{"id":1093336,"date":"2024-01-09T10:28:40","date_gmt":"2024-01-09T12:28:40","guid":{"rendered":"https:\/\/teknomers.com\/fr\/pourquoi-les-liens-publics-exposent-votre-surface-dattaque-saas\/"},"modified":"2024-01-09T10:28:44","modified_gmt":"2024-01-09T12:28:44","slug":"pourquoi-les-liens-publics-exposent-votre-surface-dattaque-saas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/pourquoi-les-liens-publics-exposent-votre-surface-dattaque-saas\/","title":{"rendered":"Pourquoi les liens publics exposent votre surface d&#8217;attaque SaaS"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">09 janvier 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">L&#8217;actualit\u00e9 des hackers<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 SaaS \/ S\u00e9curit\u00e9 des donn\u00e9es<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Pourquoi-les-liens-publics-exposent-votre-surface-dattaque-SaaS.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>La collaboration est un argument de vente puissant pour les applications SaaS.  Microsoft, Github, Miro et d&#8217;autres promeuvent la nature collaborative de leurs applications logicielles qui permet aux utilisateurs d&#8217;en faire plus.<\/p>\n<p>Les liens vers des fichiers, des r\u00e9f\u00e9rentiels et des tableaux peuvent \u00eatre partag\u00e9s avec n&#8217;importe qui, n&#8217;importe o\u00f9.  Cela encourage le travail d&#8217;\u00e9quipe qui contribue \u00e0 cr\u00e9er des campagnes et des projets plus solides en encourageant la collaboration entre les employ\u00e9s dispers\u00e9s dans les r\u00e9gions et les d\u00e9partements. <\/p>\n<p>Dans le m\u00eame temps, l\u2019ouverture des plateformes SaaS de donn\u00e9es peut poser probl\u00e8me.  UN <a rel=\"nofollow noopener\" href=\"https:\/\/www.adaptive-shield.com\/annual-saas-security-survey-report-2023\" target=\"_blank\">Enqu\u00eate 2023<\/a> par Cloud Security Alliance et Adaptive Shield ont r\u00e9v\u00e9l\u00e9 que 58 % des incidents de s\u00e9curit\u00e9 au cours des deux derni\u00e8res ann\u00e9es impliquaient des fuites de donn\u00e9es.  Certes, le partage c\u2019est bien, mais le partage des donn\u00e9es doit \u00eatre ma\u00eetris\u00e9.  La plupart des applications SaaS disposent de m\u00e9canismes pour contr\u00f4ler le partage.  Ces outils sont tr\u00e8s efficaces pour garantir que les ressources de l&#8217;entreprise ne peuvent pas \u00eatre affich\u00e9es sur le Web public.  Cet article examinera trois sc\u00e9narios courants de fuite de donn\u00e9es et recommandera les meilleures pratiques pour un partage s\u00e9curis\u00e9.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/www.adaptive-shield.com\/features\/resource-inventory?utm_source=thehackernews&amp;utm_medium=sponsored_content&amp;utm_campaign=thn_resourceinventory_1\" target=\"_blank\"><strong><em>Apprenez \u00e0 s<\/em><\/strong><strong><em>Voir les fichiers partag\u00e9s publiquement depuis votre SaaS<\/em><\/strong><\/a><\/p>\n<h2 style=\"text-align: left;\">Rendre le code propri\u00e9taire public<\/h2>\n<p>Les r\u00e9f\u00e9rentiels GitHub ont un long historique de fuites de donn\u00e9es.  Ces fuites de donn\u00e9es sont g\u00e9n\u00e9ralement caus\u00e9es par une erreur de l&#8217;utilisateur, o\u00f9 le d\u00e9veloppeur expose accidentellement des r\u00e9f\u00e9rentiels priv\u00e9s ou un administrateur modifie les autorisations pour faciliter la collaboration.<\/p>\n<p>Les fuites de GitHub ont impact\u00e9 de grandes marques, dont X (anciennement Twitter) dont le code propri\u00e9taire de sa plateforme et de ses outils internes fuit sur Internet.  Les fuites de GitHub exposent souvent des secrets sensibles, notamment des jetons OAuth, des cl\u00e9s API, des noms d&#8217;utilisateur et des mots de passe, des cl\u00e9s de chiffrement et des certificats de s\u00e9curit\u00e9.<\/p>\n<p>Lorsque du code propri\u00e9taire et des secrets d\u2019entreprise sont divulgu\u00e9s, la continuit\u00e9 des activit\u00e9s peut \u00eatre menac\u00e9e.  La s\u00e9curisation du code dans les r\u00e9f\u00e9rentiels GitHub devrait \u00eatre une priorit\u00e9 absolue.<\/p>\n<h2 style=\"text-align: left;\">Risques surprenants li\u00e9s aux calendriers accessibles au public<\/h2>\n<p>\u00c0 premi\u00e8re vue, les calendriers partag\u00e9s publiquement ne semblent pas pr\u00e9senter un grand risque pour la s\u00e9curit\u00e9.  Les calendriers ne sont pas connus pour leurs donn\u00e9es sensibles.  En r\u00e9alit\u00e9, ils contiennent un tr\u00e9sor d\u2019informations que les organisations ne voudraient pas voir tomber entre les mains de cybercriminels. <\/p>\n<p>Les calendriers contiennent des invitations \u00e0 des r\u00e9unions avec des liens de vid\u00e9oconf\u00e9rence et des mots de passe.  Garder ces informations ouvertes au public pourrait entra\u00eener la pr\u00e9sence de participants ind\u00e9sirables ou malveillants \u00e0 votre r\u00e9union.  Les calendriers comprennent \u00e9galement des ordres du jour, des pr\u00e9sentations et d&#8217;autres documents sensibles. <\/p>\n<p>Les informations des calendriers peuvent \u00e9galement \u00eatre utilis\u00e9es dans le cadre d\u2019attaques de phishing ou d\u2019ing\u00e9nierie sociale.  Par exemple, si un acteur malveillant ayant acc\u00e8s au calendrier d&#8217;Alice constate qu&#8217;elle a un appel avec Bob \u00e0 15 heures, il peut appeler Bob en se faisant passer pour l&#8217;assistant d&#8217;Alice et demander \u00e0 Bob d&#8217;envoyer des informations sensibles par courrier \u00e9lectronique avant la r\u00e9union.<\/p>\n<h2 style=\"text-align: left;\">Collaboration avec des prestataires de services externes<\/h2>\n<p>Bien que les applications SaaS simplifient le travail avec les agences et autres prestataires de services, ces collaborations impliquent souvent des membres qui participent au projet pour de courtes p\u00e9riodes.  \u00c0 moins qu&#8217;ils ne soient g\u00e9r\u00e9s, les documents partag\u00e9s et les tableaux de collaboration permettent \u00e0 tous ceux qui travaillent sur le projet d&#8217;acc\u00e9der aux documents \u00e0 tout moment.<\/p>\n<p>Les propri\u00e9taires de projet cr\u00e9eront fr\u00e9quemment un nom d&#8217;utilisateur pour l&#8217;agence ou partageront des fichiers cl\u00e9s avec toute personne disposant du lien.  Cela simplifie l&#8217;administration et peut permettre d&#8217;\u00e9conomiser de l&#8217;argent en termes de licences.  Cependant, le propri\u00e9taire du projet a c\u00e9d\u00e9 le contr\u00f4le sur qui peut acc\u00e9der aux mat\u00e9riaux et travailler sur ceux-ci. <\/p>\n<p>Tout membre de l&#8217;\u00e9quipe externe a non seulement acc\u00e8s aux fichiers de projet propri\u00e9taires, mais conserve souvent cet acc\u00e8s apr\u00e8s avoir quitt\u00e9 l&#8217;entreprise s&#8217;il se souvient du nom d&#8217;utilisateur et du mot de passe.  Lorsque les ressources sont partag\u00e9es avec toute personne disposant d&#8217;un lien, celle-ci peut facilement transf\u00e9rer le lien vers son compte de messagerie personnel et acc\u00e9der aux fichiers quand elle le souhaite. <\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/1704803319_310_Pourquoi-les-liens-publics-exposent-votre-surface-dattaque-SaaS.jpg\" style=\"clear: left; display: block; margin-left: auto; margin-right: auto; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/1704803319_310_Pourquoi-les-liens-publics-exposent-votre-surface-dattaque-SaaS.jpg\" alt=\"Surface d'attaque SaaS\" border=\"0\" data-original-height=\"199\" data-original-width=\"728\" title=\"Surface d'attaque SaaS\"\/><\/a><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Figure 1\u00a0: Les utilisateurs conservent l&#8217;acc\u00e8s aux documents Google partag\u00e9s m\u00eame apr\u00e8s que l&#8217;employ\u00e9 qui a partag\u00e9 les documents a quitt\u00e9 l&#8217;entreprise<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/www.adaptive-shield.com\/lp\/request-a-demo?utm_source=thehackernews&amp;utm_medium=sponsored_content&amp;utm_campaign=thn_resourceinventory_2\" target=\"_blank\"><strong><em>D\u00e9couvrez quelles configurations exposent vos donn\u00e9es au public<\/em><\/strong><\/a><strong><em>.<\/em><\/strong><\/p>\n<h2 style=\"text-align: left;\">Meilleures pratiques pour un partage de fichiers s\u00e9curis\u00e9 <\/h2>\n<p>Le partage des ressources est un aspect important des op\u00e9rations commerciales.  La soci\u00e9t\u00e9 de s\u00e9curit\u00e9 SaaS Adaptive Shield recommande aux entreprises de suivre ces bonnes pratiques lors du partage de fichiers avec des utilisateurs externes.<\/p>\n<ul>\n<li>Partagez toujours des fichiers avec des utilisateurs individuels et exigez une certaine forme d&#8217;authentification.<\/li>\n<li>Ne partagez jamais via \u00ab toute personne disposant du lien \u00bb.  Lorsque cela est possible, l&#8217;administrateur doit d\u00e9sactiver cette fonctionnalit\u00e9.<\/li>\n<li>Lorsque les applications le permettent, ajoutez une date d&#8217;expiration au fichier partag\u00e9.<\/li>\n<li>Ajoutez une date d&#8217;expiration aux invitations de partage de fichiers.<\/li>\n<li>Supprimez les autorisations de partage de tout document public qui n\u2019est plus utilis\u00e9.<\/li>\n<\/ul>\n<p>De plus, les organisations doivent rechercher un outil de s\u00e9curit\u00e9 SaaS capable d&#8217;identifier les ressources partag\u00e9es publiquement et de les signaler pour correction.  Cette fonctionnalit\u00e9 aidera les entreprises \u00e0 comprendre le risque qu&#8217;elles prennent avec les fichiers partag\u00e9s publiquement et les orientera vers la s\u00e9curisation de tous les fichiers \u00e0 risque. <\/p>\n<p><strong><em>Apprenez comment un <\/em><\/strong><a rel=\"nofollow noopener\" href=\"https:\/\/www.adaptive-shield.com\/features\/resource-inventory?utm_source=thehackernews&amp;utm_medium=sponsored_content&amp;utm_campaign=thn_resourceinventory_3\" target=\"_blank\"><strong><em>Inventaire des ressources<\/em><\/strong><\/a><strong><em>  peut identifier toutes les ressources accessibles au public.<\/em><\/strong><\/p>\n<p><noscript><br \/>\n<img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Pourquoi-les-liens-publics-exposent-votre-surface-dattaque-SaaS.gif\" alt=\"\" height=\"1\" style=\"display:none;\" width=\"1\"\/><br \/>\n<\/noscript><\/p>\n<p><img height=\"1\" style=\"display:none\" width=\"1\" alt=\"L'actualit\u00e9 des hackers\"\/><br \/>\n<\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/01\/why-public-links-expose-your-saas.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80209 janvier 2024\ue804L&#8217;actualit\u00e9 des hackersS\u00e9curit\u00e9 SaaS \/ S\u00e9curit\u00e9 des donn\u00e9es La collaboration est un argument de vente puissant pour les applications SaaS. Microsoft, Github, Miro et d&#8217;autres promeuvent la nature collaborative de leurs applications logicielles qui permet aux utilisateurs d&#8217;en faire plus. Les liens vers des fichiers, des r\u00e9f\u00e9rentiels et des tableaux peuvent \u00eatre partag\u00e9s [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1093337,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,4168,4165,4161,200267,14392,39576,4159,4171,65,7280,200271,200268,200269,200270,2147,16405,44970,128318,4172,4169,4310,4166,877,4164],"class_list":["post-1093336","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-dattaque","tag-exposent","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-les","tag-liens","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-pourquoi","tag-publics","tag-saas","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-surface","tag-violation-de-donnees","tag-votre","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1093336","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1093336"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1093336\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1093337"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1093336"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1093336"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1093336"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}