Une étude récente de Wing Security, une société de sécurité SaaS qui a analysé les données de plus de 500 entreprises, révélé des informations inquiétantes. Selon cette étude, 84 % des entreprises avaient des employés utilisant en moyenne 3,5 applications SaaS qui ont été violées au cours des 3 mois précédents. Bien que cela soit préoccupant, ce n’est pas vraiment une surprise. La croissance exponentielle de l’utilisation du SaaS oblige les équipes de sécurité et informatiques à lutter pour savoir quelles applications SaaS sont utilisées et comment. Cela ne veut pas dire que le SaaS doit être évité ou bloqué ; au contraire, les applications SaaS doivent être utilisées pour assurer la croissance de l’entreprise. Mais leur utilisation doit être faite avec un certain niveau de prudence.
Déterminer quelles applications SaaS sont risquées
Le facteur de risque le plus intuitif pour déterminer si une application est risquée est de la rechercher et de voir si elle a été piratée. Les applications SaaS sont clairement une cible car nous voyons de plus en plus d’attaques liées au SaaS. Une violation est une indication claire de rester à l’écart, au moins jusqu’à ce que le fournisseur SaaS remédie complètement et récupère (ce qui peut prendre un certain temps…). Mais il existe d’autres critères à prendre en compte pour déterminer si une application SaaS peut être utilisée en toute sécurité. En voici deux autres à considérer :
- Conformités – Les conformités en matière de sécurité et de confidentialité du fournisseur de l’application sont, ou non, une bonne indication de sa sécurité. Sécuriser un SOC, HIPAA, ISO (la liste continue…) nécessite des processus longs et scrupuleux dans lesquels l’entreprise doit respecter des réglementations et des conditions strictes. Connaître les conformités d’une entreprise est impératif pour comprendre son niveau de sécurité.
- Présence sur le marché – Vérifier si une application est présente sur des places de marché bien connues et comptabilisées est également une étape utile pour déterminer son intégrité, qui peut être liée à ses mesures de sécurité. Sur les marchés respectés, les applications doivent passer par un processus de vérification, sans compter qu’elles reçoivent des avis d’utilisateurs qui sont sans doute l’un des indicateurs les plus importants de la légitimité d’une application.
Bien qu’il soit important de comprendre quelles applications sont potentiellement à risque, ce n’est pas une tâche facile. Et ce n’est pas non plus la première étape. Selon Wing Security, les entreprises qu’ils ont examinées avaient toutes un nombre élevé d’applications SaaS en cours d’utilisation. Ainsi, la première question fondamentale que les équipes de sécurité devraient se poser est :
Combien d’applications SaaS les employés utilisent-ils ?
De toute évidence, il est impossible de déterminer si le SaaS est utilisé en toute sécurité sans découvrir au préalable combien d’applications SaaS sont utilisées et lesquelles. C’est basique, mais pas simple. Le SaaS est utilisé par tous les employés, et bien que l’application de l’authentification unique et l’utilisation des systèmes IAM soient importantes et utiles, la nature décentralisée, accessible et souvent en libre-service des applications SaaS signifie que les employés peuvent commencer à utiliser presque tous les SaaS dont ils ont besoin en recherchant simplement pour cela en ligne et en le connectant à l’espace de travail de leur entreprise, en évitant facilement l’IAM. Cela est particulièrement vrai lorsque l’on considère les nombreuses applications SaaS qui fournissent un outil gratuit ou une version gratuite de celui-ci.
Cela à l’esprit, La découverte d’applications SaaS est également fournie en tant qu’outil libre-service gratuit donc répondre à la question mentionnée ci-dessus devrait être assez facile. Une fois qu’une cartographie claire de l’utilisation du SaaS est en place, l’étape suivante consiste à déterminer les applications SaaS à risque. Une fois les applications à risque classées comme telles, il est important de révoquer les jetons qu’elles ont reçus des utilisateurs qui les ont connectées à l’organisation. Cela peut être un processus long et fastidieux sans un outil approprié en place (Wing propose la suppression d’applications risquées comme une autre capacité dans sa version gratuite, mais avec certaines limitations qui sont levées dans son offre premium).
Pour s’assurer que l’utilisation du SaaS est sûre, il faut poser et répondre à deux autres questions :
1. Quelles autorisations ont été accordées aux applications SaaS ?
Il va probablement sans dire que toutes les applications n’introduisent pas de risques en permanence. Il convient également d’ajouter que même si une application SaaS est violée, le risque qu’elle peut imposer dépend fortement des autorisations qui lui ont été accordées. Presque toutes les applications SaaS nécessitent un certain degré d’autorisation pour accéder aux données de l’entreprise afin de fournir le service pour lequel elles ont été conçues. Les autorisations vont des autorisations en lecture seule aux autorisations en écriture qui permettent à l’application SaaS d’agir au nom de l’utilisateur, comme l’envoi d’e-mails au nom de l’utilisateur. Une bonne gestion de la posture de sécurité SaaS signifie surveiller les autorisations accordées par les utilisateurs à une application et s’assurer qu’elle n’a reçu que les autorisations nécessaires.
2. Quelles sont les données qui circulent dans et entre ces applications ?
En fin de compte, il s’agit de protéger les données critiques de l’entreprise, qu’il s’agisse d’informations commerciales, de Pii ou de code. Les données ont de nombreux formats et circulent de différentes manières. La manière unique dont le SaaS est utilisé dans toutes les unités commerciales et les équipes et par n’importe qui dans l’organisation pose le risque de partage de données à l’aide d’applications SaaS qui ne sont pas conçues pour un partage de données sécurisé. Cela pose également le risque que les données soient partagées entre les applications SaaS. De nos jours, de nombreuses applications SaaS sont connectées, et l’onboarding peut donner accès à un sous-ensemble de beaucoup d’autres. C’est un maillage géant d’interconnectivité et de partage de données.
Commencez par les bases – Apprenez à connaître votre couche SaaS
La sécurité SaaS peut être écrasante. C’est une nouvelle frontière robuste qui évolue constamment. Il s’agit également d’un risque de plus parmi une longue liste de risques auxquels les équipes de sécurité doivent faire face. La clé pour résoudre la sécurité SaaS est de savoir quelles applications sont utilisées. Cette première étape de base met en lumière le défi du shadow IT SaaS et permet aux équipes de sécurité d’évaluer correctement l’urgence et l’ampleur de leurs risques de sécurité SaaS. Connaître avec certitude la quantité et la nature du SaaS utilisé ne devrait pas être complexe ou coûteux. Il existe de nombreux outils qui peuvent résoudre ce problème, et vous pouvez essayez Wing. solution gratuite de sécurité pour avoir une idée de ce à quoi vous êtes confronté.