Le SaaS (Software-as-a-Service) est un modèle de prestation de services basé sur le cloud dans lequel les Fournisseurs de Services Cloud (CSP – Cloud Service Providers) hébergent, gèrent et fournissent des applications logicielles à leurs clients, permettant aux utilisateurs d'y accéder via Internet.

 

Le SaaS est devenu de plus en plus répandu ces dernières années grâce à une large gamme de services qui remplacent rapidement les solutions COTS (Commercial Off-The-Shelf) traditionnelles. Le SaaS apporte une valeur ajoutée en offrant des fonctionnalités plus rapides, rentables et plus efficaces, permettant aux consommateurs de se concentrer sur leur cœur de métier plutôt que de s'inquiéter de l'administration de la plateforme et des investissements en infrastructure.


Mais si le SaaS offre de nombreux avantages, son adoption généralisée peut également entraîner des défis de sécurité que de nombreuses organisations ne parviennent pas à relever. En effet, on estime que 96,7 % des organisations ont utilisé au moins une application ayant connu un incident de sécurité au cours de l'année écoulée. De plus, selon le Rapport Annuel sur la Sécurité SaaS 2025, 70 % des entreprises donnent la priorité à la sécurité SaaS en disposant d'équipes dédiées à la sécurisation des applications.


Dans cette optique, examinons certaines des menaces SaaS les plus critiques pour les entreprises.

 

 

1) Les vols de données

Le cloud a redéfini les frontières traditionnelles où les données peuvent transiter. Par le passé, les organisations mettaient en œuvre des mesures de protection des données pour les maintenir dans leurs frontières physiques et logiques. Aujourd'hui, cette approche a fondamentalement changé avec l'avènement des technologies cloud.


Lorsque les données entrent dans le cloud, elles voyagent au-delà du périmètre de l'organisation, et des copies peuvent exister dans différentes régions du monde. Cette situation est encore compliquée avec les solutions SaaS, qui s'appuient souvent sur d'autres fournisseurs PaaS (Platform-as-a-Service) et IaaS (Infrastructure-as-a-Service), ce qui réduit la visibilité sur l'emplacement des données et les contrôles mis en œuvre pour les protéger.


Dans ces conditions, la menace d'un vol de données peut provenir d'un accès non autorisé par un Fournisseur de Services Cloud, qu'il s'agisse du fournisseur SaaS principal ou d'une autre entité de la chaîne d'approvisionnement cloud. Le vol de données peut être intentionnel, par exemple réalisé par un employé malveillant ou un attaquant externe exploitant des vulnérabilités, ou il peut se produire accidentellement en raison d'une erreur humaine.


Les fournisseurs SaaS sont des cibles particulièrement attrayantes pour les attaquants, car ils hébergent les données de multiples organisations. Cela a été particulièrement évident en 2020, lorsque Zoom a été ciblé suite à l'explosion de son utilisation pendant la pandémie de COVID-19. L'attaque a conduit à un vol de données affectant environ 500.000 utilisateurs, exposant les adresses e-mail, les mots de passe et les liens vers les réunions personnelles.


Heureusement, il existe des mesures de sécurité proactives que les entreprises peuvent adopter pour atténuer efficacement cette menace, telles que :

  • La mise en œuvre d'un chiffrement robuste des données.
  • L'application d'un contrôle d'accès strict.
  • La surveillance de l'exposition des données via une solution de Prévention des Pertes de Données (DLP – Data Loss Prevention).

 

 

2) La mutualisation

Les fournisseurs SaaS offrent des services à plusieurs organisations simultanément, en utilisant un modèle d'infrastructure partagée pour héberger les données des clients et gérer les opérations associées. Dans une configuration multi-client, une seule instance logicielle, un composant d'infrastructure (comme une base de données, un middleware...) ou une ressource physique (y compris le CPU – Central Processing Unit – ou la mémoire...) est utilisé par plusieurs clients à la fois.


Bien que cela présente de nombreux avantages pour les fournisseurs et les clients en réduisant les coûts de service, cela introduit également de nouvelles menaces de sécurité car la configuration multi-client peut engendrer une myriade de vulnérabilités que les acteurs malveillants peuvent exploiter.


Dans un environnement multi-client, un acteur malveillant pourrait accéder aux données d'un autre client si des mesures d'isolation appropriées ne sont pas mises en œuvre. De plus, un client peut intentionnellement ou par inadvertance épuiser les ressources partagées (comme le CPU ou la mémoire), affectant la disponibilité du service pour tous les clients.


Il serait irréaliste d'attendre des fournisseurs SaaS qu'ils modifient leur architecture multi-client pour satisfaire les besoins individuels de leurs clients tout en conservant le même modèle de tarification. Il est donc important que les organisations adoptent des pratiques de sécurité robustes pour atténuer les risques dans l'environnement multi-client, telles que :

  • Un chiffrement fort des données, couplé à une gestion indépendante des clés de chiffrement.
  • Des accords contractuels pour garantir que le fournisseur SaaS garantit la disponibilité des ressources partagées.

 

 

3) Problèmes de disponibilité

Bien que les menaces traditionnelles de disponibilité pertinentes pour les environnements sur site s'appliquent toujours dans le cloud, il existe des défis supplémentaires spécifiques au cloud que les organisations doivent prendre en compte et traiter.


Un défi important est le verrouillage du fournisseur (vendor lock-in), où un client devient fortement dépendant d'un fournisseur de services spécifique, rendant difficile la transition vers d'autres plateformes SaaS ou même vers une solution auto-hébergée. Ce problème peut survenir en raison de la nature propriétaire de la solution et peut entraîner une réduction de l'agilité et de la réactivité aux besoins changeants de l'entreprise.


Une autre menace cruciale concerne la portabilité des données, où il devient difficile pour les organisations de déplacer les données entre différents fournisseurs de services. Cela peut être dû à des formats de données variables ou à des restrictions imposées par le fournisseur.


Comme mentionné précédemment, les fournisseurs SaaS s'appuient souvent sur des fournisseurs IaaS ou PaaS, créant une chaîne de dépendances. Si l'un de ces services sous-jacents connaît une défaillance, cela peut entraîner une perturbation de l'ensemble de l'offre SaaS.


Pour faire face à ces menaces de disponibilité, les organisations devraient :

  • Effectuer une due diligence approfondie avant de migrer vers une solution SaaS.
  • S'assurer que les Accords de Niveau de Service (SLA – Service Level Agreements) correspondent à leurs besoins métier.
  • Développer des processus de migration vers une solution différente lorsque les circonstances changent.

 

 

4) Les erreurs de configuration

Les erreurs de configuration peuvent survenir d'un non-respect des bonnes pratiques dans la configuration des ressources, conduisant à des vulnérabilités de sécurité potentielles. Elles peuvent impliquer un contrôle d'accès inadéquat, des permissions excessives, des données non chiffrées ou l'utilisation de protocoles non sécurisés, tous susceptibles d'introduire des risques de sécurité.


L'erreur de configuration est l'une des principales causes d'incidents cyber dans le cloud. Un exemple où cela se produit est le service AWS S3, où les clients oublient parfois de désactiver l'accès public, exposant par inadvertance des données sensibles. Cette erreur de configuration a affecté de nombreuses entreprises et organisations, y compris Verizon, qui a subi un vol de données exposant les informations personnelles de millions de ses clients.


Étant donné la prévalence des menaces de configuration et les risques qu'elles introduisent, il est crucial pour les clients de comprendre leurs rôles dans la sécurisation des environnements cloud. Dans le modèle SaaS, les responsabilités en matière de sécurité sont divisées selon le Modèle de Responsabilité Partagée. Alors que les fournisseurs SaaS sont responsables de la sécurité des applications et de l'infrastructure sous-jacente, les clients sont responsables de la mise en œuvre de configurations sécurisées pour protéger leurs données lors de leur passage par les applications SaaS.

 

 

5) Le Shadow SaaS

Le Shadow SaaS fait référence aux solutions SaaS que les employés adoptent au sein d'une organisation sans la connaissance du département informatique. Motivés par le besoin d'améliorer la productivité ou de répondre à leurs besoins spécifiques, les employés peuvent se tourner vers certaines applications basées sur le cloud.

 

Les solutions courantes dans un environnement Shadow SaaS comprennent Canva, WeTransfer, ChatGPT et Google Forms. Bien que ces solutions puissent s'avérer utiles, elles introduisent des risques potentiels de sécurité et de conformité lorsqu'elles sont utilisées sans la surveillance du département informatique, exposant potentiellement des données sensibles et contournant les protocoles de sécurité établis.

 

Pour faire face aux risques associés au Shadow SaaS, les organisations devraient se concentrer sur :

  • L'établissement et l'application de politiques d’utilisation acceptable.
  • La sensibilisation des employés aux risques que de telles pratiques peuvent poser.
  • Le déploiement d'outils de Prévention des Pertes de Données (DLP) et de Cloud Access Security Broker (CASB) pour aider à surveiller et détecter l'utilisation d'applications non autorisées.

 

 

Solutions pour accroître la cyber-résilience globale

Pour renforcer la cyber-résilience dans un environnement cloud, il existe plusieurs services conçus pour aider les organisations à sécuriser leurs applications et leur infrastructure cloud, à savoir :

  • Services de conseil
    Les experts en cybersécurité d'un fournisseur de services comme Alter Solutions sont en mesure d'évaluer et d'améliorer la posture de sécurité de votre organisation, tant à l'intérieur qu'à l'extérieur du cloud. Suivant une approche basée sur les risques, ils fournissent des conseils éclairés sur les contrôles efficaces à mettre en œuvre, protégeant vos données contre les menaces prévalentes, et s'assurant que vous restez conforme aux obligations réglementaires – un défi particulièrement crucial dans le cloud.

  • Services d'évaluation
    Couvrant un éventail d’activités allant des audits de conformité aux tests d’intrusion techniques, et en passant par les exercices de red teaming, les services d’assessment vous fournissent une vue complète de l'efficacité de vos contrôles de sécurité, tout en délivrant une évaluation indépendante du niveau de sécurité de votre Fournisseur de Services Cloud.

  • Services de détection et de réponse aux incidents
    Ce type de stratégie peut efficacement prévenir ou atténuer les menaces spécifiques au SaaS discutées précédemment. Les services gerés sont spécifiquement conçus pour répondre à ces défis, offrant des capacités de surveillance et de détection 24/7 via un Centre des Opérations de Sécurité (SOC – Security Operations Centre). En exploitant les meilleures et dernières technologies de détection, nous nous assurons que vous gardez une longueur d'avance sur les attaquants ciblant votre environnement cloud. De plus, avec des capacités proactives de détection et de réponse aux menaces, notre équipe de Réponse aux Incidents est prête à vous aider à contenir et atténuer les incidents de sécurité avant qu'ils ne s'aggravent.

 

 

Conclusion

Bien que les solutions SaaS offrent des avantages significatifs aux organisations, elles introduisent également une nouvelle série de défis qui menacent la sécurité de leurs données. Cependant, en comprenant ces menaces et en les abordant à travers une stratégie de sécurité cloud robuste, les organisations peuvent considérablement améliorer leur résilience dans le cloud.
Partager cet article