Traduction depuis : Identifying SaaS App Risks | Suridata Resources
Haviv Ohayon - 20 mars 2023
Identifier les risques des applications SaaS
Les fournisseurs de SaaS ont tendance à ne pas appliquer de paramètres de sécurité forts par défaut. Au contraire, ils laissent les détails à la discrétion du client. Ils le font principalement pour réduire leur responsabilité en matière de sécurité.
Ils souhaitent également rendre leurs services moins complexes et plus faciles à utiliser, mais néanmoins, le résultat est une exposition aux risques de sécurité.
De plus, les administrateurs système peuvent modifier et réduire par inadvertance les paramètres de sécurité existants, créant ainsi une exposition aux risques dans le processus. S'ils ne sont pas traités, des paramètres de sécurité inadéquats peuvent permettre à des attaquants externes, ainsi qu'à des initiés malveillants, d'accéder au SaaS. Cela pourrait entraîner la perte de données et d'autres conséquences négatives, telles que des arrêts du système, des violations de données, des attaques par déni de service, une augmentation des dépenses, etc.
Cet article explore le problème, examine les risques des applications SaaS et propose une approche pour leur atténuation.
Image Credits: Suridata
Un domaine croissant d'exposition aux risques
L'ampleur de l'activité SaaS est l'une des raisons pour lesquelles les risques peuvent être un tel défi avec les applications SaaS. Selon Vendr.com, une organisation moyenne utilise 130 applications SaaS. Chaque application possède des centaines de commandes et de paramètres uniques qui peuvent être ajustés à volonté. Les utilisateurs ont des attentes pour les applications SaaS qui peuvent aller à l'encontre de ce que veulent les équipes de sécurité. Il peut être difficile d'équilibrer la sécurité avec les fonctionnalités, un problème qui peut devenir plus difficile à résoudre lorsque les applications SaaS interagissent les unes avec les autres.
L'impact d'un environnement dynamique
La nature dynamique des applications SaaS est un facteur supplémentaire qui complique leur sécurité. Les applications SaaS restent rarement immobiles. Leurs créateurs les mettent à jour fréquemment, dans certains cas tous les jours. C'est l'un des grands avantages du SaaS. Les utilisateurs n'ont pas à attendre les nouvelles versions. Ils apparaissent automatiquement dans le navigateur, généralement à la suite de pipelines d'intégration continue/livraison continue (CI/CD) qui poussent le nouveau code en production. La difficulté avec ce processus est que le nouveau code affecte souvent les paramètres de sécurité.
Les équipes de sécurité peuvent avoir du mal à suivre le rythme, ce qui conduit à une situation connue sous le nom de « dérive de configuration ». De plus, étant donné que les mises à jour fréquentes des fonctionnalités SaaS entraînent généralement la nécessité de modifier les paramètres de sécurité, les équipes de sécurité peuvent laisser les utilisateurs modifier leurs propres paramètres - en accordant des autorisations excessives aux utilisateurs afin qu'ils puissent effectuer cette tâche. Le problème est que l'équipe de sécurité peut alors ne pas révoquer ces autorisations ultérieurement. Cela crée une exposition au risque.
Une brève note sur la responsabilité partagée de la sécurité SaaS
Les applications fonctionnent sur un modèle de sécurité partagé. Cela signifie que le fournisseur couvre certains domaines de la sécurité, tels que la protection de l'infrastructure physique du fournisseur, des réseaux, de la sécurité des applications et des systèmes d'exploitation des serveurs. Le client est responsable de ses propres contrôles de sécurité des données et d'accès des utilisateurs, ainsi que de nombreux paramètres de sécurité. Ce modèle est logique, car le fournisseur ne peut pas savoir comment attribuer des privilèges d'accès au client, pour ne citer qu'un exemple. Cependant, le modèle partagé peut entraîner une confusion et des omissions dans les pratiques de sécurité de la part du client.
Facteurs de risques courants, mais sérieux pour les applications SaaS
Les applications sont exposées à des risques à travers une variété de facteurs. Certains des plus courants incluent :
Mauvaises configurations -Les applications SaaS offrent aux utilisateurs et aux administrateurs de nombreuses options de configuration, dont certaines peuvent exposer l'utilisateur à des risques. Par exemple, les partages Google Drive sont accessibles à tous par défaut. Cela signifie que des données sensibles pourraient accidentellement être exposées à pratiquement n'importe quel acteur malveillant si cette configuration par défaut n'est pas modifiée.
Contrôles de gestion d'accès déficients -La plupart des applications SaaS autorisent l'accès basé uniquement sur une paire de mots de passe et de noms d'utilisateur. Ce n'est pas sûr, compte tenu de la prévalence des attaques de bourrage d'informations d'identification et des menaces comparables. Une meilleure pratique consiste à implémenter l'authentification multi-facteur (MFA). Des risques peuvent également découler de solutions d'authentification unique (SSO) mal configurées, qui peuvent accidentellement permettre à des utilisateurs non autorisés d'accéder au SaaS une fois qu'ils se sont connectés ailleurs.
Risques de tiers -Certaines applications SaaS peuvent s'intégrer à d'autres applications SaaS tierces, par exemple, en utilisant un plugin pour connecter un SaaS à une application de stockage basée sur SaaS, etc. Ces plugins peuvent créer des risques car on peut leur donner des autorisations d'accès qui ne sont pas alignées sur les politiques de sécurité.
Attention insuffisante aux facteurs de conformité réglementaire -Le client est responsable de nombreux aspects importants de la conformité réglementaire, par exemple, la protection de la confidentialité des données des consommateurs, le respect des lois sur la "souveraineté des données", etc. Si les propriétaires de SaaS n'accordent pas une attention suffisante à la conformité, ils peuvent augmenter les risques de pénalités de conformité et de réparations coûteuses.
Surveillance de la gestion des données — Le fournisseur SaaS n'est pas responsable de la gestion des données. Il appartient au client de définir et d'appliquer les politiques de sécurité des données nécessaires, par exemple, le cryptage, la conservation et le cycle de vie des données et les contrôles de confidentialité. Sans ces politiques, le stockage des données dans une application SaaS crée risque de sécurité des données.
Absence de politiques de mots de passe solides — Des politiques de mot de passe déficientes peuvent entraîner un risque excessif de violation, par exemple, si les utilisateurs peuvent choisir des mots de passe simples et ne sont pas tenus de les changer périodiquement, il devient plus facile pour un acteur malveillant d'accéder au système, surtout si MFA n'est pas utilisé . Il convient de noter que tous les professionnels de la sécurité ne conviennent pas que des mots de passe forts conduisent à une meilleure sécurité. Dans un excellent exemple de conséquences imprévues, l'obligation de conserver des mots de passe forts (c'est-à-dire difficiles à mémoriser) peut amener les utilisateurs à utiliser le même mot de passe pour plusieurs systèmes, ce qui crée une exposition au risque.
Attention insuffisante aux statuts de compte — Lorsque les utilisateurs quittent leur travail ou changent de service où ils n'auront plus besoin d'accéder à une application SaaS, il est essentiel de désactiver leur accès. Cela ne se produit pas toujours, ce qui entraîne un risque d'accès non autorisé. La nature Web du SaaS rend ce risque particulièrement aigu, car un ancien employé peut accéder au SaaS depuis son domicile et accéder à des données auxquelles il n'a pas l'autorisation d'accéder. Ceux-ci sont parfois appelés "comptes zombies". Le partage de comptes est un risque connexe, qui expose l'organisation utilisant l'application SaaS à un risque d'accès non autorisé.
Détecter et atténuer les risques des applications SaaS
Que peut-on faire pour atténuer ces risques liés aux applications SaaS ? La réponse simple est que le client SaaS doit constamment surveiller et corriger les paramètres de sécurité SaaS pour le protéger correctement. Cependant, compte tenu du nombre d'applications SaaS dans une entreprise moyenne, il devient évident que tout processus manuel de surveillance et de correction des paramètres de sécurité sera irréalisable. Il y a tout simplement trop d'applications et trop de variables à suivre, en particulier dans un environnement dynamique. L'exposition au risque non détectée est une quasi-certitude.
L'atténuation des risques liés aux applications SaaS nécessitera des processus automatisés de détection et de correction des risques. Des solutions spécialisées, désormais sur le marché, peuvent analyser en permanence les applications SaaS et signaler les risques de sécurité potentiels. Ils peuvent alors traiter automatiquement les risques causés par des erreurs de configuration, des comptes zombies, etc. Ces outils peuvent être configurés pour se conformer aux politiques de sécurité uniques d'une organisation.
Conclusion
Le risque lié aux applications SaaS est, ou devrait être, un domaine d'intérêt majeur pour les équipes de cybersécurité et leurs partenaires dans les opérations informatiques. Le potentiel de violation de données et de pannes de système se profile si les faiblesses de sécurité du SaaS ne sont pas découvertes et corrigées. Cependant, cela peut être un sujet ardu, étant donné le nombre d'applications en question et la gamme de configurations de sécurité présentes dans chaque application. Des solutions existent cependant. Elles tirent parti de l'automatisation pour surmonter la charge administrative liée à la détection et à l'atténuation des risques liés aux applications SaaS.