La collaboration est un argument de vente puissant pour les applications SaaS. Microsoft, Github, Miro et d’autres promeuvent la nature collaborative de leurs applications logicielles qui permet aux utilisateurs d’en faire plus.
Les liens vers des fichiers, des référentiels et des tableaux peuvent être partagés avec n’importe qui, n’importe où. Cela encourage le travail d’équipe qui contribue à créer des campagnes et des projets plus solides en encourageant la collaboration entre les employés dispersés dans les régions et les départements.
Dans le même temps, l’ouverture des plateformes SaaS de données peut poser problème. UN Enquête 2023 par Cloud Security Alliance et Adaptive Shield ont révélé que 58 % des incidents de sécurité au cours des deux dernières années impliquaient des fuites de données. Certes, le partage c’est bien, mais le partage des données doit être maîtrisé. La plupart des applications SaaS disposent de mécanismes pour contrôler le partage. Ces outils sont très efficaces pour garantir que les ressources de l’entreprise ne peuvent pas être affichées sur le Web public. Cet article examinera trois scénarios courants de fuite de données et recommandera les meilleures pratiques pour un partage sécurisé.
Apprenez à sVoir les fichiers partagés publiquement depuis votre SaaS
Rendre le code propriétaire public
Les référentiels GitHub ont un long historique de fuites de données. Ces fuites de données sont généralement causées par une erreur de l’utilisateur, où le développeur expose accidentellement des référentiels privés ou un administrateur modifie les autorisations pour faciliter la collaboration.
Les fuites de GitHub ont impacté de grandes marques, dont X (anciennement Twitter) dont le code propriétaire de sa plateforme et de ses outils internes fuit sur Internet. Les fuites de GitHub exposent souvent des secrets sensibles, notamment des jetons OAuth, des clés API, des noms d’utilisateur et des mots de passe, des clés de chiffrement et des certificats de sécurité.
Lorsque du code propriétaire et des secrets d’entreprise sont divulgués, la continuité des activités peut être menacée. La sécurisation du code dans les référentiels GitHub devrait être une priorité absolue.
Risques surprenants liés aux calendriers accessibles au public
À première vue, les calendriers partagés publiquement ne semblent pas présenter un grand risque pour la sécurité. Les calendriers ne sont pas connus pour leurs données sensibles. En réalité, ils contiennent un trésor d’informations que les organisations ne voudraient pas voir tomber entre les mains de cybercriminels.
Les calendriers contiennent des invitations à des réunions avec des liens de vidéoconférence et des mots de passe. Garder ces informations ouvertes au public pourrait entraîner la présence de participants indésirables ou malveillants à votre réunion. Les calendriers comprennent également des ordres du jour, des présentations et d’autres documents sensibles.
Les informations des calendriers peuvent également être utilisées dans le cadre d’attaques de phishing ou d’ingénierie sociale. Par exemple, si un acteur malveillant ayant accès au calendrier d’Alice constate qu’elle a un appel avec Bob à 15 heures, il peut appeler Bob en se faisant passer pour l’assistant d’Alice et demander à Bob d’envoyer des informations sensibles par courrier électronique avant la réunion.
Collaboration avec des prestataires de services externes
Bien que les applications SaaS simplifient le travail avec les agences et autres prestataires de services, ces collaborations impliquent souvent des membres qui participent au projet pour de courtes périodes. À moins qu’ils ne soient gérés, les documents partagés et les tableaux de collaboration permettent à tous ceux qui travaillent sur le projet d’accéder aux documents à tout moment.
Les propriétaires de projet créeront fréquemment un nom d’utilisateur pour l’agence ou partageront des fichiers clés avec toute personne disposant du lien. Cela simplifie l’administration et peut permettre d’économiser de l’argent en termes de licences. Cependant, le propriétaire du projet a cédé le contrôle sur qui peut accéder aux matériaux et travailler sur ceux-ci.
Tout membre de l’équipe externe a non seulement accès aux fichiers de projet propriétaires, mais conserve souvent cet accès après avoir quitté l’entreprise s’il se souvient du nom d’utilisateur et du mot de passe. Lorsque les ressources sont partagées avec toute personne disposant d’un lien, celle-ci peut facilement transférer le lien vers son compte de messagerie personnel et accéder aux fichiers quand elle le souhaite.
 |
| Figure 1 : Les utilisateurs conservent l’accès aux documents Google partagés même après que l’employé qui a partagé les documents a quitté l’entreprise |
Découvrez quelles configurations exposent vos données au public.
Meilleures pratiques pour un partage de fichiers sécurisé
Le partage des ressources est un aspect important des opérations commerciales. La société de sécurité SaaS Adaptive Shield recommande aux entreprises de suivre ces bonnes pratiques lors du partage de fichiers avec des utilisateurs externes.
- Partagez toujours des fichiers avec des utilisateurs individuels et exigez une certaine forme d’authentification.
- Ne partagez jamais via « toute personne disposant du lien ». Lorsque cela est possible, l’administrateur doit désactiver cette fonctionnalité.
- Lorsque les applications le permettent, ajoutez une date d’expiration au fichier partagé.
- Ajoutez une date d’expiration aux invitations de partage de fichiers.
- Supprimez les autorisations de partage de tout document public qui n’est plus utilisé.
De plus, les organisations doivent rechercher un outil de sécurité SaaS capable d’identifier les ressources partagées publiquement et de les signaler pour correction. Cette fonctionnalité aidera les entreprises à comprendre le risque qu’elles prennent avec les fichiers partagés publiquement et les orientera vers la sécurisation de tous les fichiers à risque.
Apprenez comment un Inventaire des ressources peut identifier toutes les ressources accessibles au public.
