7 risques de sécurité importants lors de la mise en œuvre d’applications SaaS

Des infrastructures ? Qui en a vraiment besoin ? Les entreprises modernes abandonnent les infrastructures et logiciels traditionnels sur site au profit de solutions SaaS (logiciels en tant que service). Les solutions SaaS sont des options attrayantes et souvent essentielles pour réduire les dépenses d’investissement, les frais généraux opérationnels et la durée de déploiement, offrant ainsi une agilité commerciale accrue.

Mais cette agilité accrue n’est pas sans risques. Désireux de faire avancer les projets, de nombreux départements se procureront de nouvelles applications SaaS sans l’aide ou l’approbation des équipes informatiques ou de sécurité appropriées. Les entreprises dont l’environnement est multi-SaaS sont souvent tenues de gérer, de protéger et de rendre compte séparément de chaque service SaaS, ce qui augmente encore le risque si les politiques de sécurité sont incohérentes.

Si votre entreprise déploie de plus en plus d’applications SaaS, soyez à l’affût de ces sept risques de sécurité importants afin de savoir comment mettre en œuvre des solutions de sécurité SaaS adaptées.

  1. Le phishing reste une menace.

    Les e-mails restent le vecteur de menaces le plus courant. En effet, plus de 90 % des cyberattaques réussies commencent par un e-mail de phishing. Les cybercriminels utilisent les e-mails de phishing pour tromper les victimes et les amener à livrer des charges utiles à l’aide de pièces jointes ou d’URL malveillantes, à recueillir des identifiants via de fausses pages de connexion ou à commettre des fraudes par usurpation d’identité. Mais les attaques de phishing modernes sont également de plus en plus sophistiquées et souvent très ciblées.

    Alors que les entreprises continuent d’accélérer la mise en œuvre de la messagerie SaaS (par ex. Office 365 ou G Suite) et d’autres applications de productivité, le phishing évolue en parallèle et cible également le cloud. Les applications cloud représentent la prochaine frontière pour le phishing puisque les utilisateurs doivent s’identifier pour accéder à leurs comptes, et que cette authentification est pilotée par des protocoles standard tels que OAuth.

    À titre d’exemple, les cybercriminels ont ciblé O365 avec des attaques de phishing très sophistiquées — notamment baseStriker, ZeroFont et PhishPoint — pour contourner les contrôles de sécurité de Microsoft. De nombreuses passerelles de courriers électroniques sécurisées, telles que Mimecast, n’ont pas non plus été en mesure d’arrêter ces e-mails de phishing.

    Autre exemple, Gmail de Google a subi une attaque de phishing massive en 2017. Un e-mail plus vrai que nature demandait l’autorisation et l’accès ouvert aux documents et comptes de messagerie électronique. L’attaque a exploité le protocole OAuth de Google.

  2. Les piratages de comptes ouvrent la porte.

    Lors d’un piratage de compte, l’auteur de la menace pirate les informations de connexion professionnelles d’un employé en lançant une campagne de phishing d’identifiants contre une entreprise ou en achetant des identifiants sur le Dark Web suite à une fuite de données provenant d’un tiers. L’auteur de la menace peut alors utiliser les identifiants volés pour obtenir un accès ou des privilèges supplémentaires. Il est possible qu’un compte piraté ne soit pas découvert avant longtemps, voire pas du tout.

  3. Le vol de données reste rentable quel que soit l’endroit où ces données sont stockées.

    Le risque posé par les fuites de données est une préoccupation majeure pour les entreprises qui passent au cloud. Sanctionner les applications SaaS implique le déplacement et le stockage des données à l’extérieur du centre de données de l’entreprise, où le service informatique de l’organisation n’a aucun contrôle ni visibilité, mais reste toujours responsable de la sécurité des données. Les données stockées dans les applications SaaS peuvent être des données clients, des informations financières, des données d’identification personnelle et de propriété intellectuelle. Les cybercriminels lancent généralement une attaque ciblée ou exploitent les mauvaises pratiques de sécurité et les vulnérabilités des applications pour exfiltrer les données.

  4. La perte de contrôle peut déboucher sur un accès non autorisé.

    Un autre risque lié au passage vers le cloud est le manque de contrôle du service informatique sur les utilisateurs : quelles données sont accessibles à quels utilisateurs et quel est le niveau d’accès des utilisateurs ? Les employés peuvent alors supprimer des données par mégarde, entraînant une perte de données, ou exposer des données sensibles à des utilisateurs non autorisés, entraînant une fuite de données.

  5. L’inconnu des nouveaux logiciels malveillants et des attaques « zero-day ».

    Les applications SaaS, en particulier les services de stockage et de partage de fichiers (par ex., Dropbox, Box, OneDrive, etc.), sont devenues un vecteur de menace stratégique pour propager les ransomwares et les logiciels malveillants « zero-day ». Selon Bitglass, 44 % des entreprises passées au numérique avaient une forme de logiciel malveillant dans au moins une de leurs applications cloud. Les attaques qui se produisent dans des environnements SaaS sont difficiles à identifier et à arrêter, car elles peuvent être menées sans que les utilisateurs en soient conscients.

    L’un des avantages de l’utilisation d’applications SaaS est la synchronisation automatique des fichiers et des données entre les appareils. Cela peut aussi être un canal de propagation des logiciels malveillants. Le pirate n’aurait qu’à charger un fichier PDF ou Office malveillant dans les applications SaaS de partage ou de stockage et les fonctions de synchronisation feraient le reste.

  6. Conformité et audit.

    Les mandats gouvernementaux, comme le RGPD, et les réglementations pour des secteurs comme la santé (HIPAA), la distribution (PCI DSS) et la finance (SOX) nécessitent des outils d’audit et de rapport pour démontrer la conformité au cloud, en plus des exigences en matière de protection des données. Les entreprises doivent s’assurer que les données sensibles sont sécurisées, déployer des capacités leur permettant de consigner les activités des utilisateurs et mettre en place des pistes de vérification dans toutes les applications sanctionnées.

  7. Les menaces internes.

    En matière de sécurité, les employés sont souvent le maillon faible. Les menaces internes n’ont pas toujours l’intention de nuire. La négligence de l’utilisateur peut entraîner une attaque interne accidentelle, et reste un risque majeur pour les entreprises de toutes tailles. Ce risque ne concerne pas uniquement des mots de passe dont la sécurité est trop faible, le partage d’identifiants ou la perte/le vol d’ordinateurs portables. Il s’étend aux données stockées dans le cloud, où elles peuvent être partagées avec des sources externes et souvent consultées depuis n’importe quel appareil ou emplacement.

    Mais parfois, les menaces internes ont malheureusement une intention malveillante. Les travailleurs (tels que le personnel et les administrateurs des entreprises et des fournisseurs de services de communications) qui abusent de leur accès autorisé aux réseaux, systèmes et données d’une organisation ou d’un fournisseur de services de communication peuvent causer des dommages intentionnels ou exfiltrer des informations.

Comment sécuriser les applications SaaS

L’adoption rapide de la messagerie électronique et des applications SaaS, associée aux progrès technologiques constants, a donné lieu à de multiples options de sécurisation de la messagerie électronique et des données SaaS.

Visant les grandes entreprises, les fournisseurs de sécurité ont présenté les Cloud Access Security Brokers (CASB) comme une solution offrant visibilité, contrôle d’accès et protection des données sur l’ensemble des services de cloud computing en utilisant une passerelle, un proxy ou des API.

Bien que les services CASB traditionnels fournissent des capacités robustes aux grandes entreprises, ils ne sont pas adaptés à tous les types d’entreprises. En plus d’être coûteux et de nécessiter des déploiements souvent complexes, peu de services CASB assurent la sécurité des messageries électroniques SaaS comme Office 365 Mail et Gmail, laissant donc le soin aux entreprises de mettre en place et de gérer des contrôles de sécurité distincts.

L’adoption étendue de la messagerie électronique et des applications SaaS au sein des entreprises a suscité le besoin de créer une solution de sécurité SaaS abordable et facile d’utilisation. Heureusement, certaines approches peuvent aider à limiter ou éliminer les nouveaux risques causés par les applications SaaS.

Sécurisez l’intégralité de votre suite bureautique dans le cloud, y compris Office 365 ou G Suite

À titre d’exemple, la solution Cloud App Security (CAS) de SonicWall propose la protection avancée des messageries électroniques et des données pour les messageries et applications SaaS. Cette approche offre une protection avancée contre les attaques de phishing ciblées, la fuite d’e-mails professionnels, les menaces « zero-day », la perte de données et les piratages de comptes.

Cloud App Security intègre également de manière fluide les applications SaaS autorisées à l’aide d’API natives. Cette approche offre des fonctionnalités CASB et de sécurité pour les messageries électroniques essentielles à la protection de l’environnement SaaS et garantit des politiques cohérentes pour toutes les applications cloud utilisées.

Utilisée en conjonction avec Capture Security Center Analytics et intégrée dans les pare-feu de nouvelle génération de SonicWall, Cloud App Security permet de voir et de contrôler l’informatique fantôme grâce à des fonctions de découverte automatisée dans le cloud.