Les opérations critiques des PME et des entreprises reposent de plus en plus sur le cloud et des solutions en mode SaaS. Selon Gartner, les dépenses des entreprises en matière de SaaS ont dépassé les prévisions du secteur ces dernières années.
Les entreprises investissent en moyenne 50 % de plus dans les services SaaS que dans les services d'infrastructure en tant que service (IaaS). Entre 2017 et 2022, les services liés au SaaS ont connu un taux de croissance annuel composé (TCAC) de 29 %.
De quoi augmenter la surface d’attaque… Mais selon un rapport sur l'état de la sécurité des SaaS (« SaaS Security Posture Management Report) » réalisé par AppOmni, fournisseur de cybersécurité pour les SaaS, les professionnels interrogés semblent généralement optimistes quant au niveau de protection de leurs solutions SaaS.
Une confiance dans la protection des données
Plus de 600 responsables de l'informatique ou de la cybersécurité dans des entreprises de plus de 500 à 2 500 employés ont été interrogés. Lorsqu'on leur a demandé d'évaluer le niveau de maturité de leur entreprise en matière de cybersécurité SaaS, 71 % d'entre eux ont indiqué qu’elle avait atteint soit un niveau moyen (43 %), soit un niveau élevé (28 %).En ce qui concerne les niveaux de sécurité des applications SaaS dont l'utilisation est autorisée dans leur entreprise, le sentiment est tout aussi élevé. 73 % estiment que la sécurité des applications SaaS a atteint un niveau de maturité moyen (41 %)
ou élevé (32 %).
Autre constat important, 85 % ont répondu qu'ils étaient confiants ou très confiants dans la sécurité des données de leur entreprise ou de leurs clients dans les applications SaaS autorisées.
Bien qu'elles affirment être résilientes en matière de cybersécurité SaaS, 79 % des personnes interrogées ont confirmé que leur organisation avait identifié des incidents de cybersécurité SaaS au cours des 12 derniers mois.
Et nombre de ces incidents se sont produits dans des environnements où des politiques de cybersécurité étaient en place et appliquées, comme l'ont affirmé 66 % des personnes interrogées dans leurs réponses.
Des autorisations excessives
Or, les violations de données SaaS peuvent avoir des effets négatifs en termes de perturbations opérationnelles, d'atteinte à la réputation et de résultats financiers. Un récent rapport d'IBM a montré que le coût d'une violation de données s'élève désormais en moyenne à 4,45 millions de dollars en 2023.Or, les équipes SecOps peuvent rapidement être dépassées par le défi que représente la surveillance et la sécurisation d'un environnement SaaS diversifié qui nécessite une réelle expertise dans chaque application.
Les réponses confirment cette réalité, car la majorité des incidents relèvent de catégories évitables telles que les utilisateurs ayant des autorisations excessives, les mauvaises configurations d'applications, les expositions de données liées à l'homme et à l'erreur.
Or, les évaluations propriétaires d'AppOmni ont identifié plus de 300 millions d'enregistrements de données SaaS exposées, dont une partie significative comprend des PII (informations personnelles identifiables) et d'autres formes de données clients.