Brèches dans le SaaS

Selon le rapport 2025 SaaS Security Threat Report d’Obsidian Security, les violations de SaaS ont augmenté de 300 % au cours de l’année écoulée. Il ne s’agit pas d’une petite augmentation, mais bien d’un bond qui signale un changement majeur dans les cybermenaces. Cette croissance rapide va de pair avec l’augmentation de l’adoption du SaaS (Software as a Service). Alors que les entreprises investissent massivement dans des outils tels que Workday, Google Workspace, ServiceNow et Office 365, le défi de la sécurité s’accroît de manière exponentielle.

Pensez-y : Les entreprises dépensent chaque année environ 8 700 dollars par employé pour ces services. C’est efficace et évolutif, certes. Mais chaque nouveau service constitue un point d’entrée potentiel pour les pirates. Des acteurs majeurs comme Microsoft et AT&T ont déjà été victimes de ces violations. Si cela peut leur arriver, cela peut arriver à n’importe qui.

Il ne s’agit pas seulement de reconnaître le risque, mais d’agir rapidement et de garder une longueur d’avance. Plus vous vous orientez vers la transformation numérique, plus vous devez donner la priorité à la sécurité dans le cadre de la même stratégie, et non pas après coup.

Fournisseurs d’identité

Le fait est que 99 % de ces violations de SaaS ne commencent pas par un piratage de vos systèmes centraux. Elles commencent au niveau du fournisseur d’identité (IdP). Pour ceux qui ne le savent pas, un IdP est en quelque sorte le gardien de votre identité numérique, qui gère les informations d’identification des utilisateurs et contrôle qui a accès à quoi. Si l’IdP est compromis, les attaquants peuvent essentiellement passer par tous les systèmes connectés sans déclencher d’alarme.

Une fois à l’intérieur, ils peuvent se déplacer latéralement dans les systèmes, se propager de l’un à l’autre, voler des données, prendre le contrôle et créer le chaos. Il ne s’agit pas d’un scénario théorique, mais d’une réalité en temps réel. Il est désormais essentiel de sécuriser vos IdP et de s’assurer qu’ils sont protégés par plus que des défenses de base. Oubliez les murs et les clôtures traditionnels, concentrez-vous d’abord sur l’identité.

Glenn Chisholm, chef de produit chez Obsidian Security, le dit simplement : « La sécurisation de l’identité et de sa relation dynamique avec les services et les applications devrait être la première tâche de toute équipe de sécurité ». Il a raison. Si vous ne le faites pas, le reste n’aura pas d’importance.

Le MFA, c’est bien, mais ce n’est pas suffisant

L’authentification multifactorielle (MFA) est l’un des outils de sécurité les plus populaires. Il a été vendu comme un outil indispensable pour assurer la sécurité des systèmes, et ce pour de bonnes raisons. L’AMF exige des utilisateurs qu’ils vérifient leur identité de plusieurs façons : un mot de passe, un code de message texte, un balayage biométrique. Il s’agit d’une protection puissante contre les attaques de base, mais la réalité est là : Elle n’est pas infaillible.

Le rapport d’Obsidian montre que plus de 84 % des violations de SaaS concernent des cas où le MFA a échoué. Les attaquants sont de plus en plus intelligents et utilisent le phishing, l’ingénierie sociale et même des failles techniques pour contourner ces défenses.

La solution ? Pensez au-delà des défenses à une seule couche. Vous avez besoin d’une stratégie multicouche qui associe l’AMF à la surveillance en temps réel, à l’analyse comportementale et à la sécurité avancée pilotée par l’IA. C’est ainsi que vous devancez les attaquants, que vous ne vous contentez pas de défendre, mais que vous prévoyez et prévenez.

La vitesse, c’est tout

Le temps est votre bien le plus précieux, en particulier dans le domaine de la cybersécurité. L’une des statistiques les plus révélatrices du rapport d’Obsidian est que le temps le plus court enregistré entre l’ouverture d’une brèche et l’exfiltration de données n’a été que de neuf minutes. Neuf minutes. C’est le temps qu’il faut à la plupart des gens pour répondre à un message Slack. Le temps que vous remarquiez que quelque chose ne va pas, les données peuvent déjà avoir disparu.

Cette rapidité change tout. Les approches traditionnelles de la sécurité, comme les contrôles périodiques et les examens manuels, ne suffisent plus. La surveillance en temps réel et les systèmes de réponse automatisés sont essentiels. Vous avez besoin d’une technologie capable de détecter les activités inhabituelles dès qu’elles se produisent et de les arrêter avant qu’elles ne causent des dommages.

Dans ce jeu, les secondes comptent. Si vous n’êtes pas prêt à agir en temps réel, vous laissez la porte grande ouverte aux attaquants.

Détection des menaces par l’IA

En matière de cybersécurité, l’intelligence artificielle (IA) est un enjeu majeur. Obsidian Security utilise l’IA et grands modèles de langage (LLM) pour s’attaquer aux failles SaaS avant qu’elles ne se produisent. Les systèmes de sécurité traditionnels sont réactifs, ils réagissent lorsque quelque chose ne va pas. L’IA renverse ce scénario. Elle est prédictive, apprend et s’adapte en permanence pour détecter les menaces en temps réel.

Ces modèles d’IA ne se contentent pas de surveiller votre réseau ; ils permettent de comprendre en profondeur le comportement des utilisateurs dans des centaines de grandes entreprises. Ils détectent des schémas subtils et des anomalies qui pourraient échapper à l’œil humain. En fait, ils pensent comme les attaquants et les prennent sur le fait, avant même que la brèche ne se produise.

Intégrations SaaS et SaaS fantôme

Si votre entreprise s’appuie sur le SaaS, et soyons honnêtes, c’est le cas de la plupart d’entre elles, vous utilisez probablement plus d’un service. Ces outils sont souvent intégrés pour faciliter les flux de travail, mais chaque intégration crée de nouvelles opportunités pour les attaquants. Les abus des intégrations Microsoft, en particulier, sont devenus plus courants. Lorsqu’un pirate accède à un point faible, il peut exploiter l’ensemble de l’écosystème connecté.

Vient ensuite la question du « Shadow SaaS ». Il s’agit d’applications non autorisées que les employés utilisent sans l’accord du service informatique. Pensez-y : Quelqu’un installe un outil utile pour accélérer son flux de travail, sans se rendre compte qu’il ouvre un énorme risque de sécurité. Ces applications contournent les protocoles de sécurité officiels et offrent aux pirates une porte dérobée facile d’accès à vos systèmes.

La gestion de ces risques exige de la visibilité. Vous avez besoin d’un cadre de gouvernance qui couvre non seulement les outils que vous connaissez, mais aussi ceux qui opèrent sous le radar. Il ne s’agit pas d’arrêter l’innovation, mais de rester conscient et proactif.

Le coût financier des violations de SaaS

Voici un chiffre qui devrait attirer votre attention : 4,88 millions de dollars. C’est la perte financière moyenne résultant d’une seule violation de SaaS. Cela comprend tout, la récupération des données, les frais juridiques, les amendes réglementaires, la perte d’activité et l’atteinte à la réputation. Mais le plus inquiétant, c’est que de nombreuses entreprises n’ont pas adapté leurs investissements en matière de sécurité au rythme de l’adoption du SaaS.

Le problème n’est pas seulement que ces violations coûtent cher, mais aussi qu’elles se produisent plus rapidement que les entreprises ne peuvent réagir. Avec la montée en flèche des dépenses en matière de SaaS et le retard des budgets de sécurité, les attaquants trouvent un terrain fertile. L’impact financier peut aller bien au-delà des pertes immédiates et affecter la confiance des clients et la croissance à long terme.

Principaux enseignements pour les dirigeants

  • Augmentation rapide du nombre de failles dans le secteur des logiciels libres : L’augmentation de 300 % du nombre de violations au cours de l’année écoulée indique une escalade spectaculaire des cyberrisques. Les décideurs devraient réévaluer d’urgence leurs stratégies de sécurité SaaS pour faire face à cette menace exponentielle.

  • L’accent est mis sur les fournisseurs d’identité : 99 % des violations ayant leur origine au niveau du fournisseur d’identité, il est essentiel de renforcer la gestion des accès et la sécurité des informations d’identification des utilisateurs. Les dirigeants doivent donner la priorité à des mesures robustes de sécurité de l’identité afin de prévenir les attaques latérales.

  • Les limites de l’authentification multifactorielle exigent une approche à plusieurs niveaux : Plus de 84 % des violations se sont produites malgré l’utilisation de l’authentification multifactorielle, ce qui met en évidence son insuffisance. Les dirigeants devraient investir dans des systèmes complets de surveillance en temps réel et de détection avancée des menaces.

  • Une réponse rapide et des investissements accrus sont essentiels : Les brèches peuvent conduire à l’exfiltration de données en seulement neuf minutes, avec un impact financier moyen de 4,88 millions de dollars par incident. Les dirigeants doivent améliorer les capacités de détection rapide et allouer des ressources suffisantes pour atténuer les pertes potentielles.

Alexander Procter

février 14, 2025

8 Min