Les solutions SaaS (Software-as-a-service, ou en français : Logiciel en tant que service) offrent une flexibilité sans précédent à toute entreprise. Vous pouvez y accéder sur le Cloud à tout moment et de n’importe quel endroit. Elles vous permettent de minimiser vos dépenses en matériel et d’augmenter ou de réduire vos capacités chaque fois que nécessaire. Enfin, elles peuvent être facilement intégrées dans un flux de travail unique. Mais malgré l’adoption croissante des produits logiciels basés sur le Cloud, les problèmes de sécurité des SaaS persistent. Dans une étude menée en 2021, pas moins de 98 % des entreprises interrogées ont connu au moins un incident de sécurité au cours des 18 mois précédents l’enquête.
Alors, cela signifie-t-il que toutes ces affirmations sur la sécurité des produits SaaS ne sont rien d’autre que du battage publicitaire ? Eh bien, ce n’est pas aussi simple. Cet article vous permettra de comprendre les bases de la nature des risques de sécurité des SaaS et de la façon dont vous pouvez les prévenir.
Les principaux défis de la sécurité des SaaS dans le Cloud
Les environnements SaaS d’aujourd’hui comprennent, en moyenne, 42 applications tierces. D’un côté, le fait d’avoir la plupart des données et des processus hors site est extrêmement libérateur pour une entreprise. D’un autre côté, c’est un véritable défi que de contrôler autant d’applications. Et c’est de là que découlent deux préoccupations clés en matière de sécurité des données SaaS : le manque de visibilité et la gestion insuffisante des accès.
Le manque de visibilité
Selon une enquête, six propriétaires d’entreprise sur dix considèrent le manque de visibilité de leurs environnements SaaS comme l’un de leurs principaux défis en matière de cybersécurité. Et ce n’est pas seulement à cause du nombre d’applications qu’ils doivent surveiller. Chacune de ces applications s’accompagne d’un ensemble individuel de caractéristiques de sécurité, de paramètres d’accès et de politiques de confidentialité, qui changent constamment à mesure que les fournisseurs améliorent leurs produits. Pour couronner le tout, n’oublions pas la variété des appareils à partir desquels chaque application SaaS peut être accessible. Les équipes de sécurité n’ont donc qu’une connaissance limitée des risques réels pour les données de l’entreprise.
La gestion insuffisante des accès
Les entreprises étant complètement submergées par le nombre d’applications tierces dans leurs environnements cloud, seulement 12% des entreprises ayant 50 à 99 applis dans leur pile SaaS effectuent réellement des contrôles hebdomadaires de mauvaise configuration. Si l’on ajoute à cela la dépendance omniprésente à l’égard des fournisseurs d’applications SaaS en termes de sécurité, on comprend mieux pourquoi la gestion inadéquate des accès est considérée comme une autre menace majeure pour la sécurité par la majorité des entreprises : de nombreuses équipes de sécurité n’ont pas une image complète de qui peut accéder aux données de l’entreprise et de quelle manière, ou du type de données auxquelles on peut accéder.
Ensemble, ces deux problèmes de contrôle ont le potentiel de provoquer des fuites de données massives, rendant vos systèmes plus vulnérables à une variété de cybermenaces, telles que le détournement de comptes, les attaques par ransomware, les campagnes de phishing et les menaces internes. Examinons maintenant quelques cas et les leçons que l’on peut en tirer.
Les incidents de sécurité des SaaS et ce qu’ils peuvent entraîner
Regardons les choses en face : pour beaucoup d’entre nous, tous ces résultats statistiques ne sont qu’un ensemble de symboles et les avertissements des experts en cybersécurité peuvent sembler sans rapport avec notre propre situation. Pourtant, qu’on le veuille ou non, les fuites de données et les cyberattaques sont bien réelles. Nous avons mis en évidence ci-dessous trois incidents de cybersécurité centrés sur (ou du moins impliquant) des applications SaaS que vous connaissez et utilisez peut-être.
La fuite de données mondiale de Jira
En août 2019, un chercheur en sécurité a découvert que des milliers d’entreprises, dont la NASA, ont involontairement divulgué certaines de leurs données en ligne en raison d’une seule mauvaise configuration dans Jira.
Il s’est avéré que lorsque vous créez des tableaux de bord et des filtres dans Jira, la plateforme vous permet de choisir quelques paramètres de permission pour savoir qui peut voir ces détails. Et c’est là que les problèmes commencent. Certains administrateurs supposent que « tous les utilisateurs » ou « tout le monde » signifie « toute personne de l’entreprise » ; mais cela signifie en fait que ces données sont accessibles au grand public et qu’elles sont indexées dans les moteurs de recherche. Pire encore, ces options sont celles qui sont disponibles par défaut.
Les chercheurs en matière de menaces de Varonis ont révélé que pas moins de 3 774 tableaux de bord, 244 projets et 75 629 problèmes étaient accessibles au public, la majorité de ces actifs s’étant retrouvés accidentellement sur le web. Les noms de projets, les avatars, les propriétaires, les statuts et les e-mails des utilisateurs sont les données les plus courantes qui ont été divulguées de cette manière. À l’aide de ces informations, des personnes malveillantes peuvent élaborer des campagnes de phishing, lancer des attaques de « pulvérisation de mots de passe » ou de « bourrage d’identifiants », ou bien cibler des systèmes encore plus sensibles.
L’attaque de la chaîne d’approvisionnement de SolarWinds
À la fin de l’année 2020, le fournisseur de sécurité a signalé une cyberattaque massive contre SolarWinds — un important fournisseur américain de logiciels de gestion d’infrastructure informatique. Selon son PDG, Sudhakar Ramakrishna, les hackers se sont introduits dans le compte Office 365 de l’entreprise, ont obtenu l’accès aux comptes personnels de SolarWinds et les ont utilisés pour injecter un code malveillant dans la mise à jour du logiciel Orion du fournisseur, qui a ensuite été diffusé à environ 18 000 clients. Il est intéressant de noter que ni les enquêteurs de SolarWinds ni ceux de Microsoft n’ont detecté de vulnérabilité dans le code d’Office 365 qui pourrait être exploitée par les pirates. Tous deux évoquent le vol d’informations d’identification, plutôt qu’une vulnérabilité.
L’incident a eu lieu en 2019 et, selon les chercheurs en matière de menaces informatiques, il a affecté les réseaux de plus de 100 sociétés privées américaines et de neuf agences fédérales. Cela incluait notamment Microsoft, Cisco et Deloitte, ainsi que le Pentagone, le ministère de la Sécurité intérieure, et plus encore. Selon un rapport de IronNet de 2021, les entreprises touchées ont perdu, en moyenne, 11 % de leurs revenus annuels.
Des milliers d’enregistrements de réunions Zoom disponibles en ligne
Lorsque la pandémie a frappé, Zoom a connu une hausse de popularité sans précédent, passant de 90 millions d’utilisateurs quotidiens en décembre 2019 à 200 millions en mars 2020. Outre l’augmentation du cours de l’action de l’entreprise, cela a déclenché une vague de préoccupations concernant la confidentialité des données.
Par exemple, en avril 2020, des chercheurs ont découvert des milliers d’enregistrements de réunions privées sur Zoom qui étaient disponibles au grand public sur le web, n’importe qui pouvait les regarder et même les télécharger. Était-ce le résultat d’une violation massive des données ? Pas du tout. L’astuce est que Zoom permet aux utilisateurs de sauvegarder leurs réunions enregistrées à l’endroit de leur choix, sans mot de passe. Ceci est encore exacerbé par le fait que vous pouvez sauvegarder l’enregistrement avec son titre par défaut, qui est le même que le sujet de la réunion électronique. Par conséquent, si vous enregistrez votre vidéo, par exemple, dans les buckets S3 d’Amazon Web Services (AWS), n’importe qui peut la trouver via une simple recherche sur le Cloud.
Les meilleures pratiques en matière de sécurité des applications SaaS
D’après le rapport 2021 SaaS Security Survey Report, 89 % des entreprises interrogées ont déclaré que les mauvaises configurations des SaaS constituaient l’une des trois principales menaces de cybersécurité. Les chercheurs ont constaté qu’il s’agissait de la principale source des problèmes de cybersécurité présentés dans le rapport.
En d’autres termes, ce n’est pas que les applications SaaS présentent des failles de sécurité inhérentes, mais c’est la façon dont nous utilisons ces applications qui est la cause principale des mésaventures des logiciels en tant que service. Un article sur la sécurité du cloud indique que d’ici 2025, pas moins de 99 % des incidents de cybersécurité seront tout simplement imputables au client. Alors, comment pouvez-vous assurer la sécurité de vos applications SaaS ? Voici ce que nous vous recommandons.
Évaluez tous les risques
Dans les environnements « cloud-first », la plupart des applications sont intégrées dans un seul écosystème. Cela dit, vous devez régulièrement auditer chaque application en termes de conformité, de restrictions d’accès disponibles, de niveau de protection contre les tentatives de piratage, etc. Cela vous permettra de définir et d’évaluer tous les risques que chaque appli pose à votre environnement Cloud.
Automatisez autant que vous le pouvez
Il est indéniable que la surveillance continue d’un grand nombre d’applications tierces est une tâche ardue – c’est l’une des raisons pour lesquelles de nombreuses organisations ne parviennent pas à garder un œil sur toutes leurs applications et à détecter les problèmes à temps. Pour vous assurer que rien ne passe à travers les mailles du filet, nous vous recommandons vivement de vous pencher sur les outils d’automatisation, tels que les solutions « SaaS Security Posture Management » (SSPM). Ils peuvent faire le travail à votre place.
Évitez les mauvaises configurations
De nombreux chercheurs s’accordent à dire que les mauvaises configurations – en particulier une mauvaise gestion des accès – constituent un risque sérieux de cybersécurité pour les SaaS. Pour atténuer ce risque, assurez-vous que vous tirez le maximum des paramètres de sécurité de chaque application. Y a-t-il une authentification multifactorielle ? Activez-la. Votre application permet-elle différents niveaux d’autorisations pour les utilisateurs ? Analysez qui utilisera l’outil et configurez les permissions en conséquence.
Adoptez la politique d’accès minimum
Réduisez autant que possible le nombre d’utilisateurs qui peuvent accéder aux données de votre entreprise. Suivez la règle empirique suivante : si une restriction d’accès d’un utilisateur donné n’affecte pas votre flux de travail de manière négative, faites-le. Cela permettra d’éviter des incidents similaires à celui auquel ont été confrontés les utilisateurs de Jira.
Mettez en œuvre des normes
La plupart des employés ont tendance à être négligents avec les données de l’entreprise. DoControl a constaté que 20% de tous les actifs SaaS d’entreprise sont partagés en interne avec un lien et 18% en externe, exposant ainsi les données à des utilisateurs non autorisés. L’élaboration de normes d’utilisation des applications pour guider votre personnel contribuera à minimiser les fuites de données de ce type.
Sensibilisez votre personnel
L’attitude laxiste à l’égard des actifs de l’entreprise peut également provenir du fait que certains employés ne sont peut-être pas formés pour gérer les données de manière responsable, ou ne sont pas conscients de la nécessité de le faire. Un programme formel de sensibilisation à la sécurité avec des sessions de formation régulières permettra de remédier à cela. Il réduira également le risque d’attaques menées à l’aide de techniques d’ingénierie sociale.
Évitez d’avoir trop d’applications
Les environnements SaaS modernes sont « surpeuplés ». Des études montrent que plus de la moitié des applications d’une pile SaaS moyenne n’ont pas été utilisées depuis plus de six mois. Avoir autant d’applications qui pourraient contenir des données sensibles est un risque déraisonnable. Débarrassez-vous donc des applications excédentaires dès qu’elles sont détectées.
Analysez soigneusement chaque application avant de l’intégrer à votre stack
Plus vous avez d’applis, plus vous exposez vos données à des risques graves en matière de cybersécurité. Par conséquent, soyez attentif à chacune des applications que vous envisagez d’utiliser pour votre entreprise. Les questions suivantes vous aideront à filtrer les fournisseurs peu fiables :
- La conception du système de contrôle d’accès permet-elle de prévenir les problèmes de sécurité du réseau ?
- Les paramètres d’accès contiennent-ils différents niveaux de restrictions pour les utilisateurs ?
- Devez-vous vous conformer à des réglementations, comme le RGPD ou l’HIPPA (ou toute autre réglementation pertinente dans votre cas) ?
- Êtes-vous prêt à entreprendre des contrôles externes en matière de cybersécurité ?
- Détenez-vous des certifications en matière de cybersécurité, comme ISO ?
- Vos clients peuvent-ils contrôler où leurs données sont stockées ?
- Où stockez-vous les données des applications ? Est-ce auprès d’un fournisseur de Cloud réputé, comme AWS, ou dans un centre de données privé ?
- Chiffrez-vous les données en transit et au repos ?
- Combien de temps conservez-vous les données dans votre application avant de les supprimer ?
- Comment empêchez-vous les données de l’utilisateur d’être perdues lors d’une catastrophe naturelle ?
Il s’agit de la liste de contrôle de base pour la sécurité des SaaS, d’autres considérations peuvent être nécessaires pour votre entreprise en particulier. Mais voici le prochain défi : imaginons que vous avez réalisé que votre plateforme de support client actuelle présente de nombreuses failles de sécurité et que vous souhaitez passer à une option plus sûre. La question est donc la suivante : existe-t-il un moyen sûr de migrer facilement vos données d’une plate-forme à l’autre ? Vous trouverez la réponse ci-dessous.
Comment Help Desk Migration reste à l’écart des risques de cybersécurité
Si vous cherchez à migrer les données de votre logiciel de gestion des services d’assistance en toute sécurité, il n’est pas nécessaire de parcourir Internet à la recherche d’un fournisseur de migration de données de confiance. Laissez simplement notre solution automatisée de migration de données — Help Desk Migration — faire le travail pour vous en toute sécurité. Voici quelques-unes des normes de sécurité SaaS que nous suivons pour protéger vos données.
Les mesures techniques
Chez Help Desk Migration, nous sommes fermement convaincus que la sécurité d’une application en termes de conception relève uniquement de la responsabilité du fournisseur. La migration des données du service d’assistance avec notre service est sûre et sécurisée grâce aux mesures suivantes :
- Protection de l’accès. Tous les appareils que nos employés utilisent pour accéder à notre service sont cryptés (de sorte qu’aucun « spectateur » ne puisse les lire), aucun d’entre eux ne peut se connecter à nos applications Web sans authentification à deux facteurs. En outre, les administrateurs de la plateforme Help Desk Migration, ainsi que les employés à distance, utilisent un VPN. De plus, seuls les ingénieurs techniques autorisés peuvent accéder au code source, mettre en œuvre la migration personnalisée et résoudre les problèmes techniques à la demande de l’équipe d’assistance.
- Politique de conservation des données. Nous supprimons toutes les données de migration dix jours après la Démo de migration et cinq jours après la migration complète (nous pouvons raccourcir ou prolonger la période de rétention à votre demande). Et nous ne stockons pas les mots de passe des clients.
- Protection de l’environnement de production. Nous nous surpassons pour garantir que notre équipe de développement puisse travailler sur notre service dans un environnement protégé. Cela comprend une série de mesures, notamment l’échange de clés publiques/privées au lieu de mots de passe pour accéder aux serveurs, l’authentification à double facteurs pour le panneau d’administration, une configuration stricte du pare-feu, etc.
- Infrastructure. Toute notre infrastructure est située en Allemagne et hébergée par AWS. Nous installons et gérons tous les silos de données au sein de cette infrastructure, à l’exception des copies de sauvegarde stockées par AWS S3. Nous sommes aussi très attentifs à la sécurité physique de nos serveurs et services.
- Protection des données en transit et au repos. Notre réseau privé est fortement sécurisé par des pares-feux, des protections anti-DDoS, sans parler des évaluations régulières de la posture du réseau. Le cryptage SSL protège les données qui transitent sur Internet. Nous utilisons également le cryptage des disques pour sauvegarder les données statiques, afin que seuls les utilisateurs autorisés puissent les lire.
Les mesures organisationnelles
Bien que notre service soit sécurisé de par sa conception, nous prenons diverses mesures organisationnelles pour éliminer la moindre chance de fuite des données. Ces mesures comprennent :
- La confidentialité. Avant de rejoindre notre entreprise, tous nos employés signent une clause spéciale dans le contrat de travail, qui les oblige à ne pas divulguer d’informations confidentielles associées au service Help Desk Migration.
- La continuité des activités. Nous nous engageons à fournir nos services pendant au moins six mois.
- Des audits de sécurité. Nous analysons régulièrement nos systèmes à la recherche de vulnérabilités et effectuons des mises à niveau si nécessaire.
- La reprise après sinistre. Nous prenons toutes les mesures nécessaires pour nous assurer que vos données restent intactes après une catastrophe naturelle.
- La séparation des tâches (SoD). Pour minimiser les risques, nous adhérons à des politiques de séparation des tâches. Cela signifie qu’au lieu de donner à un seul employé le contrôle total d’un certain processus, nous répartissons cette fonction entre plusieurs membres de l’équipe.
Les caractéristiques de sécurité
Et bien sûr, aucune solution SaaS fiable ne peut être complète sans une variété de paramètres de sécurité, permettant aux utilisateurs de bénéficier d’une protection complète. Lorsqu’il s’agit de Help Desk Migration, ceux-ci comprennent :
- L’authentification à deux facteurs. La procédure de connexion ne se limite pas à la combinaison traditionnelle d’un mot de passe et d’un e-mail. Nous recommandons d’activer l’authentification à double facteurs pour une sécurité accrue.
- La surveillance de l’accès. Toute l’activité des utilisateurs est stockée dans l’Assistant de migration – notre outil qui vous permet de personnaliser votre structure de données. Vous pouvez consulter l’adresse IP, les données de l’appareil et l’heure de la connexion.
Nous recommandons également à nos utilisateurs de changer leurs mots de passe et de restreindre les autorisations d’accès qui nous sont accordées cinq jours après la migration. Si vous pensez avoir repéré une vulnérabilité, nous serons toujours heureux d’en discuter avec vous.
La conformité
Nous sommes fiers de notre vaste portefeuille de conformités, que nous tenons à jour et que nous complétons souvent. Pour l’instant, nous adhérons aux normes HIPAA, RGPD, ISO/IEC 27001:2013 et PCI DSS.
Il s’agit là d’un bref aperçu de la manière dont nous assurons une migration sûre des données. Si vous souhaitez en savoir plus sur les mesures que nous prenons pour protéger vos données, vous pouvez consulter la page de notre Politique de Sécurité, vous familiariser avec notre Accord de Niveau de Service, ou nous demander de remplir un questionnaire de sécurité.