La collaboration est au cœur des applications SaaS. Le mot, ou une forme de celui-ci, apparaît dans les deux premiers titres de la page d’accueil de Google Workspace. Il peut être trouvé six fois sur la page d’accueil de Microsoft 365, trois fois sur Box et une fois sur Workday. Visitez presque n’importe quel site SaaS, et il y a de fortes chances que la « collaboration » apparaisse comme l’un des principaux arguments de vente de l’application.
En étant assis sur le cloud, le contenu des applications est immédiatement partageable, ce qui facilite plus que jamais le travail avec les autres.
Cependant, cette possibilité de partage est une pièce à double face. D’un autre côté, il y a souvent des liens sensibles sur des sites Web accessibles au public et facilement accessibles. L’exposition causée par des documents divulgués peut causer d’énormes dommages, des concurrents essayant de recueillir des secrets d’entreprise aux lanceurs d’alerte partageant des informations internes avec des journalistes ou des législateurs. Aussi intégrale que soit la collaboration dans le SaaS, le partage de liens crée une situation à haut risque et des violations réelles, qui peuvent être atténuées par les bons processus.
Découvrez comment vous pouvez vous aider à gagner en visibilité sur l’ensemble de votre pile SaaS.
Partage de fichiers et de documents
Il existe essentiellement deux façons de partager des fichiers et des documents à partir d’une application SaaS, bien que la terminologie utilisée par M365, Salesforce, Google Workspace et Box soit légèrement différente. Le propriétaire du fichier peut soit mettre la ressource à la disposition d’utilisateurs spécifiques, soit la mettre à la disposition de « toute personne disposant d’un lien ».
Le partage du fichier avec des utilisateurs spécifiques peut être fastidieux et chronophage. Au fur et à mesure que le fichier est transmis à différentes parties prenantes, le propriétaire du fichier doit ajouter chaque utilisateur selon ses besoins. Lorsque vous travaillez avec un fournisseur externe, cela nécessite une coordination avec le contact du fournisseur pour comprendre qui travaillera avec le fichier. L’adresse e-mail de chaque utilisateur doit être ajoutée individuellement, et si quelqu’un est oublié, le propriétaire du fichier doit revenir dans les paramètres de partage et l’ajouter.
Partager un fichier avec toute personne disposant du lien est beaucoup moins fastidieux. Le propriétaire du document peut copier le lien, l’envoyer au fournisseur et ne plus avoir à se soucier de la gestion des documents. En outre, les utilisateurs demandent souvent l’accès à partir d’un compte privé (par exemple, leur adresse e-mail Gmail) au lieu d’un compte de messagerie surveillé par l’entreprise. Cela peut être dû au fait que parfois les fournisseurs externes n’ont qu’un domaine privé, ou il se peut qu’ils soient également connectés à leur compte privé et qu’ils demandent accidentellement l’accès à celui-ci.
Cependant, aussi tentant soit-il de partager librement le lien, cela prépare le document à être divulgué. Il n’y a aucun contrôle sur ce qui arrive au fichier une fois le lien partagé, et les utilisateurs peuvent accéder au fichier à partir de n’importe quel compte. Le degré de risque que le fichier puisse être divulgué augmente de façon exponentielle.
Google Drive, Microsoft Sharepoint et les écoliers de New York
Les responsables des écoles de la ville de New York ont appris les dangers du partage de liens à la dure. En 2021, les responsables scolaires confirmé une fuite de données contenant des informations sensibles sur plus de 3 000 étudiants et 100 membres du personnel du système scolaire public de New York. Les données ont été exposées lorsqu’un étudiant a eu accès à un Google Drive.
Cette histoire est venue sur les talons d’un Microsoft Sharepoint enfreindre, au cours de laquelle un élève faisant ses devoirs est tombé sur un projet de document expliquant quand les écoles rouvriraient pendant COVID-19. La lettre comprenait des détails sur les politiques de test, les politiques de quarantaine et d’autres informations que le système scolaire n’était pas prêt à publier. Ces données ont été exposées en raison de paramètres de partage de documents non sécurisés.
Google Forms dans les forces armées
Les responsables scolaires ne sont pas les seuls à devoir faire attention à leurs liens partagés. En 2021, une unité des forces armées a demandé aux soldats de remplir un formulaire Google relatif à leurs vaccins COVID-19. Chaque soldat a saisi son nom et son numéro d’identification et a répondu aux questions relatives au coronavirus.
Cependant, l’auteur du formulaire Google a autorisé les répondants à examiner les résultats. Toute personne disposant du lien avait accès aux noms et numéros d’identification des soldats. Les données ont été classées par ordre chronologique, ce qui a facilité le regroupement de soldats spécifiques selon leur unité. Ces données étaient accessibles à toute personne disposant d’un navigateur et d’un lien.
Après avoir été alertée, l’unité militaire a supprimé le formulaire, mais il est impossible de savoir dans quelle mesure les données ont fuité.
Boîte de fichiers exposée au monde
Selon Tech Crunch, en 2019, des chercheurs en sécurité ont découvert que des dizaines d’entreprises divulguaient des données sensibles d’entreprise et de clients enregistrées dans Box. À l’aide d’un script pour rechercher des comptes Box, les chercheurs ont trouvé plus de 90 entreprises – dont Box – avec des données visibles par toute personne disposant du lien.
Les entreprises, qui comprenaient Amadeus, Apple, Edelman et Herbalife, ont exposé les noms et les coordonnées des clients, les propositions de projets, les noms des donateurs, les informations sur les patients, etc. Ces informations auraient pu être facilement protégées si les entreprises avaient utilisé les contrôles d’accès disponibles sur la plateforme.
Meilleures pratiques pour prévenir les fuites et les pertes de données
Les données contenues dans les applications SaaS résident dans le cloud, mais elles n’ont pas besoin d’être exposées à quiconque disposant d’un lien. Les organisations soucieuses de la sécurité doivent suivre ces directives pour garantir la sécurité de leurs données.
Partager des fichiers avec des utilisateurs spécifiques – Exiger que les utilisateurs se connectent avant de pouvoir accéder aux données réduit considérablement la probabilité que les données tombent entre de mauvaises mains
Ajouter des dates d’expiration aux liens partagés – La plupart des documents et fichiers sont partagés et finalement oubliés, plaçant les entreprises dans une position où elles ne savent même pas qu’elles sont exposées. En ajoutant une date d’expiration au lien, cet oubli ne reviendra pas nuire à l’entreprise.
Mot de passe protéger tous les liens – Ajoutez une couche supplémentaire de sécurité des données en exigeant une protection par mot de passe sur tous les fichiers externes
Créer un inventaire des ressources – Répertoriez toutes les ressources de l’entreprise en un seul endroit, y compris les paramètres de partage de chaque fichier, offrant aux équipes de sécurité une vue unique qui leur permet d’évaluer les risques et l’exposition.
Chaque lien non protégé a le potentiel d’exposer des données. En tant que partageur de lien, il est impossible de connaître l’hygiène de l’appareil du destinataire, s’il partagera le lien avec d’autres, ou même s’il permet à d’autres d’accéder à son compte de messagerie. La sécurisation des liens est l’un des principaux moyens de protection disponibles pour limiter ce risque.
Une autre approche pour se protéger contre le partage excessif des liens est la méthode automatisée, grâce à l’utilisation d’une solution SSPM. Un SSPM, comme Adaptive Shield, aide les organisations à se protéger contre la perte de données en identifiant quelles ressources sont partagées publiquement et sont à risque. Il peut également identifier les ressources partagées sans date d’expiration ou configurées pour autoriser les invités à partager l’élément. Une fois que l’équipe de sécurité est consciente de la surface d’attaque, elle peut corriger et sécuriser le lien selon les besoins.
