Le récent rapport de Spin.ai, Saas application risk report sur les menaces liées à la gestion des données via le Saas montre que les trois-quarts de ce type d’application présentent un risque élevé ou moyen pour les données stockées dans Google Workspace et Microsoft 365. Spin.AI a évalué plus de 300.000 extensions de navigateur et applications OAuth tierces. Pour rappel, le protocole OAuth permet à un utilisateur d'accorder un accès limité à des ressources protégées.
Face à une croissance exponentielle des extensions des navigateurs, l’exploration manuelle est inopérante et les experts font appel à des outils automatisés pour les évaluer.
Le premier constat préoccupant c’est que 35 % des applications disposant d'autorisations Oauth pour Google Workspace ou Microsoft 365, présentent un risque élevé, dont 24 % pour les environnements Microsoft et 35 % pour les environnements Google. Si l'on considère les risques élevés (34,63 %) et moyens (41,11 %), plus de 75 % des applications SaaS représentent des menaces importantes pour les données stockées sur ces plateformes. Trois principaux facteurs de risques expliquent ces résultats. D’une part, les entreprises croulent sous la prolifération des applications à protéger. D’autre part, des logiciels malveillants peuvent se passer pour des applications légitimes. Enfin, la trop grande confiance accordée aux outils de défense tels Windows Defender et autres constitue une menace.
Un fort pourcentage d'applications SaaS ont des privilèges d'accès élevés
L’analyse précise des niveaux d'accès aux données par les applications externalisées telles Google Workspace, montre la nature des risques pour les données. Ainsi, plus de 43 % des utilisateurs peuvent lire, composer, envoyer et supprimer définitivement tous les courriels de l'utilisateur dans Gmail et près de 46 % peuvent voir, modifier, créer et supprimer tous les fichiers Google Drive des utilisateurs.De nombreuses applications étendent les fonctions par défaut de Gmail et de Google Drive et bénéficient de privilèges élevés pour gérer et étendre ces applications très utilisées.
Autre enseignement explicite, environ 56 % des applications à haut risque ont des autorisations étendues et près de 39 % d’entre elles reçoivent des évaluations médiocres de la part des utilisateurs. Les entreprises ont souvent peu de visibilité et de contrôle sur les applications SaaS qui deviennent rapidement des angles morts pour les équipes de cybersécurité.
Les incidents qui ont affecté l’application de gestion des mot de passe Lastpass montrent que les risques affectant les données critiques en Saas sont bien réels. En 2019, une vulnérabilité avait été détectée dans LastPass et en 2022, son code source a été piraté.
Un approche globale de la sécurité des applications Saas est nécessaire
Les règles de prévention peuvent être déclinées en quatre catégories selon Davit Asatryan, Directeur des produits de Spin AI.Le premier conseil est d’inventorier les applications et extensions ayant accès à votre environnement pour les surveiller en temps réel. Cela permet de comprendre les risques opérationnels, de sécurité, de confidentialité et de conformité qu'elles posent.
La deuxième règle est de mener des évaluations continues pour sécuriser les applications SaaS et identifier les risques de sécurité potentiels, en tenant compte des données traitées, stockées ou transmises par l'intermédiaire de l'application.
Un troisième volet consiste à établir et appliquer des politiques de gestion des risques de tiers, en tenant compte de la nature dynamique des applications SaaS, de leur utilisation opérationnelle, en fonction des besoins de l'entreprise.
Enfin, il faut exercer des contrôles automatisés pour autoriser ou bloquer les applications en fonction des politiques de sécurité de l'organisation. Cela, afin de réduire la charge de travail des équipes et de gérer les nombreuses applications SaaS utilisées par les organisations.
