Le cadre de cybersécurité du National Institute of Standards and Technology (NIST) des États-Unis est l’une des lignes directrices les plus importantes au monde en matière de sécurisation des réseaux. Il peut être appliqué à un certain nombre d’applications, y compris SaaS.
L’un des défis auxquels sont confrontés les responsables de la sécurisation des applications SaaS réside dans les différents paramètres présents dans chaque application. Il est difficile de développer une politique de configuration qui s’appliquera à une application RH qui gère les employés, une application marketing qui gère le contenu et une application R&D qui gère les versions logicielles, tout en s’alignant sur les normes de conformité du NIST.
Cependant, plusieurs paramètres peuvent être appliqués à presque toutes les applications de la pile SaaS. Dans cet article, nous explorerons quelques configurations universelles, expliquerons pourquoi elles sont importantes et vous guiderons dans leur configuration de manière à améliorer la sécurité de vos applications SaaS.
Commencez par les administrateurs
Le contrôle d’accès basé sur les rôles (RBAC) est une clé de l’adhésion au NIST et doit être appliqué à chaque application SaaS. Il existe deux types d’autorisations au sein d’une application SaaS. L’accès fonctionnel couvre des éléments tels que la création de comptes et la navigation dans l’application. Les autorisations d’accès aux données, en revanche, déterminent quels utilisateurs peuvent récupérer et modifier les données. Le compte administrateur (ou le compte super-administrateur dans certaines applications) est le plus sensible au sein de l’application, car il dispose d’un accès complet aux deux types d’autorisations.
Pour les acteurs malveillants, pirater un compte administrateur équivaut à gagner à la loterie. Ils ont accès à tout. Les organisations doivent faire tout ce qui est en leur pouvoir pour garder le contrôle de ces comptes. Ce contrôle est géré via des configurations et des bonnes pratiques.
Mettre en œuvre une redondance limitée
Il est important d’avoir au minimum deux administrateurs pour chaque application. Cette redondance rend difficile pour un administrateur d’agir seul contre les meilleurs intérêts de l’organisation, car les administrateurs peuvent se surveiller mutuellement pour déceler tout signe de violation.
Cependant, chaque administrateur augmente la surface d’attaque de l’application. Les organisations doivent trouver un équilibre entre disposer d’un nombre suffisant d’administrateurs pour gérer correctement l’application tout en limitant l’exposition. Un examen automatisé du nombre d’administrateurs devrait déclencher des alertes lorsque le nombre d’administrateurs est en dehors de la plage préférée.
Éliminer les administrateurs externes
Les administrateurs externes introduisent une nouvelle couche d’incertitude dans la sécurité SaaS. Parce qu’elle se trouve en dehors de l’organisation, l’équipe de sécurité ne peut pas contrôler les politiques de mot de passe ou les outils d’authentification qu’elle utilise.
Par exemple, si un acteur malveillant tente de se connecter à votre application et clique sur Mot de passe oublié, il n’existe aucun moyen de savoir s’il peut pirater le compte de messagerie de l’administrateur externe. Ce manque de surveillance des utilisateurs externes pourrait entraîner une violation profonde de votre application SaaS, c’est pourquoi le NIST déconseille d’avoir des administrateurs externes. En fonction de l’application, empêchez les administrateurs externes d’obtenir des privilèges d’administrateur ou identifiez les utilisateurs externes dotés de droits d’administrateur et supprimez ces privilèges.
Pour les entreprises qui embauchent une société informatique externe ou qui sous-traitent à des MSSP, ces personnes ne doivent pas être considérées comme externes. Cependant, ils doivent continuer à surveiller les autres utilisateurs externes bénéficiant d’autorisations d’administrateur.
Exiger l’authentification MFA d’administration
Pour se conformer aux normes NIST, tous les comptes d’utilisateurs administrateurs doivent être tenus d’accéder à l’application à l’aide d’une authentification multifacteur (MFA), telle qu’un mot de passe à usage unique (OTP). MFA exige que les utilisateurs présentent au moins deux pièces d’identité avant d’authentifier l’utilisateur. Un acteur malveillant devrait compromettre deux systèmes d’authentification, augmentant ainsi le niveau de difficulté de la compromission et réduisant le risque pour le compte. Assurez-vous de définir MFA pour les administrateurs comme requis (nous recommandons également MFA pour tous les utilisateurs, mais c’est un incontournable pour les administrateurs).
Téléchargez cette liste de contrôle et découvrez comment aligner votre sécurité SaaS avec le NIST
Prévenir les fuites de données
Les fuites de données SaaS présentent des risques importants pour les organisations et leurs utilisateurs, compromettant potentiellement les informations sensibles stockées dans les applications basées sur le cloud. Les applications SaaS sont commercialisées comme outils de collaboration. Cependant, les configurations qui permettent aux utilisateurs de travailler ensemble peuvent également compromettre les fichiers et les données. Le NIST, pour sa part, préconise de surveiller les autorisations de chaque ressource.
Un calendrier visible peut exposer les employés à des attaques de phishing d’ingénierie sociale, tandis que les référentiels partagés peuvent conduire au partage public du code source interne d’une entreprise. Les e-mails, les fichiers et les tableaux contiennent tous des données sensibles qui ne devraient pas être accessibles au public. Bien que les configurations suivantes soient souvent appelées différemment dans chaque application, presque toutes les applications qui stockent du contenu auront ce type de contrôle.
Arrêter le partage public
La différence entre Partager avec tous et Partager avec un utilisateur est profonde. Lorsque les éléments sont partagés avec tous, toute personne disposant d’un lien peut accéder aux documents. En revanche, Partager avec un utilisateur ajoute un mécanisme d’authentification supplémentaire, car l’utilisateur doit se connecter avant d’accéder au matériel.
Pour réduire le contenu exposé, les administrateurs de l’application doivent désactiver le partage sur les URL publiques (« Toute personne disposant du lien »). De plus, certaines applications permettent aux utilisateurs de révoquer l’accès à des URL déjà créées. Lorsqu’elles sont disponibles, les organisations doivent s’assurer d’activer ce paramètre.
Définir les invitations à expirer
De nombreuses applications permettent aux utilisateurs autorisés d’inviter des utilisateurs externes à l’application. Cependant, la plupart des applications n’implémentent pas de date d’expiration des invitations. Dans ces circonstances, les invitations envoyées des années auparavant peuvent donner accès à un acteur malveillant qui vient de pirater le compte de messagerie d’un utilisateur externe. L’activation d’une date d’expiration automatique sur les invitations élimine ce type de risque.
Il convient de noter que dans certaines applications, les modifications de configuration sont rétroactives, tandis que d’autres ne prendront effet qu’à l’avenir.
Alignez votre sécurité SaaS sur les normes NIST – téléchargez le guide complet
Renforcer les mots de passe pour renforcer la sécurité des applications
Les mots de passe constituent la première ligne de défense contre les accès non autorisés. Le NIST préconise une politique de mot de passe solide et bien gérée, essentielle pour protéger les données sensibles des utilisateurs, les informations commerciales confidentielles et les actifs propriétaires stockés dans l’infrastructure cloud. Le caractère unique, la complexité et la mise à jour régulière des mots de passe sont des aspects essentiels d’une posture de sécurité robuste.
Les mots de passe constituent un élément fondamental dans une approche de sécurité à plusieurs niveaux, complétant d’autres mesures de sécurité telles que l’authentification multifacteur (MFA) et le cryptage. Les mots de passe compromis peuvent constituer une passerelle permettant à des acteurs malveillants d’exploiter les vulnérabilités de l’environnement SaaS. La gestion efficace des mots de passe améliore la résilience globale des systèmes SaaS, contribuant ainsi à un écosystème numérique plus sécurisé et plus fiable pour les entreprises et leurs utilisateurs.
Prévenir les attaques par pulvérisation de mot de passe
Lors d’une attaque par pulvérisation, les acteurs malveillants saisissent un nom d’utilisateur et un mot de passe courant, dans l’espoir d’avoir de la chance et d’accéder à l’application. Exiger la MFA est le moyen recommandé pour empêcher les attaques par pulvérisation de mot de passe. Pour ceux qui n’insistent pas pour que les employés utilisent la MFA dans le cadre du processus d’authentification, de nombreuses applications permettent aux organisations d’interdire l’utilisation de mots comme mots de passe. Cette liste de mots comprendrait des termes tels que password1, letmein, 12345 et les noms des équipes sportives locales. De plus, cela inclurait des termes tels que le nom de l’utilisateur, les produits de l’entreprise, les partenaires et d’autres termes commerciaux.
Entrer dans les configurations et ajouter une liste personnalisée de mots interdits peut réduire considérablement le risque d’une attaque réussie par pulvérisation de mot de passe.
Complexité du mot de passe
La plupart des applications SaaS permettent à l’organisation de personnaliser la complexité des mots de passe. Celles-ci vont de l’autorisation de n’importe quel mot de passe à l’exigence de caractères alphanumériques, de lettres majuscules et minuscules, de symboles ou d’une longueur de mot de passe. Mettez à jour les exigences en matière de mot de passe dans l’application pour qu’elles correspondent à la politique de votre organisation.
Si votre organisation ne dispose pas de politique de mot de passe, envisagez de suivre les directives du NIST :
- N’effectuez pas de modifications obligatoires des mots de passe, car les utilisateurs ont tendance à choisir des mots de passe faciles à retenir.
- Utilisez des mots de passe longs plutôt que des mots de passe complexes. Les combinaisons de chiffres, de caractères spéciaux et de caractères minuscules/majuscules suivent généralement un format comme celui-ci : Mot de passe1 !. Ceux-ci sont faciles à utiliser par force brute. Un mot de passe long comme MyFavoriteDessertIsPecanPie est facile à retenir mais avec 27 caractères, difficile à forcer brutalement.
- Limitez les tentatives de mot de passe à 10 maximum.
- Filtrez les mots de passe par rapport aux mots de passe publiés et à d’autres mots faciles à deviner avec une liste de mots interdits.
Les configurations comptent vraiment
Environ 25 % de tous les incidents de sécurité liés au cloud commencent par un paramètre mal configuré. En plus de celles mentionnées ici concernant l’accès, les mots de passe et les fuites de données, qui sont assez universelles, les configurations sont utilisées pour la gestion des clés, la sécurité mobile, la résilience opérationnelle, la protection contre le phishing, la protection contre le SPAM, etc. Des erreurs de configuration dans l’un de ces domaines peuvent conduire directement à des violations.
Il peut sembler peu probable que les auteurs de menaces passent leur temps à rechercher une mauvaise configuration qu’ils pourraient exploiter. Pourtant, c’est exactement ce qu’a fait le groupe Midnight Blizzard, parrainé par l’État russe, lorsqu’il a piraté Microsoft cette année. Si des erreurs de configuration peuvent survenir chez Microsoft, cela vaut la peine de les vérifier pour vous assurer que vos applications sont toutes sécurisées.
Découvrez comment vous pouvez appliquer les normes NIST à votre pile SaaS
