L’angle mort du SaaS : pourquoi les équipes de sécurité ne peuvent pas accéder à leurs propres applications

Lucas Morel

Votre entreprise utilise probablement des centaines d’applications SaaS, mais votre équipe de sécurité ne sait probablement pas qui y a réellement accès.

La plupart des organisations avec lesquelles je travaille ont investi massivement dans la sécurité du cloud. Ils disposent d’outils de détection des points de terminaison, de plates-formes SIEM, d’une gestion de la sécurité du cloud et d’équipes de sécurité qualifiées fonctionnant 24h/24 et 7j/7. Et pourtant, lorsque je leur pose une question simple : qui dispose actuellement d’un accès administrateur dans votre locataire Salesforce ? — La pièce devient silencieuse. Personne ne le sait. Non pas parce qu’ils sont négligents. Parce qu’ils ne peuvent vraiment pas le voir.

C’est le point mort du SaaS.

Figure 1 : L'angle mort et ce que couvre le SSPM

SaaS : les chiffres en disent long

Je pose cette question dans presque tous les engagements : combien d’applications SaaS votre organisation exécute-t-elle ? Les réponses que j’obtiens vont de 30 à peut-être 50. Le nombre réel, une fois que quelqu’un compte, se situe généralement au nord de trois cents. L’étude AppOmni de 2024 le place encore plus haut : 49 % des organisations Microsoft 365 pensaient avoir moins de dix applications connectées à leur locataire alors que la moyenne réelle était supérieure à mille.

Ce qui m’intéresse dans celui-ci, c’est la chronologie. Ce jeton était là depuis octobre 2021. Près de deux ans, au sein de Microsoft, avant que quiconque ne l’attrape. Si une équipe disposant de ce niveau de ressources et d’expertise peut laisser une porte ouverte pendant deux ans, l’idée selon laquelle « nous le remarquerions » n’est pas vraiment une stratégie de sécurité. Et il convient de le noter : il ne s’agissait pas d’une fuite de base de données. C’étaient des messages Teams. Les mêmes outils de collaboration que vos employés utilisent quotidiennement sont tout aussi exposés que les plateformes détenant des enregistrements structurés.

Pourquoi les outils de sécurité traditionnels manquent cela

Les outils de gestion de la posture de sécurité du cloud (CSPM) sont conçus pour surveiller la configuration de l’infrastructure : machines virtuelles, compartiments de stockage, règles réseau et politiques IAM au niveau de l’infrastructure. Ils font un travail acceptable à ce niveau. Ce qu’ils ne font pas, c’est regarder à l’intérieur des applications SaaS. Les directives SCuBA (Secure Cloud Business Applications) de CISA soulignent spécifiquement l’écart entre les outils de sécurité de l’infrastructure et la visibilité de la couche SaaS comme l’un des domaines les plus sous-abordés de la sécurité du cloud d’entreprise.

C’est l’écart pour combler l’écart que SSPM a été créé. Au lieu de surveiller l’infrastructure, il surveille la configuration des applications SaaS elles-mêmes : autorisations, paramètres de partage, qui a accès à quoi. Et la distinction n’est pas seulement académique. Les mauvaises configurations de l’infrastructure ont tendance à exposer les systèmes. Les mauvaises configurations SaaS ont tendance à exposer les données – directement, discrètement et souvent sans aucune activité d’attaque détectable.

Figure 3 : Les six principales fonctionnalités de visibilité de SSPM

Ce que les équipes de sécurité doivent faire maintenant

Vous n’avez pas besoin de déployer une plateforme SSPM complète demain pour commencer à combler l’écart. Il existe des mesures pratiques qui font bouger les choses immédiatement.

  • Auditez les applications OAuth connectées sur vos principales plateformes SaaS. Révoquez toute intégration qui ne peut être justifiée par un besoin commercial actuel.
  • Source commune d’exposition des données publiques : vérifiez les autorisations d’invité et de partage externe dans Salesforce Communities et Microsoft SharePoint.
  • Vérifiez si les protocoles d’authentification hérités sont désactivés dans Microsoft 365. L’authentification héritée contourne MFA et devient un point d’entrée potentiel dans les environnements d’entreprise.
  • Établissez un examen trimestriel des accès aux comptes à privilèges élevés dans les applications SaaS. La plupart des organisations effectuent au mieux des évaluations annuelles, ce qui n’est pas assez fréquent pour les plateformes dont la configuration change quotidiennement.
  • Une carte indiquant quelles applications SaaS détiennent des données sensibles et lesquelles n’appartiennent à aucune équipe de sécurité. Cette liste sera plus longue que prévu.

Le problème principal n’est pas que les organisations soient négligentes. C’est qu’ils ont construit des programmes de sécurité autour du périmètre et de l’infrastructure, et que les applications SaaS se sont développées à l’intérieur de ce périmètre sans jamais être intégrées à leur portée. Les données sont là. L’accès est là. La mauvaise configuration est souvent là aussi. Ce qui manque, c’est la visibilité pour le voir.

SSPM comble cette lacune. Mais avant même qu’un outil formel ne soit en place, il suffit de se poser la question : que peuvent voir et partager les applications que nous exécutons déjà ? – est une première étape significative. D’après mon expérience, la réponse surprend presque toutes les organisations qui prennent le temps d’y réfléchir.

Cet article est publié dans le cadre du Foundry Expert Contributor Network.
Voulez-vous nous rejoindre ?

Architecture d’entrepriseSécurité des données et des informationsSécuritéSécurité des applications