Ne laissez pas les données de votre application cloud vulnérables

Lorsque le cloud computing a été introduit pour la première fois, la plupart des entreprises étaient réticentes à essayer les applications proposées par les fournisseurs de services de cloud public. Les entreprises étaient principalement préoccupées par la sécurité de leurs données et autres actifs informatiques. 

De nos jours, ce n’est plus le cas. Les applications proposées par les fournisseurs de services de cloud public – collectivement appelées applications Software as a Service (SaaS) – sont populaires parmi les entreprises. Les entreprises utilisent en moyenne 110 applications SaaS, selon une étude. Cependant, plus de la moitié d’entre elles admettent ne pas investir suffisamment de ressources pour protéger les données dans les applications. Ceci est problématique car les applications SaaS sont également populaires chez les cybercriminels.  

Par exemple, les cybercriminels ont ciblé les entreprises utilisant Microsoft 365 en janvier 2022. Les attaquants voulaient accéder aux applications Outlook des employés afin qu’ils puissent lire et envoyer des e-mails, modifier les règles de la boîte de réception, afficher les contacts des employés, examiner les calendriers, etc., selon Microsoft. Les cybercriminels n’ont pas accédé à Outlook en volant, en devinant ou en incitant les employés à révéler leurs mots de passe. Au lieu de cela, ils ont utilisé une campagne de phishing par consentement. 

Dans les attaques d’hameçonnage par consentement, les cybercriminels tentent de duper les utilisateurs SaaS pour qu’ils donnent à une application malveillante les autorisations dont elle a besoin pour accéder aux données ou à d’autres ressources. Lors de l’attaque de janvier 2022, les cybercriminels ont amené les utilisateurs d’Outlook à accorder des autorisations à une application malveillante nommée Upgrade. 

Les applications malveillantes utilisées dans les campagnes d’hameçonnage par consentement abusent des liens de demande OAuth. Ces liens permettent aux utilisateurs de partager des informations sur leurs comptes avec une application ou un site Web tiers, sans avoir à donner leurs mots de passe à l’application ou au site. 

Les attaques de phishing par consentement ne se limitent pas aux applications cloud de Microsoft. Toute application SaaS qui utilise l’autorisation OAuth 2.0 est vulnérable. Par exemple, les cybercriminels ont utilisé ce type d’attaque pour accéder aux données des utilisateurs dans Google Gmail. 

Les campagnes de phishing par consentement sont en augmentation, selon Microsoft, Proofpoint et d’autres analystes des menaces. Il en va de même pour d’autres types de cyberattaques qui ciblent les applications SaaS. La défense contre ces attaques nécessite une action de la part des fournisseurs SaaS et des entreprises utilisant leurs applications. 

Responsabilités des entreprises en matière de sécurité 

L’un des principaux avantages de l’utilisation des applications SaaS est que les entreprises n’ont pas besoin de maintenir ou de sécuriser les applications ou l’infrastructure sur lesquelles elles s’exécutent. Les fournisseurs SaaS sont responsables de ces tâches. Cependant, les entreprises ont quelques responsabilités. 

Pour commencer, les entreprises sont responsables du contrôle et de la sécurisation de l’accès des employés aux applications SaaS. À défaut de contrôler et de protéger les identifiants de compte que les employés et les groupes utilisent pour accéder aux applications SaaS, les cybercriminels peuvent compromettre ces identifiants et les utiliser pour accéder aux données des applications. 

Les entreprises sont également responsables de la bonne configuration de certains paramètres de l’application SaaS. Les fournisseurs SaaS permettent aux entreprises de configurer certains paramètres d’application (par exemple, les options de partage de fichiers) afin que les applications soient personnalisées pour leur environnement. Cependant, des erreurs de configuration peuvent ouvrir la porte à des cyberattaques. 

Enfin, les entreprises sont responsables de la sauvegarde des données de leurs applications pour se protéger contre la perte de données. Bien que les fournisseurs SaaS assument la responsabilité et prennent des mesures pour se protéger contre la perte de données due à des défaillances opérationnelles (par exemple, pannes d’infrastructure, catastrophes naturelles), la grande majorité d’entre eux indiquent explicitement dans leurs conditions générales qu’il est de la responsabilité de l’entreprise de se protéger contre la perte de données. en raison de suppressions accidentelles et d’attaques de sécurité, selon un rapport Forrester. 

Mesures de sécurité que les entreprises peuvent prendre 

Pour sécuriser l’accès des employés aux applications SaaS, éviter les erreurs de configuration et se protéger contre la perte de données, les entreprises peuvent envisager de prendre les mesures de sécurité suivantes : 

• Appliquez le principe du moindre privilège. Les entreprises doivent limiter l’accès (et les autorisations) des employés aux applications SaaS au niveau minimal qui leur permettra d’accomplir leurs tâches professionnelles. De plus, l’accès devrait être en vigueur pour la durée la plus courte nécessaire. 
• Utilisez l’authentification multifacteur. De nombreuses applications SaaS offrent une authentification multifacteur (c’est-à-dire une vérification en deux étapes). Lorsque l’authentification multifacteur est activée, les utilisateurs de l’application doivent fournir deux informations d’identification lors de la connexion, telles qu’un mot de passe et un code de sécurité à usage unique. Cette couche de sécurité supplémentaire permet d’empêcher tout accès non autorisé à l’application et à ses données. 
• Empêchez les e-mails malveillants d’atteindre les employés. Étant donné que les attaques de phishing par consentement sont menées par e-mail, les entreprises doivent essayer d’empêcher autant d’e-mails malveillants que possible d’atteindre les boîtes de réception des employés. Pour ce faire, vous pouvez notamment tirer parti des fonctionnalités de sécurité des serveurs de messagerie (par exemple, les bloqueurs de phishing et de spam), désactiver le transfert automatique vers des comptes de messagerie externes et créer des règles de flux de messagerie pour bloquer les pièces jointes à risque. Les entreprises peuvent également envisager d’utiliser une solution de sécurité de messagerie avancée, telle qu’une passerelle de messagerie sécurisée. 
• Vérifiez les paramètres de l’application SaaS. Bien qu’il faille du temps pour revérifier les paramètres de l’application, c’est du temps bien dépensé. Des paramètres mal configurés peuvent donner aux cybercriminels ce dont ils ont besoin pour attaquer une entreprise. 
• Éduquez les employés. Il est important d’éduquer les employés sur la cybersécurité en général ainsi que sur les cybermenaces spécifiques associées aux applications SaaS qu’ils utilisent. Par exemple, les employés doivent en savoir plus sur les e-mails d’hameçonnage de consentement et sur la manière de les repérer. 
• Sauvegardez les données de l’application SaaS. Étant donné que la plupart des fournisseurs SaaS indiquent explicitement dans leurs conditions générales qu’il incombe au client de se protéger contre la perte de données due aux cyberattaques et aux suppressions accidentelles, il est important de sauvegarder régulièrement les données des applications SaaS. Cela peut être accompli de plusieurs manières, notamment en utilisant un service de sauvegarde de cloud à cloud ou une solution de sauvegarde sur site. 

Ces mesures de sécurité constituent un bon point de départ pour protéger les données des applications SaaS de votre entreprise. MicroAge peut vous aider à déterminer les mesures supplémentaires que votre entreprise peut prendre en fonction des applications SaaS utilisées et de votre environnement informatique. Contactez-nous dès aujourd’hui.