{"id":1183184,"date":"2024-03-07T11:50:28","date_gmt":"2024-03-07T13:50:28","guid":{"rendered":"https:\/\/teknomers.com\/fr\/identite-humaine-ou-non-humaine-dans-le-saas\/"},"modified":"2024-03-07T11:50:32","modified_gmt":"2024-03-07T13:50:32","slug":"identite-humaine-ou-non-humaine-dans-le-saas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/identite-humaine-ou-non-humaine-dans-le-saas\/","title":{"rendered":"Identit\u00e9 humaine ou non humaine dans le SaaS"},"content":{"rendered":"


\n<\/p>\n

\n
<\/a><\/div>\n

Dans l’environnement SaaS actuel, en \u00e9volution rapide, l’accent est mis sur les utilisateurs humains. Il s’agit de l’un des domaines les plus compromis de la gestion de la s\u00e9curit\u00e9 SaaS et n\u00e9cessite une gouvernance stricte des r\u00f4les et autorisations des utilisateurs, la surveillance des utilisateurs privil\u00e9gi\u00e9s, leur niveau d’activit\u00e9 (dormant, actif, hyperactif), leur type (interne\/externe), s’ils sont les nouveaux arrivants, les d\u00e9m\u00e9nageurs ou les sortants, et plus encore. <\/p>\n

Il n\u2019est pas surprenant que les efforts de s\u00e9curit\u00e9 aient \u00e9t\u00e9 principalement centr\u00e9s sur l\u2019humain. Les options de configuration incluent des outils tels que MFA et SSO pour l’authentification humaine. Le contr\u00f4le d’acc\u00e8s bas\u00e9 sur les r\u00f4les (RBAC) limite le niveau d’acc\u00e8s\u00a0; Les directives relatives \u00e0 la complexit\u00e9 des mots de passe emp\u00eachent les personnes non autoris\u00e9es d’acc\u00e9der \u00e0 l’application.<\/p>\n

Pourtant, dans le monde du SaaS, les acc\u00e8s accord\u00e9s aux acteurs non humains, ou en d\u2019autres termes, aux applications connect\u00e9es tierces, ne manquent pas. <\/p>\n

Les comptes de service, les autorisations OAuth et les cl\u00e9s API ne sont que quelques-unes des identit\u00e9s non humaines qui n\u00e9cessitent un acc\u00e8s SaaS. Vus \u00e0 travers le prisme de l\u2019application, les comptes non humains sont similaires aux comptes humains. Ils doivent \u00eatre authentifi\u00e9s, dot\u00e9s d\u2019un ensemble d\u2019autorisations et surveill\u00e9s. Cependant, comme ils ne sont pas humains, on se pr\u00e9occupe beaucoup moins de leur s\u00e9curit\u00e9.<\/p>\n

Exemples d’acc\u00e8s non humain<\/h2>\n

Les int\u00e9grations sont probablement le moyen le plus simple de comprendre l’acc\u00e8s non humain \u00e0 une application SaaS. Calendly est une application qui \u00e9limine les \u00e9changes d’e-mails li\u00e9s \u00e0 la prise de rendez-vous en affichant la disponibilit\u00e9 d’un utilisateur. Il s’int\u00e8gre au calendrier d’un utilisateur, lit le calendrier pour d\u00e9terminer la disponibilit\u00e9 et ajoute automatiquement des rendez-vous. Lors de l’int\u00e9gration \u00e0 Google Workspace via une autorisation OAuth, il demande des \u00e9tendues qui lui permettent d’afficher, de modifier, de partager et de supprimer des agendas Google, entre autres \u00e9tendues. L’int\u00e9gration est initi\u00e9e par un humain, mais Calendly n’est pas humain.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
Figure 1\u00a0:\u00a0\u00c9tendues d’autorisation requises par Calendly<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

D’autres comptes non humains impliquent le partage de donn\u00e9es entre deux ou plusieurs applications. SwiftPOS est une application et un appareil de point de vente (POS) pour les bars, les restaurants et les points de vente. Les donn\u00e9es captur\u00e9es par le point de vente sont transf\u00e9r\u00e9es vers une plateforme de business intelligence, comme Microsoft Power BI, o\u00f9 elles sont trait\u00e9es et analys\u00e9es. Les donn\u00e9es sont transf\u00e9r\u00e9es de SwiftPOS vers Power BI via un compte non humain.<\/p>\n

Le d\u00e9fi de la s\u00e9curisation des comptes non humains<\/h2>\n

G\u00e9rer et s\u00e9curiser les comptes non humains n\u2019est pas aussi simple qu\u2019il y para\u00eet. Pour commencer, chaque application a sa propre approche pour g\u00e9rer ces types de comptes d\u2019utilisateurs. Certaines applications, par exemple, d\u00e9connectent une int\u00e9gration OAuth lorsque l’utilisateur qui l’a autoris\u00e9e est d\u00e9provisionn\u00e9 de l’application, tandis que d’autres maintiennent la connexion.<\/p>\n

Les applications SaaS adoptent \u00e9galement diff\u00e9rentes approches pour g\u00e9rer ces comptes. Certains incluent des comptes non humains dans leur inventaire des utilisateurs<\/a>tandis que d’autres stockent et affichent les donn\u00e9es dans une section diff\u00e9rente de l’application, ce qui les rend faciles \u00e0 ignorer.<\/p>\n

Les comptes humains peuvent \u00eatre authentifi\u00e9s via MFA ou SSO. En revanche, les comptes non humains sont authentifi\u00e9s une seule fois et oubli\u00e9s, sauf en cas de probl\u00e8me d’int\u00e9gration. Les humains ont \u00e9galement des comportements typiques, comme se connecter \u00e0 des applications pendant les heures de travail. Les comptes non humains acc\u00e8dent souvent aux applications pendant les heures creuses afin de r\u00e9duire le trafic et la pression r\u00e9seau. Lorsqu’un humain se connecte \u00e0 son SaaS \u00e0 3 heures du matin, cela peut d\u00e9clencher une enqu\u00eate ; lorsqu’un non-humain arrive sur le r\u00e9seau \u00e0 3 heures du matin, c’est tout simplement comme d’habitude.<\/p>\n

Dans le but de simplifier la gestion des comptes non humains, de nombreuses organisations utilisent la m\u00eame cl\u00e9 API pour toutes les int\u00e9grations. Pour faciliter cela, ils accordent de larges ensembles d’autorisations \u00e0 la cl\u00e9 API pour couvrir tous les besoins potentiels de l’organisation. D’autres fois, un d\u00e9veloppeur utilisera sa propre cl\u00e9 API \u00e0 autorisation \u00e9lev\u00e9e pour accorder l’acc\u00e8s au compte non humain, lui permettant ainsi d’acc\u00e9der \u00e0 tout ce qui se trouve dans l’application. Ces cl\u00e9s API fonctionnent comme des laissez-passer d’acc\u00e8s complet utilis\u00e9s par plusieurs int\u00e9grations, ce qui les rend incroyablement difficiles \u00e0 contr\u00f4ler.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
Figure 2\u00a0: Une application OAuth malveillante d\u00e9tect\u00e9e via le SSPM d’Adaptive Shield<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Inscrivez-vous au prochain webinaire de THN\u00a0:\u00a0Reality Check\u00a0:\u00a0S\u00e9curit\u00e9 des identit\u00e9s pour les identit\u00e9s humaines et non humaines<\/a><\/p>\n

Le risque que les comptes non humains ajoutent \u00e0 la pile SaaS<\/h2>\n

Les comptes non humains ne sont en grande partie pas surveill\u00e9s et disposent de vastes \u00e9tendues d\u2019autorisation. Cela en fait une cible attrayante pour les acteurs malveillants. En compromettant l’un de ces comptes, les acteurs malveillants peuvent acc\u00e9der \u00e0 l’application sans \u00eatre d\u00e9tect\u00e9s, entra\u00eenant des violations, des modifications non autoris\u00e9es ou des interruptions de service.<\/p>\n

Prendre des mesures pour s\u00e9curiser les comptes non humains<\/h2>\n

En utilisant une plateforme SaaS Security Posture Management (SSPM) de concert avec des solutions Identity Threat Detection & Response (ITDR), les organisations peuvent g\u00e9rer efficacement leurs comptes non humains et d\u00e9tecter lorsqu’ils se comportent de mani\u00e8re anormale.<\/p>\n

Les comptes non humains n\u00e9cessitent la m\u00eame visibilit\u00e9 de la part des \u00e9quipes de s\u00e9curit\u00e9 que les comptes humains et doivent \u00eatre g\u00e9r\u00e9s dans le m\u00eame inventaire d’utilisateurs que leurs homologues humains. En unifiant la gestion des identit\u00e9s, il est beaucoup plus facile de visualiser les acc\u00e8s et les autorisations et de mettre \u00e0 jour les comptes, quel que soit le propri\u00e9taire. Il garantit \u00e9galement une approche unifi\u00e9e de la gestion des comptes. Les politiques organisationnelles, telles que l\u2019interdiction du partage de comptes, doivent \u00eatre appliqu\u00e9es \u00e0 tous les niveaux. Les comptes non humains doivent \u00eatre limit\u00e9s \u00e0 des adresses IP sp\u00e9cifiques pr\u00e9-approuv\u00e9es sur une liste verte et ne doivent pas avoir acc\u00e8s via les \u00e9crans de connexion standard (connexion \u00e0 l’interface utilisateur). En outre, les autorisations doivent \u00eatre adapt\u00e9es pour r\u00e9pondre \u00e0 leurs besoins sp\u00e9cifiques en tant qu’applications, et ne pas \u00eatre vastes ou correspondre \u00e0 leurs homologues humaines. <\/p>\n

L’ITDR joue \u00e9galement un r\u00f4le important. Les comptes non humains peuvent acc\u00e9der aux applications SaaS \u00e0 toute heure de la nuit, mais leurs interactions sont g\u00e9n\u00e9ralement assez coh\u00e9rentes. ITDR peut d\u00e9tecter des anomalies de comportement, qu’il s’agisse de changements de calendrier, du type de donn\u00e9es ajout\u00e9es \u00e0 l’application ou des activit\u00e9s effectu\u00e9es par le compte non humain.<\/p>\n

La visibilit\u00e9 fournie par SSPM sur les comptes et ITDR sur les comportements d’identit\u00e9 non humaine est essentielle pour g\u00e9rer les risques et identifier les menaces. Il s\u2019agit d\u2019une activit\u00e9 essentielle pour maintenir des applications SaaS s\u00e9curis\u00e9es.<\/p>\n

En savoir plus sur la protection contre les identit\u00e9s non humaines<\/a><\/p>\n

\"L'actualit\u00e9
\n<\/p>\n

Vous avez trouv\u00e9 cet article int\u00e9ressant ? Cet article est une contribution de l\u2019un de nos pr\u00e9cieux partenaires.<\/span> Suivez-nous sur Twitter \uf099<\/i><\/a> et LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n