• Accueil
  • Solutions
    • SaaS Security Posture Management (SSPM)
    • Collaboration optimisée et sécurisée
    • Prévention des fuites de données sans agent (DLP)
    • Gestion continue des menaces dues aux codes tiers dans vos sites web
    • Protection prédictive (PRE-CRIME)
    • Sensibilisation à la Cybersécurité
    • CTEM - Digital Supply Chain & Attack Surface
    • Cyber Security Ratings
    • Breach & Attack Simulation
    • Multi Factor Autentication & Micro Segmentation
    • EDR (EndPoint Detection & Response)
    • DLP Poste de Travail
    • Gestion des accès privilégiés (PAM)
    • Sécurité de la messagerie
    • Chiffrement des données
    • Optimisation et sécurité du réseau
    • Aide au SOC
  • News
  • Contact
  • Plate-forme
    • Vue Générale
    • Intégrations
  • Cas d'usages
    • Gestion des erreurs de configuration
    • Analyse des intégrations tierces parties
    • Détection et réponse de sécurité SaaS
    • Exposition des données SaaS
  • Ressources
    • Blog
    • Documentations

Traduction depuis : The Top 5 Third-Party Integration Risks | Suridata Resources

Haviv Ohayon - 13 avril 2023

Les 5 principaux risques d'intégration de tiers

Les entreprises adoptent les applications Software-as-a-Service (SaaS) avec un enthousiasme croissant. Le marché des logiciels SaaS a doublé au cours des cinq dernières années, passant de 85 milliards de dollars en 2018 à 171 milliards de dollars en 2022. Quatre-vingt-dix-neuf pour cent des entreprises utilisent au moins une application SaaS, bien que l'entreprise moyenne en utilise 110, en hausse de 38 % par rapport à une moyenne. de 80 applications l'année précédente. Il est facile de comprendre pourquoi le SaaS est si populaire.

Image Credits: Suridata

La technologie libère les clients d'une grande partie du coût total de possession de l'approvisionnement et de la prise en charge des logiciels et de l'infrastructure. Dans le même temps, le SaaS expose également ses clients à de nouveaux types de risques, notamment ceux dus aux intégrations tierces utilisant des plugins SaaS.

Plugins SaaS : ce qu'ils sont et comment ils fonctionnent

Une application SaaS fonctionne généralement via un navigateur Web. Aucun client logiciel n'est requis, et les fonctionnalités de données et d'application se produisent dans le cloud. La plupart des applications SaaS permettent aux fournisseurs tiers de créer des plugins qui fournissent des fonctionnalités supplémentaires au SaaS.

Par exemple, une application SaaS de gestion de la relation client (CRM) peut autoriser les plugins de suites de productivité telles que Microsoft 365 ou Google Workspace. Dans ces intégrations SaaS à SaaS, les données du CRM peuvent être directement transmises à la suite de productivité, par exemple en mettant automatiquement à jour une adresse e-mail dans le CRM à partir des dernières données de la suite de productivité.

Pour que le plugin fonctionne, l'utilisateur SaaS doit accorder des autorisations au plugin tiers. Le plugin agit au nom de l'utilisateur dans l'application SaaS, une capacité rendue possible grâce à l'utilisation de jetons d'authentification.

Cela a des ramifications pour la sécurité. Le plugin tiers, construit par un développeur qui n'a rien à voir avec l'application CRM, peut accéder à ses données et fonctionner au nom de l'utilisateur.

Pourquoi les plugins SaaS peuvent être une source de risque

Les plugins SaaS exposent leurs utilisateurs au cyber-risque. Il y a un certain nombre de raisons à cela, mais le problème fondamental est lié à la façon dont les plugins SaaS agissent au nom de l'utilisateur. L'application SaaS considère le plugin comme l'utilisateur.

Les autorisations et les configurations sont une autre source de problèmes de sécurité avec les plugins SaaS. Un plugin peut obliger l'utilisateur à accepter un large éventail d'autorisations qui ne sont pas vraiment nécessaires pour que le plugin fasse son travail. Cela peut être dû à des raisons allant de la paresse des développeurs à des activités malveillantes.

Par exemple, un représentant du service client peut avoir des privilèges d'accès qui lui permettent de voir les tickets des clients, les transactions financières, les historiques de crédit des clients, etc. Le présentateur peut avoir un plugin SaaS préinstallé, installé par l'administrateur, pour envoyer des notifications par e-mail chaque fois que de nouveaux tickets sont ouverts. Pourtant, le plugin demande un accès aux données beaucoup plus large que le simple statut des tickets. Il ne s'agit presque toujours pas d'un choix délibéré, mais plutôt d'un oubli administratif. Étant donné qu'une organisation moyenne compte 110 applications SaaS en cours d'exécution, il n'est pas difficile de voir comment les administrateurs pourraient commettre ce genre d'erreur.

Pour aller plus loin, si les utilisateurs SaaS sont autorisés à installer eux-mêmes des plugins et/ou à donner accès à n'importe quel plugin de leur choix, ils peuvent installer des plugins malveillants ou légitimes qui n'ont aucun besoin commercial pour l'entreprise. Il s'agit d'un problème de politique de sécurité, mais avec des répercussions potentiellement graves.

Il peut être surprenant pour certains qu'un plugin SaaS puisse être malveillant. Ne sont-ils pas des plugins "officiels" s'ils sont disponibles sur la boutique de l'application SaaS ? On pourrait être surpris des vulnérabilités intégrées dans les plugins qui sont disponibles pour un téléchargement et une installation faciles. En fait, tous les magasins d'applications n'examinent pas correctement les plugins qui leur sont téléchargés. Il peut s'agir d'un simple cas d'abandon. Si le fournisseur du plugin ne prend plus en charge le plugin et le met à jour avec des correctifs de sécurité, le plugin deviendra bientôt une source de risque. Ou, une partie non digne de confiance achète un plugin autrefois légitime et le modifie, peut-être de manière malveillante, et le client final n'a aucune connaissance du changement.‍

Les 5 principaux risques des plugins SaaS

En gardant ces facteurs à l'esprit, considérez les impacts potentiels qu'un plugin malveillant pourrait avoir sur une entreprise. Voici les cinq principaux risques :

1. Usurpation d'identité — Si un attaquant peut convaincre un utilisateur d'installer un plugin malveillant sur son SaaS, il peut alors agir au sein du SaaS en tant qu'utilisateur lui-même. Il ou elle peut se faire passer pour cet utilisateur et interagir avec d'autres employés ou même des clients, tout en se faisant passer pour l'utilisateur. Ils peuvent afficher des données sensibles, en profitant peut-être d'autorisations trop généreuses dans le processus, et manipuler des données, les supprimer ou les voler.

2. Violation de données - Un plugin SaaS peut constituer le chemin d'attaque d'une violation de données. Avec un accès au SaaS via le plugin, l'attaquant qui le contrôle peut exfiltrer des données à travers celui-ci.

3. Perturbation des activités — Si un plug-in SaaS est vulnérable à une prise de contrôle, il peut être réquisitionné par des pirates et transformé en un véhicule permettant d'accéder aux données SaaS. Cela peut être perturbateur pour le client SaaS, pouvant même menacer d'arrêter ses opérations jusqu'à ce que l'attaque puisse être atténuée.

4. Abus de ressources - Les applications SaaS ne sont pas bon marché, de sorte qu'un attaquant peut vouloir profiter d'un accès gratuit et inapproprié pour effectuer des tâches telles que l'analyse de données ou le stockage de fichiers sur le compte du client SaaS.

5. Risque de conformité - Une violation de données peut entraîner des sanctions de conformité si, par exemple, elle entraîne des violations des lois sur la confidentialité. Un audit de conformité qui révèle des contrôles déficients sur l'accès SaaS peuvent également déclencher des problèmes pour les entreprises qui doivent se conformer à des cadres tels que NIST CSF, SOC 2, etc.

Gestion des risques d'intégration de tiers à partir des plugins SaaS

Il est possible de réduire le risque d'intégration de tiers à partir des plugins SaaS. Suridata, par exemple, offre une visibilité approfondie sur les risques des applications SaaS, y compris la surveillance automatisée des autorisations des plug-ins SaaS.
La solution peut identifier les risques d'intégration de tiers et les corriger automatiquement avec des flux de travail qui orchestrent les étapes complexes nécessaires pour sécuriser les plugins SaaS.

Conclusion

Les applications SaaS, qui deviennent de plus en plus populaires en raison de leur économie informatique favorable et de leur capacité à accélérer l'adoption de logiciels utiles, exposent les entreprises et les utilisateurs aux cyber-risques. Les plugins SaaS, en particulier, créent des risques d'intégration de tiers. Les attaquants peuvent exploiter des autorisations excessives et des plugins malveillants ou obsolètes pour usurper l'identité des utilisateurs et perpétrer des violations de données, entre autres impacts négatifs sur la sécurité. Des solutions sont cependant disponibles, qui peuvent analyser automatiquement les plugins SaaS pour détecter les faiblesses de sécurité, puis fournir une correction automatisée.

Réserver une démonstration