demande l’autorisation de l’utilisateur pour des autorisations spécifiques. Une application peut demander une ou plusieurs étendues. Grâce à l’approbation des portées, l’utilisateur accorde à ces applications des autorisations pour exécuter du code afin d’exécuter une logique en coulisse dans leur environnement. Ces applications peuvent être inoffensives ou aussi menaçantes qu’un fichier exécutable.
Meilleures pratiques pour atténuer les risques d’accès aux applications tierces
Pour sécuriser la pile SaaS d’une entreprise, l’équipe de sécurité doit être en mesure d’identifier et de surveiller tout ce qui se passe au sein de son écosystème SaaS. Voici ce qu’une équipe de sécurité peut partager avec les employés et gérer elle-même pour atténuer le risque d’accès aux applications tierces.
1 — Former les employés de l’organisation
La première étape de la cybersécurité revient toujours à la sensibilisation. Une fois que les employés seront plus conscients des risques et des dangers que présentent ces mécanismes OAuth, ils seront plus réticents à les utiliser. Les organisations doivent également créer une politique qui oblige les employés à soumettre des demandes d’applications tierces.
2 — Gagnez en visibilité sur l’accès des tiers pour toutes les applications critiques de l’entreprise
Les équipes de sécurité doivent avoir une visibilité sur chaque application critique pour l’entreprise et examiner toutes les différentes applications tierces qui ont été intégrées à leurs applications SaaS critiques pour l’entreprise – sur tous les principes. L’une des premières étapes pour réduire la surface de la menace consiste à comprendre l’ensemble de l’environnement.
3 — Mappez les autorisations et les niveaux d’accès demandés par les applications tierces connectées
Une fois que l’équipe de sécurité sait quelles applications tierces sont connectées, elle doit mapper les autorisations et le type d’accès accordé à chaque application tierce. À partir de là, ils pourront voir quelle application tierce présente un risque plus élevé, en fonction du niveau de portée le plus élevé. Être capable de faire la différence entre une application qui peut lire et une application qui peut écrire aidera l’équipe de sécurité à prioriser ce qui doit être traité en premier.
En outre, l’équipe de sécurité doit identifier les utilisateurs auxquels ces autorisations ont été accordées. Par exemple, un utilisateur à privilèges élevés, quelqu’un qui a des documents sensibles dans son espace de travail, qui accorde l’accès à une application tierce peut présenter un risque élevé pour l’entreprise et doit être corrigé immédiatement.
4 — Bénéficiez de l’approche automatisée pour gérer l’accès aux applications tierces
Les solutions SaaS de gestion de la posture de sécurité peuvent automatiser la découverte d’applications tierces. La bonne solution SSPM, comme Adaptive Shield, a une logique intégrée qui cartographie toutes les applications tierces ayant accès aux applications intégrées SSPM de l’organisation. Cette visibilité et cette surveillance permettent aux équipes de sécurité de sorte qu’une entreprise dispose de 100 ou 600 applications, elles peuvent facilement garder le contrôle, surveiller et sécuriser la pile SaaS de leur entreprise.
La plus grande image de la sécurité SaaS
Pour sécuriser la pile SaaS d’une entreprise, l’équipe de sécurité doit être en mesure d’identifier et de surveiller tout ce qui se passe au sein de son écosystème SaaS. L’accès aux applications tierces n’est qu’un élément de l’image de la gestion de la posture de sécurité SaaS.
La plupart des solutions de cybersécurité existantes n’offrent toujours pas une protection adéquate ou un moyen pratique de surveiller la pile SaaS d’une entreprise, sans parler des communications entre leurs applications et plates-formes connues, laissant les entreprises vulnérables et incapables de savoir ou de contrôler efficacement quelles parties ont accès à des données sensibles d’entreprise ou données personnelles.
Les organisations doivent être en mesure de voir toutes les configurations et les autorisations utilisateur de chaque application, y compris toutes les applications tierces auxquelles les utilisateurs ont accordé l’accès. De cette façon, les équipes de sécurité peuvent garder le contrôle de la pile SaaS, résoudre tous les problèmes, bloquer toutes les applications utilisant trop de privilèges et atténuer leurs risques.