{"id":175160,"date":"2022-05-30T13:33:27","date_gmt":"2022-05-30T15:33:27","guid":{"rendered":"https:\/\/teknomers.com\/fr\/lacces-a-lapplication-tierce-est-il-le-nouveau-fichier-executable\/"},"modified":"2022-05-30T13:33:32","modified_gmt":"2022-05-30T15:33:32","slug":"lacces-a-lapplication-tierce-est-il-le-nouveau-fichier-executable","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/lacces-a-lapplication-tierce-est-il-le-nouveau-fichier-executable\/","title":{"rendered":"L’acc\u00e8s \u00e0 l’application tierce est-il le nouveau fichier ex\u00e9cutable\u00a0?"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n

Ce n’est un secret pour personne que les applications tierces peuvent augmenter la productivit\u00e9, permettre le travail \u00e0 distance et hybride et sont, dans l’ensemble, essentielles pour cr\u00e9er et faire \u00e9voluer les processus de travail d’une entreprise. <\/p>\n

Un processus inoffensif un peu comme cliquer sur une pi\u00e8ce jointe \u00e9tait dans les premiers jours du courrier \u00e9lectronique, les gens n’h\u00e9sitent pas \u00e0 connecter une application dont ils ont besoin avec leur espace de travail Google ou leur environnement M365, etc. Des actions simples que les utilisateurs prennent, de la cr\u00e9ation d’un courrier \u00e9lectronique \u00e0 la mise \u00e0 jour d’un contact dans le CRM, peut entra\u00eener plusieurs autres actions et notifications automatiques dans les plateformes connect\u00e9es. <\/p>\n

Comme le montre l’image ci-dessous, le m\u00e9canisme OAuth facilite incroyablement l’interconnexion des applications et beaucoup ne consid\u00e8rent pas quelles pourraient \u00eatre les ramifications possibles. Lorsque ces applications et autres modules compl\u00e9mentaires pour les plates-formes SaaS demandent l’acc\u00e8s aux autorisations, elles sont g\u00e9n\u00e9ralement accord\u00e9es sans arri\u00e8re-pens\u00e9e, ce qui offre davantage d’opportunit\u00e9s aux mauvais acteurs d’acc\u00e9der aux donn\u00e9es d’une entreprise. Cela expose les entreprises au risque d’attaques d’acc\u00e8s \u00e0 la cha\u00eene d’approvisionnement, de prises de contr\u00f4le d’API et d’applications tierces malveillantes. <\/p>\n\n\n\n\n
\"\"<\/td>\n<\/tr>\n
Demande d’autorisation du m\u00e9canisme Oauth<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

En ce qui concerne les machines locales et les fichiers ex\u00e9cutables, les organisations disposent d\u00e9j\u00e0 d’un contr\u00f4le int\u00e9gr\u00e9 qui permet aux \u00e9quipes de s\u00e9curit\u00e9 de bloquer les programmes et fichiers probl\u00e9matiques. Il doit en \u00eatre de m\u00eame pour les applications SaaS. <\/p>\n

D\u00e9couvrez comment gagner en visibilit\u00e9 sur votre pile SaaS<\/a><\/p>\n

Comment les applications tierces obtiennent-elles l’acc\u00e8s\u00a0?<\/strong><\/h2>\n

OAuth 2.0 a grandement simplifi\u00e9 l’authentification et l’autorisation, et offre une d\u00e9l\u00e9gation fine des droits d’acc\u00e8s. Repr\u00e9sent\u00e9e sous forme de scopes, une application demande l’autorisation de l’utilisateur pour des autorisations sp\u00e9cifiques. Une application peut demander une ou plusieurs \u00e9tendues. Gr\u00e2ce \u00e0 l’approbation des port\u00e9es, l’utilisateur accorde \u00e0 ces applications des autorisations pour ex\u00e9cuter du code afin d’ex\u00e9cuter une logique en coulisse dans leur environnement. Ces applications peuvent \u00eatre inoffensives ou aussi mena\u00e7antes qu’un fichier ex\u00e9cutable. <\/p>\n

Cliquez ici pour programmer une d\u00e9mo de 15 minutes pour savoir comment gagner en visibilit\u00e9 sur vos applications SaaS<\/a><\/p>\n

Meilleures pratiques pour att\u00e9nuer les risques d’acc\u00e8s aux applications tierces<\/strong><\/h2>\n

Pour s\u00e9curiser la pile SaaS d’une entreprise, l’\u00e9quipe de s\u00e9curit\u00e9 doit \u00eatre en mesure d’identifier et de surveiller tout ce qui se passe au sein de son \u00e9cosyst\u00e8me SaaS. Voici ce qu’une \u00e9quipe de s\u00e9curit\u00e9 peut partager avec les employ\u00e9s et g\u00e9rer elle-m\u00eame pour att\u00e9nuer le risque d’acc\u00e8s aux applications tierces. <\/p>\n

1 <\/strong>\u2014 Former les employ\u00e9s de l’organisation<\/strong><\/h4>\n
    \n<\/ol>\n

    La premi\u00e8re \u00e9tape de la cybers\u00e9curit\u00e9 revient toujours \u00e0 la sensibilisation. Une fois que les employ\u00e9s seront plus conscients des risques et des dangers que pr\u00e9sentent ces m\u00e9canismes OAuth, ils seront plus r\u00e9ticents \u00e0 les utiliser. Les organisations doivent \u00e9galement cr\u00e9er une politique qui oblige les employ\u00e9s \u00e0 soumettre des demandes d’applications tierces. <\/p>\n

    2 <\/strong>\u2014 Gagnez en visibilit\u00e9 sur l’acc\u00e8s des tiers pour toutes les applications critiques de l’entreprise<\/strong><\/h4>\n
      \n<\/ol>\n

      Les \u00e9quipes de s\u00e9curit\u00e9 doivent avoir une visibilit\u00e9 sur chaque application critique pour l’entreprise et examiner toutes les diff\u00e9rentes applications tierces qui ont \u00e9t\u00e9 int\u00e9gr\u00e9es \u00e0 leurs applications SaaS critiques pour l’entreprise – sur tous les principes. L’une des premi\u00e8res \u00e9tapes pour r\u00e9duire la surface de la menace consiste \u00e0 comprendre l’ensemble de l’environnement.<\/p>\n

      3 <\/strong>\u2014 Mappez les autorisations et les niveaux d’acc\u00e8s demand\u00e9s par les applications tierces connect\u00e9es<\/strong><\/h4>\n
        \n<\/ol>\n

        Une fois que l’\u00e9quipe de s\u00e9curit\u00e9 sait quelles applications tierces sont connect\u00e9es, elle doit mapper les autorisations et le type d’acc\u00e8s accord\u00e9 \u00e0 chaque application tierce. \u00c0 partir de l\u00e0, ils pourront voir quelle application tierce pr\u00e9sente un risque plus \u00e9lev\u00e9, en fonction du niveau de port\u00e9e le plus \u00e9lev\u00e9. \u00catre capable de faire la diff\u00e9rence entre une application qui peut lire et une application qui peut \u00e9crire aidera l’\u00e9quipe de s\u00e9curit\u00e9 \u00e0 prioriser ce qui doit \u00eatre trait\u00e9 en premier.<\/p>\n

        En outre, l’\u00e9quipe de s\u00e9curit\u00e9 doit identifier les utilisateurs auxquels ces autorisations ont \u00e9t\u00e9 accord\u00e9es. Par exemple, un utilisateur \u00e0 privil\u00e8ges \u00e9lev\u00e9s, quelqu’un qui a des documents sensibles dans son espace de travail, qui accorde l’acc\u00e8s \u00e0 une application tierce peut pr\u00e9senter un risque \u00e9lev\u00e9 pour l’entreprise et doit \u00eatre corrig\u00e9 imm\u00e9diatement. <\/p>\n

        4 <\/strong>\u2014 B\u00e9n\u00e9ficiez de l’approche automatis\u00e9e pour g\u00e9rer l’acc\u00e8s aux applications tierces <\/strong><\/h4>\n
          \n<\/ol>\n

          Les solutions SaaS de gestion de la posture de s\u00e9curit\u00e9 peuvent automatiser la d\u00e9couverte d’applications tierces. La bonne solution SSPM, comme Adaptive Shield, a une logique int\u00e9gr\u00e9e qui cartographie toutes les applications tierces ayant acc\u00e8s aux applications int\u00e9gr\u00e9es SSPM de l’organisation. Cette visibilit\u00e9 et cette surveillance permettent aux \u00e9quipes de s\u00e9curit\u00e9 de sorte qu’une entreprise dispose de 100 ou 600 applications, elles peuvent facilement garder le contr\u00f4le, surveiller et s\u00e9curiser la pile SaaS de leur entreprise.<\/p>\n

          La plus grande image de la s\u00e9curit\u00e9 SaaS<\/strong><\/h2>\n

          Pour s\u00e9curiser la pile SaaS d’une entreprise, l’\u00e9quipe de s\u00e9curit\u00e9 doit \u00eatre en mesure d’identifier et de surveiller tout ce qui se passe au sein de son \u00e9cosyst\u00e8me SaaS. L’acc\u00e8s aux applications tierces n’est qu’un \u00e9l\u00e9ment de l’image de la gestion de la posture de s\u00e9curit\u00e9 SaaS.<\/p>\n

          La plupart des solutions de cybers\u00e9curit\u00e9 existantes n’offrent toujours pas une protection ad\u00e9quate ou un moyen pratique de surveiller la pile SaaS d’une entreprise, sans parler des communications entre leurs applications et plates-formes connues, laissant les entreprises vuln\u00e9rables et incapables de savoir ou de contr\u00f4ler efficacement quelles parties ont acc\u00e8s \u00e0 des donn\u00e9es sensibles d’entreprise ou donn\u00e9es personnelles.<\/p>\n

          Les organisations doivent \u00eatre en mesure de voir toutes les configurations et les autorisations utilisateur de chaque application, y compris toutes les applications tierces auxquelles les utilisateurs ont accord\u00e9 l’acc\u00e8s. De cette fa\u00e7on, les \u00e9quipes de s\u00e9curit\u00e9 peuvent garder le contr\u00f4le de la pile SaaS, r\u00e9soudre tous les probl\u00e8mes, bloquer toutes les applications utilisant trop de privil\u00e8ges et att\u00e9nuer leurs risques. <\/p>\n

          D\u00e9couvrez comment s\u00e9curiser votre pile d’applications SaaS<\/a> <\/p>\n

          <\/p>\n<\/div>\n


          \n
          ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

          Ce n’est un secret pour personne que les applications tierces peuvent augmenter la productivit\u00e9, permettre le travail \u00e0 distance et hybride et sont, dans l’ensemble, essentielles pour cr\u00e9er et faire \u00e9voluer les processus de travail d’une entreprise. Un processus inoffensif un peu comme cliquer sur une pi\u00e8ce jointe \u00e9tait dans les premiers jours du courrier […]<\/p>\n","protected":false},"author":1,"featured_media":175161,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4168,4158,4165,4161,6732,72024,7085,4157,4159,4171,4170,6489,838,4167,4160,680,4163,4162,4172,4169,72023,4166,4164],"class_list":["post-175160","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-estil","tag-executable","tag-fichier","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-lacces","tag-lapplication","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouveau","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-securite-informatique","tag-securite-internet","tag-tierce","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/175160","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=175160"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/175160\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/175161"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=175160"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=175160"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=175160"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}