Les risques liés aux tiers deviennent une préoccupation majeure en matière de sécurité

Les équipes de cybersécurité ont compris depuis longtemps que les applications SaaS (Software-as-a-Service) en particulier et les services informatiques en général représentent une cible de choix compte tenu de la quantité de données agrégées dans un environnement de cloud computing. Une attaque par ransomware contre CDK Global, un fournisseur d'applications professionnelles cloud à près de 15 000 concessionnaires automobiles, en est la preuve. À la suite d'une attaque par ransomware, l'entreprise n'a pas été en mesure de donner accès à la plupart de ses applications, alors qu'elle poursuit ses négociations avec un gang de cybercriminels non identifié.

Ironiquement, cette attaque est survenue environ une semaine après l'expiration d'un délai pour se conformer à la règle de sauvegarde de la Commission fédérale du commerce (FTC), qui impose aux concessionnaires automobiles américains de se conformer aux garanties de sécurité des données modifiées, mises en place par l'agence fédérale pour protéger les informations personnelles des clients.

Les applications SaaS ne sont, bien sûr, qu'un type de service tiers dont les organisations dépendent. La sécurité des services informatiques gérés, en particulier, constitue une préoccupation croissante. Une récente analyse des failles de cybersécurité publiée par SecurityScorecard, un fournisseur de plateformes d'évaluation des risques de cybersécurité, révèle que 29 % impliquaient un type de vecteur d'attaque tiers. Dans l'ensemble, 75 % des violations impliquant un service tiers ont pu être attribuées à un élément de la chaîne d'approvisionnement informatique, indique le rapport.

Heureusement, l'état général de la sécurité des applications SaaS semble s'améliorer. Outre les investissements réalisés par les fournisseurs de ces applications, les organisations qui s'appuient sur ces applications accordent plus d'attention à la meilleure façon de les sécuriser. Une récente enquête menée par la Cloud Security Alliance (CSA) auprès de 478 professionnels de l'informatique et de la sécurité révèle que 57 % des personnes interrogées travaillent pour une organisation dotée d'une équipe de sécurité SaaS comptant au moins deux employés à temps plein. 13 % supplémentaires ont un employé à temps plein.

Commandée par Adaptive Shield, fournisseur d'une plateforme de gestion de la posture de sécurité des applications SaaS, l'enquête révèle également que 39 % des personnes interrogées déclarent que leur organisation a augmenté ses budgets de cybersécurité SaaS par rapport à l'année dernière.

Dans l'ensemble, un quart (25 %) des personnes interrogées ont déclaré que leur organisation avait connu un incident de sécurité SaaS au cours des deux dernières années, contre 53 % l'année dernière. Les incidents de sécurité les plus courants sont les violations de données (52 %) et les fuites de données (50 %), suivis par les accès non autorisés (44 %) et les applications malveillantes (38 %).

70 % des personnes interrogées ont ajouté qu'elles bénéficiaient désormais d'une visibilité modérée à totale sur leurs applications SaaS. Cependant, des défis subsistent : améliorer la visibilité des applications critiques pour l'entreprise (73 %) ; suivre et surveiller les risques de sécurité liés aux applications connectées tierces (65 %) ; localiser et corriger les erreurs de configuration SaaS (65 %) ; garantir la gouvernance et la confidentialité des données (63 %) ; et aligner les paramètres des applications SaaS sur les normes de conformité (61 %), tous considérés comme des problèmes persistants.

Comme le savent bien les professionnels de la cybersécurité, le niveau de risque encouru par une entreprise augmente de façon exponentielle chaque fois qu'un autre service augmente la taille globale de la surface d'attaque à défendre. Bon nombre de ces services ont été ajoutés à l'époque de la pandémie de COVID-19 par des chefs d'entreprise qui ne se souciaient guère de la sécurité des applications ou des services cloud, du moment qu'ils permettaient à leurs équipes de continuer à travailler. Malheureusement, les cybercriminels montrent désormais clairement que lorsqu'il s'agit d'identifier des cibles potentielles, les fournisseurs de ces services figurent en tête de liste.