En janvier dernier, une société SaaS Security Posture Management (SSPM) nommée Wing Security (Wing) a fait des vagues avec le lancement de sa solution gratuite de découverte informatique SaaS-Shadow. Les entreprises basées sur le cloud ont été invitées à mieux comprendre l’utilisation du SaaS par leurs employés grâce à un produit en libre-service entièrement gratuit qui fonctionne sur un modèle « freemium ». Si un utilisateur est impressionné par la solution et souhaite obtenir plus d’informations ou prendre des mesures correctives, il peut acheter la solution d’entreprise.
« Dans la réalité économique d’aujourd’hui, les budgets de sécurité n’ont pas nécessairement été réduits, mais les acheteurs sont beaucoup plus prudents dans leurs décisions d’achat et à juste titre. Nous pensons que vous ne pouvez pas sécuriser ce que vous ne savez pas, donc savoir devrait être un produit de base. Une fois vous comprenez l’ampleur de votre couche d’attaque SaaS, vous pouvez prendre une décision éclairée quant à la façon dont vous allez le résoudre. La découverte est la première étape naturelle et fondamentale et elle devrait être accessible à tous. a déclaré Galit Lubetzky Sharon, cofondatrice et directrice technique de Wing
La société a indiqué que dans les premières semaines de lancement, plus de 200 entreprises se sont inscrites à leur outil de découverte gratuit en libre-service, s’ajoutant à la clientèle existante de l’entreprise. Ils ont récemment publié un bref rapport sur les conclusions de centaines d’entreprises qui ont dévoilé l’utilisation du SaaS, et les chiffres sont troublants.
Les risques tangibles de l’utilisation croissante du SaaS
Dans 71,4 % des entreprises, les employés utilisent en moyenne 2,4 applications SaaS qui ont été violées au cours des trois derniers mois. En moyenne, 58 % des applications SaaS sont utilisées par un seul employé. Un quart des utilisateurs SaaS des organisations sont externes. Ces chiffres, ainsi que d’autres données intéressantes, se trouvent dans le rapport de l’entreprise, ainsi que des explications sur les raisons pour lesquelles ils pensent que c’est le cas et les risques qui doivent être pris en considération.
L’utilisation du SaaS est souvent décentralisée et difficile à gouverner, et ses avantages peuvent également poser des risques de sécurité lorsqu’ils ne sont pas gouvernés. Alors que les systèmes IAM/IM aident les organisations à reprendre le contrôle d’une partie de l’utilisation SaaS de leurs employés, ce contrôle est limité aux applications SaaS sanctionnées dont l’IT/Security a connaissance. Le défi est que les applications SaaS sont souvent intégrées par les employés sans impliquer les équipes informatiques ou de sécurité. En d’autres termes, c’est le SaaS Shadow IT. Cela est particulièrement vrai pour de nombreuses applications SaaS qui ne nécessitent pas de carte de crédit ou proposent une version gratuite.
Le scénario courant est celui d’un salarié, souvent distant, à la recherche d’une solution rapide à un problème métier. La solution est souvent une application que l’employé a trouvée en ligne, à laquelle il a accordé des autorisations (il peut s’agir d’autorisations de lecture et d’écriture, ou même d’exécution), puis qu’il a complètement oubliée. Cela peut entraîner plusieurs risques de sécurité.
Les risques liés au SaaS peuvent être classés en trois types différents :
Applications liées
Les exemples incluent les applications à risque avec un score de sécurité faible, indiquant une probabilité plus élevée que ces applications soient vulnérables. Et les applications qui ont récemment été compromises mais qui ont des autorisations dans les données de l’organisation, compromettant immédiatement ces données. Dans sa solution gratuite, Wing associe un score de sécurité à chaque application trouvée et alerte les utilisateurs sur les applications à risque dans leur pile SaaS.
D’autres exemples de risques inhérents aux applications SaaS incluent les applications SaaS tierces, celles qui « se superposent » au SaaS connu et approuvé. Ou des applications qui ont reçu des autorisations élevées qui sont rarement accordées : selon Wing, 73,3 % de toutes les autorisations accordées aux applications par les utilisateurs n’ont pas été utilisées pendant plus de 30 jours. Cela soulève la question suivante : pourquoi laisser des portes ouvertes sur les données de votre organisation alors que vous n’utilisez même pas l’application qui les demande ?
Liés aux utilisateurs
On ne peut pas ignorer le facteur humain. Après tout, le SaaS est souvent intégré directement par l’employé qui l’utilise. Ce sont eux qui accordent les autorisations, pas toujours conscients de la signification de ces autorisations. Là aussi la solution gratuite de Wing propose une petite aide : Pour les 100 premières applications trouvées, Wing fournit une liste des utilisateurs qui les utilisent. Pour des informations complètes sur qui sont les utilisateurs, les utilisateurs externes et le comportement incohérent des utilisateurs dans les applications, Wing propose son édition entreprise.
Liées aux données
Les risques associés à la sécurité des données sont vastes et concernent toute une catégorie de produits, tels que les DLP et les DSPM. Cependant, en ce qui concerne les applications SaaS utilisées par les employés, les problèmes liés aux données peuvent aller des fichiers sensibles partagés sur des applications qui ne sont pas destinées au partage de fichiers, des secrets partagés sur des canaux publics (Slack est un exemple courant) et même la quantité massive de fichiers que les employés partagent en externe puis oublient, laissant cette connexion externe grande ouverte. Maintenir un environnement SaaS propre consiste non seulement à maintenir les applications et les utilisateurs, mais également à gérer les informations qui résident dans et entre ces applications.
En conclusion, la découverte informatique SaaS-Shadow est devenue un domaine de préoccupation critique pour les équipes informatiques et de sécurité, car l’utilisation des applications SaaS continue de croître rapidement. Bien que les applications SaaS offrent de nombreux avantages aux entreprises, elles présentent également des risques de sécurité importants lorsqu’elles ne sont pas gérées. Ces risques incluent l’utilisation d’applications piratées, l’octroi d’autorisations excessives, les incohérences des utilisateurs et les problèmes de sécurité des données.
Il est crucial pour les organisations d’avoir une visibilité sur l’utilisation du SaaS par leurs employés afin de prendre des décisions éclairées et de prendre des mesures correctives pour atténuer ces risques. En 2023, on s’attend à ce que la découverte informatique SaaS-Shadow de base n’ait plus un coût, car elle devrait être un produit fondamental pour les organisations visant à sécuriser leur environnement SaaS.