{"id":1158407,"date":"2024-02-20T21:45:34","date_gmt":"2024-02-20T23:45:34","guid":{"rendered":"https:\/\/teknomers.com\/fr\/conformite-saas-via-le-cadre-de-cybersecurite-du-nist\/"},"modified":"2024-02-20T21:45:45","modified_gmt":"2024-02-20T23:45:45","slug":"conformite-saas-via-le-cadre-de-cybersecurite-du-nist","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/conformite-saas-via-le-cadre-de-cybersecurite-du-nist\/","title":{"rendered":"Conformit\u00e9 SaaS via le cadre de cybers\u00e9curit\u00e9 du NIST"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Conformite-SaaS-via-le-cadre-de-cybersecurite-du-NIST.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Le cadre de cybers\u00e9curit\u00e9 du National Institute of Standards and Technology (NIST) des \u00c9tats-Unis est l&#8217;une des lignes directrices les plus importantes au monde en mati\u00e8re de s\u00e9curisation des r\u00e9seaux.  Il peut \u00eatre appliqu\u00e9 \u00e0 un certain nombre d\u2019applications, y compris SaaS. <\/p>\n<p>L&#8217;un des d\u00e9fis auxquels sont confront\u00e9s les responsables de la s\u00e9curisation des applications SaaS r\u00e9side dans les diff\u00e9rents param\u00e8tres pr\u00e9sents dans chaque application.  Il est difficile de d\u00e9velopper une politique de configuration qui s&#8217;appliquera \u00e0 une application RH qui g\u00e8re les employ\u00e9s, une application marketing qui g\u00e8re le contenu et une application R&#038;D qui g\u00e8re les versions logicielles, tout en s&#8217;alignant sur les normes de conformit\u00e9 du NIST. <\/p>\n<p>Cependant, plusieurs param\u00e8tres peuvent \u00eatre appliqu\u00e9s \u00e0 presque toutes les applications de la pile SaaS.  Dans cet article, nous explorerons quelques configurations universelles, expliquerons pourquoi elles sont importantes et vous guiderons dans leur configuration de mani\u00e8re \u00e0 am\u00e9liorer la s\u00e9curit\u00e9 de vos applications SaaS. <\/p>\n<h2 style=\"text-align: left;\">Commencez par les administrateurs<\/h2>\n<p>Le contr\u00f4le d&#8217;acc\u00e8s bas\u00e9 sur les r\u00f4les (RBAC) est une cl\u00e9 de l&#8217;adh\u00e9sion au NIST et doit \u00eatre appliqu\u00e9 \u00e0 chaque application SaaS.  Il existe deux types d&#8217;autorisations au sein d&#8217;une application SaaS.  L&#8217;acc\u00e8s fonctionnel couvre des \u00e9l\u00e9ments tels que la cr\u00e9ation de comptes et la navigation dans l&#8217;application.  Les autorisations d&#8217;acc\u00e8s aux donn\u00e9es, en revanche, d\u00e9terminent quels utilisateurs peuvent r\u00e9cup\u00e9rer et modifier les donn\u00e9es.  Le compte administrateur (ou le compte super-administrateur dans certaines applications) est le plus sensible au sein de l&#8217;application, car il dispose d&#8217;un acc\u00e8s complet aux deux types d&#8217;autorisations. <\/p>\n<p>Pour les acteurs malveillants, pirater un compte administrateur \u00e9quivaut \u00e0 gagner \u00e0 la loterie.  Ils ont acc\u00e8s \u00e0 tout.  Les organisations doivent faire tout ce qui est en leur pouvoir pour garder le contr\u00f4le de ces comptes.  Ce contr\u00f4le est g\u00e9r\u00e9 via des configurations et des bonnes pratiques.<\/p>\n<h3 style=\"text-align: left;\"><strong>Mettre en \u0153uvre une redondance limit\u00e9e<\/strong><\/h3>\n<p>Il est important d&#8217;avoir au minimum deux administrateurs pour chaque application.  Cette redondance rend difficile pour un administrateur d&#8217;agir seul contre les meilleurs int\u00e9r\u00eats de l&#8217;organisation, car les administrateurs peuvent se surveiller mutuellement pour d\u00e9celer tout signe de violation. <\/p>\n<p>Cependant, chaque administrateur augmente la surface d&#8217;attaque de l&#8217;application.  Les organisations doivent trouver un \u00e9quilibre entre disposer d\u2019un nombre suffisant d\u2019administrateurs pour g\u00e9rer correctement l\u2019application tout en limitant l\u2019exposition.  Un examen automatis\u00e9 du nombre d&#8217;administrateurs devrait d\u00e9clencher des alertes lorsque le nombre d&#8217;administrateurs est en dehors de la plage pr\u00e9f\u00e9r\u00e9e. <\/p>\n<h3 style=\"text-align: left;\"><strong>\u00c9liminer les administrateurs externes<\/strong><\/h3>\n<p>Les administrateurs externes introduisent une nouvelle couche d\u2019incertitude dans la s\u00e9curit\u00e9 SaaS.  Parce qu&#8217;elle se trouve en dehors de l&#8217;organisation, l&#8217;\u00e9quipe de s\u00e9curit\u00e9 ne peut pas contr\u00f4ler les politiques de mot de passe ou les outils d&#8217;authentification qu&#8217;elle utilise. <\/p>\n<p>Par exemple, si un acteur malveillant tente de se connecter \u00e0 votre application et clique sur Mot de passe oubli\u00e9, il n&#8217;existe aucun moyen de savoir s&#8217;il peut pirater le compte de messagerie de l&#8217;administrateur externe.  Ce manque de surveillance des utilisateurs externes pourrait entra\u00eener une violation profonde de votre application SaaS, c&#8217;est pourquoi le NIST d\u00e9conseille d&#8217;avoir des administrateurs externes.  En fonction de l&#8217;application, emp\u00eachez les administrateurs externes d&#8217;obtenir des privil\u00e8ges d&#8217;administrateur ou identifiez les utilisateurs externes dot\u00e9s de droits d&#8217;administrateur et supprimez ces privil\u00e8ges. <\/p>\n<p>Pour les entreprises qui embauchent une soci\u00e9t\u00e9 informatique externe ou qui sous-traitent \u00e0 des MSSP, ces personnes ne doivent pas \u00eatre consid\u00e9r\u00e9es comme externes.  Cependant, ils doivent continuer \u00e0 surveiller les autres utilisateurs externes b\u00e9n\u00e9ficiant d\u2019autorisations d\u2019administrateur. <\/p>\n<h3 style=\"text-align: left;\"><strong>Exiger l&#8217;authentification MFA d&#8217;administration<\/strong><\/h3>\n<p>Pour se conformer aux normes NIST, tous les comptes d&#8217;utilisateurs administrateurs doivent \u00eatre tenus d&#8217;acc\u00e9der \u00e0 l&#8217;application \u00e0 l&#8217;aide d&#8217;une authentification multifacteur (MFA), telle qu&#8217;un mot de passe \u00e0 usage unique (OTP).  MFA exige que les utilisateurs pr\u00e9sentent au moins deux pi\u00e8ces d\u2019identit\u00e9 avant d\u2019authentifier l\u2019utilisateur.  Un acteur malveillant devrait compromettre deux syst\u00e8mes d\u2019authentification, augmentant ainsi le niveau de difficult\u00e9 de la compromission et r\u00e9duisant le risque pour le compte.  Assurez-vous de d\u00e9finir MFA pour les administrateurs comme requis (nous recommandons \u00e9galement MFA pour tous les utilisateurs, mais c&#8217;est un incontournable pour les administrateurs). <\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/go.adaptive-shield.com\/applying-nist-cybersecurity-framework-to-your-saas-stack?utm_source=thehackernews&amp;utm_medium=sponsored_content&amp;utm_campaign=thn_nistchecklist_1\" target=\"_blank\"><strong><em>T\u00e9l\u00e9chargez cette liste de contr\u00f4le et d\u00e9couvrez comment aligner votre s\u00e9curit\u00e9 SaaS avec le NIST<\/em><\/strong><\/a><\/p>\n<h2 style=\"text-align: left;\">Pr\u00e9venir les fuites de donn\u00e9es<\/h2>\n<p>Les fuites de donn\u00e9es SaaS pr\u00e9sentent des risques importants pour les organisations et leurs utilisateurs, compromettant potentiellement les informations sensibles stock\u00e9es dans les applications bas\u00e9es sur le cloud.  Les applications SaaS sont commercialis\u00e9es comme outils de collaboration.  Cependant, les configurations qui permettent aux utilisateurs de travailler ensemble peuvent \u00e9galement compromettre les fichiers et les donn\u00e9es.  Le NIST, pour sa part, pr\u00e9conise de surveiller les autorisations de chaque ressource. <\/p>\n<p>Un calendrier visible peut exposer les employ\u00e9s \u00e0 des attaques de phishing d&#8217;ing\u00e9nierie sociale, tandis que les r\u00e9f\u00e9rentiels partag\u00e9s peuvent conduire au partage public du code source interne d&#8217;une entreprise.  Les e-mails, les fichiers et les tableaux contiennent tous des donn\u00e9es sensibles qui ne devraient pas \u00eatre accessibles au public.  Bien que les configurations suivantes soient souvent appel\u00e9es diff\u00e9remment dans chaque application, presque toutes les applications qui stockent du contenu auront ce type de contr\u00f4le. <\/p>\n<h3 style=\"text-align: left;\"><strong>Arr\u00eater le partage public<\/strong><\/h3>\n<p>La diff\u00e9rence entre Partager avec tous et Partager avec un utilisateur est profonde.  Lorsque les \u00e9l\u00e9ments sont partag\u00e9s avec tous, toute personne disposant d\u2019un lien peut acc\u00e9der aux documents.  En revanche, Partager avec un utilisateur ajoute un m\u00e9canisme d&#8217;authentification suppl\u00e9mentaire, car l&#8217;utilisateur doit se connecter avant d&#8217;acc\u00e9der au mat\u00e9riel. <\/p>\n<p>Pour r\u00e9duire le contenu expos\u00e9, les administrateurs de l&#8217;application doivent d\u00e9sactiver le partage sur les URL publiques (\u00ab Toute personne disposant du lien \u00bb).  De plus, certaines applications permettent aux utilisateurs de r\u00e9voquer l&#8217;acc\u00e8s \u00e0 des URL d\u00e9j\u00e0 cr\u00e9\u00e9es.  Lorsqu\u2019elles sont disponibles, les organisations doivent s\u2019assurer d\u2019activer ce param\u00e8tre. <\/p>\n<h3 style=\"text-align: left;\"><strong>D\u00e9finir les invitations \u00e0 expirer<\/strong><\/h3>\n<p>De nombreuses applications permettent aux utilisateurs autoris\u00e9s d&#8217;inviter des utilisateurs externes \u00e0 l&#8217;application.  Cependant, la plupart des applications n&#8217;impl\u00e9mentent pas de date d&#8217;expiration des invitations.  Dans ces circonstances, les invitations envoy\u00e9es des ann\u00e9es auparavant peuvent donner acc\u00e8s \u00e0 un acteur malveillant qui vient de pirater le compte de messagerie d&#8217;un utilisateur externe.  L&#8217;activation d&#8217;une date d&#8217;expiration automatique sur les invitations \u00e9limine ce type de risque. <\/p>\n<p>Il convient de noter que dans certaines applications, les modifications de configuration sont r\u00e9troactives, tandis que d&#8217;autres ne prendront effet qu&#8217;\u00e0 l&#8217;avenir. <\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/go.adaptive-shield.com\/applying-nist-cybersecurity-framework-to-your-saas-stack?utm_source=thehackernews&amp;utm_medium=sponsored_content&amp;utm_campaign=thn_nistchecklist_2\" target=\"_blank\"><strong><em>Alignez votre s\u00e9curit\u00e9 SaaS sur les normes NIST &#8211; t\u00e9l\u00e9chargez le guide complet<\/em><\/strong><\/a><\/p>\n<h2 style=\"text-align: left;\">Renforcer les mots de passe pour renforcer la s\u00e9curit\u00e9 des applications<\/h2>\n<p>Les mots de passe constituent la premi\u00e8re ligne de d\u00e9fense contre les acc\u00e8s non autoris\u00e9s.  Le NIST pr\u00e9conise une politique de mot de passe solide et bien g\u00e9r\u00e9e, essentielle pour prot\u00e9ger les donn\u00e9es sensibles des utilisateurs, les informations commerciales confidentielles et les actifs propri\u00e9taires stock\u00e9s dans l&#8217;infrastructure cloud.  Le caract\u00e8re unique, la complexit\u00e9 et la mise \u00e0 jour r\u00e9guli\u00e8re des mots de passe sont des aspects essentiels d\u2019une posture de s\u00e9curit\u00e9 robuste.<\/p>\n<p>Les mots de passe constituent un \u00e9l\u00e9ment fondamental dans une approche de s\u00e9curit\u00e9 \u00e0 plusieurs niveaux, compl\u00e9tant d&#8217;autres mesures de s\u00e9curit\u00e9 telles que l&#8217;authentification multifacteur (MFA) et le cryptage.  Les mots de passe compromis peuvent constituer une passerelle permettant \u00e0 des acteurs malveillants d&#8217;exploiter les vuln\u00e9rabilit\u00e9s de l&#8217;environnement SaaS.  La gestion efficace des mots de passe am\u00e9liore la r\u00e9silience globale des syst\u00e8mes SaaS, contribuant ainsi \u00e0 un \u00e9cosyst\u00e8me num\u00e9rique plus s\u00e9curis\u00e9 et plus fiable pour les entreprises et leurs utilisateurs.<\/p>\n<h3 style=\"text-align: left;\"><strong>Pr\u00e9venir les attaques par pulv\u00e9risation de mot de passe<\/strong><\/h3>\n<p>Lors d&#8217;une attaque par pulv\u00e9risation, les acteurs malveillants saisissent un nom d&#8217;utilisateur et un mot de passe courant, dans l&#8217;espoir d&#8217;avoir de la chance et d&#8217;acc\u00e9der \u00e0 l&#8217;application.  Exiger la MFA est le moyen recommand\u00e9 pour emp\u00eacher les attaques par pulv\u00e9risation de mot de passe.  Pour ceux qui n\u2019insistent pas pour que les employ\u00e9s utilisent la MFA dans le cadre du processus d\u2019authentification, de nombreuses applications permettent aux organisations d\u2019interdire l\u2019utilisation de mots comme mots de passe.  Cette liste de mots comprendrait des termes tels que password1, letmein, 12345 et les noms des \u00e9quipes sportives locales.  De plus, cela inclurait des termes tels que le nom de l&#8217;utilisateur, les produits de l&#8217;entreprise, les partenaires et d&#8217;autres termes commerciaux. <\/p>\n<p>Entrer dans les configurations et ajouter une liste personnalis\u00e9e de mots interdits peut r\u00e9duire consid\u00e9rablement le risque d\u2019une attaque r\u00e9ussie par pulv\u00e9risation de mot de passe. <\/p>\n<h3 style=\"text-align: left;\"><strong>Complexit\u00e9 du mot de passe <\/strong><\/h3>\n<p>La plupart des applications SaaS permettent \u00e0 l&#8217;organisation de personnaliser la complexit\u00e9 des mots de passe.  Celles-ci vont de l&#8217;autorisation de n&#8217;importe quel mot de passe \u00e0 l&#8217;exigence de caract\u00e8res alphanum\u00e9riques, de lettres majuscules et minuscules, de symboles ou d&#8217;une longueur de mot de passe.  Mettez \u00e0 jour les exigences en mati\u00e8re de mot de passe dans l&#8217;application pour qu&#8217;elles correspondent \u00e0 la politique de votre organisation.<\/p>\n<p>Si votre organisation ne dispose pas de politique de mot de passe, envisagez de suivre les directives du NIST\u00a0:<\/p>\n<ol>\n<li>N&#8217;effectuez pas de modifications obligatoires des mots de passe, car les utilisateurs ont tendance \u00e0 choisir des mots de passe faciles \u00e0 retenir.<\/li>\n<li>Utilisez des mots de passe longs plut\u00f4t que des mots de passe complexes.  Les combinaisons de chiffres, de caract\u00e8res sp\u00e9ciaux et de caract\u00e8res minuscules\/majuscules suivent g\u00e9n\u00e9ralement un format comme celui-ci : Mot de passe1 !.  Ceux-ci sont faciles \u00e0 utiliser par force brute.  Un mot de passe long comme MyFavoriteDessertIsPecanPie est facile \u00e0 retenir mais avec 27 caract\u00e8res, difficile \u00e0 forcer brutalement.<\/li>\n<li>Limitez les tentatives de mot de passe \u00e0 10 maximum.<\/li>\n<li>Filtrez les mots de passe par rapport aux mots de passe publi\u00e9s et \u00e0 d&#8217;autres mots faciles \u00e0 deviner avec une liste de mots interdits.<\/li>\n<\/ol>\n<h2 style=\"text-align: left;\">Les configurations comptent vraiment<\/h2>\n<p>Environ 25 % de tous les incidents de s\u00e9curit\u00e9 li\u00e9s au cloud commencent par un param\u00e8tre mal configur\u00e9.  En plus de celles mentionn\u00e9es ici concernant l&#8217;acc\u00e8s, les mots de passe et les fuites de donn\u00e9es, qui sont assez universelles, les configurations sont utilis\u00e9es pour la gestion des cl\u00e9s, la s\u00e9curit\u00e9 mobile, la r\u00e9silience op\u00e9rationnelle, la protection contre le phishing, la protection contre le SPAM, etc.  Des erreurs de configuration dans l\u2019un de ces domaines peuvent conduire directement \u00e0 des violations. <\/p>\n<p>Il peut sembler peu probable que les auteurs de menaces passent leur temps \u00e0 rechercher une mauvaise configuration qu\u2019ils pourraient exploiter.  Pourtant, c\u2019est exactement ce qu\u2019a fait le groupe Midnight Blizzard, parrain\u00e9 par l\u2019\u00c9tat russe, lorsqu\u2019il a pirat\u00e9 Microsoft cette ann\u00e9e.  Si des erreurs de configuration peuvent survenir chez Microsoft, cela vaut la peine de les v\u00e9rifier pour vous assurer que vos applications sont toutes s\u00e9curis\u00e9es. <\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/go.adaptive-shield.com\/applying-nist-cybersecurity-framework-to-your-saas-stack?utm_source=thehackernews&amp;utm_medium=sponsored_content&amp;utm_campaign=thn_nistchecklist_3\" target=\"_blank\"><strong><em>D\u00e9couvrez comment vous pouvez appliquer les normes NIST \u00e0 votre pile SaaS<\/em><\/strong><\/a><\/p>\n<p><noscript><br \/>\n<img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Conformite-SaaS-via-le-cadre-de-cybersecurite-du-NIST.gif\" alt=\"\" height=\"1\" style=\"display:none;\" width=\"1\"\/><br \/>\n<\/noscript><\/p>\n<p><img height=\"1\" style=\"display:none\" width=\"1\" alt=\"L'actualit\u00e9 des hackers\"\/><br \/>\n<\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ? <span class=\"\">Cet article est une contribution de l\u2019un de nos pr\u00e9cieux partenaires.<\/span> Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/02\/saas-compliance-through-nist.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Le cadre de cybers\u00e9curit\u00e9 du National Institute of Standards and Technology (NIST) des \u00c9tats-Unis est l&#8217;une des lignes directrices les plus importantes au monde en mati\u00e8re de s\u00e9curisation des r\u00e9seaux. Il peut \u00eatre appliqu\u00e9 \u00e0 un certain nombre d\u2019applications, y compris SaaS. L&#8217;un des d\u00e9fis auxquels sont confront\u00e9s les responsables de la s\u00e9curisation des applications [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1158408,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,4176,4168,7181,4165,4161,200267,6002,4159,4171,200271,200268,60788,200269,200270,44970,128318,4172,4169,4166,4164],"class_list":["post-1158407","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-cadre","tag-comment-pirater","tag-conformite","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-sur-la-cybersecurite","tag-nist","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-saas","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1158407","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1158407"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1158407\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1158408"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1158407"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1158407"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1158407"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}