Les environnements SaaS apparaissent comme un « angle mort non résolu » en matière de cybersécurité d'entreprise pour les organisations australiennes et APAC, selon la société de gestion de la sécurité SaaS Obsidian Security. Ce problème est en partie attribué à la confusion autour du modèle de responsabilité partagée dans les contrats SaaS.
En septembre, Obsidian Security, qui a annoncé l'expansion de ses opérations en Australie et dans la région APAC, a déclaré qu'elle s'attend à une augmentation du nombre d'organisations locales réévaluant leurs stratégies de sécurité SaaS une fois qu'elles auront terminé les examens en cours de sécurité du cloud.
Andrew Latham, qui a rejoint Obsidian après Crowdstrike en tant qu'ingénieur commercial principal pour l'Asie-Pacifique et le Japon, a déclaré à Testeur Joe que les organisations locales devraient aller au-delà des listes de contrôle papier lors de l'évaluation de la sécurité des fournisseurs SaaS. Il a également noté que de nombreux clients comprennent encore mal le modèle de responsabilité partagée SaaS.
Les parcs de logiciels SaaS deviennent « en première ligne contre les cybermenaces »
Les attaques SaaS sont de plus en plus fréquentes, a noté Obsidian, et les conséquences sont de plus en plus graves. La violation de cette année chez Ticketek, une société australienne de billetterie événementielle, a vu les données de 17 millions de personnes exposées après qu'un acteur malveillant ait eu accès à un fournisseur tiers.
« La confiance implicite que de nombreuses organisations accordent aux fournisseurs SaaS pour configurer des applications à leur intention laisse souvent des données sensibles exposées sans le savoir », a déclaré Chisholm. « La méconnaissance du modèle de responsabilité partagée peut laisser les applications SaaS non sécurisées, posant ainsi un risque énorme pour les données des entreprises et des particuliers. »
VOIR : Plus de 3 responsables technologiques sur 4 s'inquiètent des menaces de sécurité SaaS
Latham a déclaré que le risque lié aux fournisseurs SaaS en Australie et dans la région APAC est comparable à celui d'autres marchés mondiaux.
« Les plateformes SaaS sont omniprésentes, avec un accès facile depuis n'importe qui ou n'importe quoi connecté à Internet », a-t-il expliqué. « Ce que nous constatons à l'échelle mondiale, c'est un abandon des attaques complexes où les points finaux sont ciblés pour accéder et exfiltrer des données, vers des attaques plus simples visant le piratage de comptes et les données stockées dans des systèmes SaaS. »
Obsidian a constaté que davantage d'informations critiques pour l'entreprise migrent vers le SaaS. Bien que le nombre d'applications SaaS utilisées varie considérablement, l'étude Productiv estime que les entreprises de moins de 500 employés utilisent en moyenne 253 applications, contre 473 applications pour les entreprises de plus de 10 000 employés.
Le modèle de responsabilité partagée SaaS n’est pas évalué en profondeur
Les organisations comprennent souvent mal leur rôle dans le modèle de responsabilité partagée des fournisseurs SaaS en matière de sécurité.
En règle générale, les fournisseurs SaaS et les clients collaborent pour garantir une sécurité robuste des données. Par exemple, les fournisseurs peuvent être responsables de la sécurité des infrastructures sous-jacentes, telles que les centres de données, tandis que les clients peuvent principalement gérer des aspects tels que la gestion des accès des utilisateurs ou la configuration des applications.
« La plupart des organisations sont en train de sécuriser leur infrastructure en tant que service à mesure qu'elles déplacent davantage de charges de travail vers le cloud », a déclaré Latham. “Ce que la plupart ne réalisent pas, c'est qu'il existe un modèle de sécurité partagé que tous les fournisseurs de cloud, y compris SaaS, mettent en œuvre.”
Il a ajouté : « Avec IaaS, vous pouvez mettre en œuvre vos propres contrôles. Cependant, avec le SaaS, ce n’est pas possible. On suppose généralement que le fournisseur SaaS veille à la sécurité des données des clients, mais ce n'est souvent pas le cas.
Les questionnaires papier ne suffisent pas pour évaluer le risque lié aux fournisseurs SaaS
Des questionnaires papier sont souvent utilisés lors des achats pour vérifier que les fournisseurs SaaS répondent aux exigences de sécurité. Latham a déclaré que ces questionnaires pourraient ne pas fournir un aperçu suffisamment approfondi de la manière dont un fournisseur SaaS gère la sécurité et se protège contre les risques liés aux données, tels que les piratages de comptes.
VOIR : Près d’un tiers des entreprises ont subi une faille de sécurité SaaS l’année dernière
“Le plus gros problème serait de comprendre qu'un questionnaire papier ne suffit pas pour évaluer un nouveau fournisseur SaaS”, a déclaré Latham. « De nombreuses violations récentes très médiatisées ont été des piratages de comptes. Ces types d’attaques, par rapport à la matrice de responsabilité partagée, dépassent la limite où le fournisseur SaaS assume la responsabilité.
Le risque de la chaîne d'approvisionnement SaaS ressemble à la « face cachée de la lune »
Le risque étendu de la chaîne d’approvisionnement en logiciels tiers et quatrième partie est courant sur le marché SaaS.
Bien que les organisations évaluent les principaux fournisseurs SaaS, ces fournisseurs s'intègrent souvent eux-mêmes à plusieurs fournisseurs SaaS dans un maillage SaaS complexe, ce qui rend difficile l'évaluation des risques réels pour les données.
“C'est analogue à la face cachée de la lune”, a déclaré Latham. « Il y a jusqu'à 10 fois plus de transferts de données entre des systèmes SaaS tiers et quatrièmes que ce qui est visible à la « porte d'entrée ».
« Même si la chaîne d'approvisionnement peut suggérer qu'un fournisseur SaaS est un fournisseur connu de services nécessaires au support de l'entreprise, ce sont toutes les intégrations non autorisées qui posent problème », a-t-il ajouté.
Ces intégrations peuvent paraître « innocentes en apparence », mais lorsqu'elles sont exploitées, elles peuvent permettre à des adversaires d'exfiltrer des données SaaS à l'insu du locataire SaaS.
« Il existe de nombreux exemples d'intégrations fiables avec des fournisseurs SaaS tiers et quatrièmes, exposant les données à des utilisateurs non autorisés », a expliqué Latham.
Obsidian Security prévoit de se concentrer sur le SaaS après le cloud
Les entreprises australiennes peuvent être reconnaissantes que, contrairement à d’autres régions du monde, le marché ait été largement exempt d’attaques SIM Swap. Ces attaques se produisent lorsque des cybercriminels incitent les entreprises de télécommunications à remplacer le service mobile d'une victime par une carte SIM qu'ils contrôlent.
« L'ACMA [The Australian Communications and Media Authority] Les exigences en matière de contrôle d'identité pour les fournisseurs de télécommunications ont pratiquement éradiqué les attaques par échange de carte SIM, qui sont encore répandues dans d'autres régions », a déclaré Latham.
Cependant, le problème de la sécurité du SaaS demeure, même si Obsidian pense qu'il deviendra bientôt une priorité.
« En général, nous constatons que de nombreuses organisations australiennes ont des projets en cours pour les charges de travail IaaS. Une fois terminé, ils se tourneront ensuite vers le SaaS. D'autres marchés, comme les États-Unis, ont probablement 18 mois d'avance, après avoir terminé leurs premiers projets de sécurité IaaS et lancé des projets de sécurité SaaS », a déclaré Latham.
rewrite this content and keep HTML tags
Les environnements SaaS apparaissent comme un « angle mort non résolu » en matière de cybersécurité d'entreprise pour les organisations australiennes et APAC, selon la société de gestion de la sécurité SaaS Obsidian Security. Ce problème est en partie attribué à la confusion autour du modèle de responsabilité partagée dans les contrats SaaS.
En septembre, Obsidian Security, qui a annoncé l'expansion de ses opérations en Australie et dans la région APAC, a déclaré qu'elle s'attend à une augmentation du nombre d'organisations locales réévaluant leurs stratégies de sécurité SaaS une fois qu'elles auront terminé les examens en cours de sécurité du cloud.
Andrew Latham, qui a rejoint Obsidian après Crowdstrike en tant qu'ingénieur commercial principal pour l'Asie-Pacifique et le Japon, a déclaré à Testeur Joe que les organisations locales devraient aller au-delà des listes de contrôle papier lors de l'évaluation de la sécurité des fournisseurs SaaS. Il a également noté que de nombreux clients comprennent encore mal le modèle de responsabilité partagée SaaS.
Les parcs de logiciels SaaS deviennent « en première ligne contre les cybermenaces »
Les attaques SaaS sont de plus en plus fréquentes, a noté Obsidian, et les conséquences sont de plus en plus graves. La violation de cette année chez Ticketek, une société australienne de billetterie événementielle, a vu les données de 17 millions de personnes exposées après qu'un acteur malveillant ait eu accès à un fournisseur tiers.
« La confiance implicite que de nombreuses organisations accordent aux fournisseurs SaaS pour configurer des applications à leur intention laisse souvent des données sensibles exposées sans le savoir », a déclaré Chisholm. « La méconnaissance du modèle de responsabilité partagée peut laisser les applications SaaS non sécurisées, posant ainsi un risque énorme pour les données des entreprises et des particuliers. »
VOIR : Plus de 3 responsables technologiques sur 4 s'inquiètent des menaces de sécurité SaaS
Latham a déclaré que le risque lié aux fournisseurs SaaS en Australie et dans la région APAC est comparable à celui d'autres marchés mondiaux.
« Les plateformes SaaS sont omniprésentes, avec un accès facile depuis n'importe qui ou n'importe quoi connecté à Internet », a-t-il expliqué. « Ce que nous constatons à l'échelle mondiale, c'est un abandon des attaques complexes où les points finaux sont ciblés pour accéder et exfiltrer des données, vers des attaques plus simples visant le piratage de comptes et les données stockées dans des systèmes SaaS. »
Obsidian a constaté que davantage d'informations critiques pour l'entreprise migrent vers le SaaS. Bien que le nombre d'applications SaaS utilisées varie considérablement, l'étude Productiv estime que les entreprises de moins de 500 employés utilisent en moyenne 253 applications, contre 473 applications pour les entreprises de plus de 10 000 employés.
Le modèle de responsabilité partagée SaaS n’est pas évalué en profondeur
Les organisations comprennent souvent mal leur rôle dans le modèle de responsabilité partagée des fournisseurs SaaS en matière de sécurité.
En règle générale, les fournisseurs SaaS et les clients collaborent pour garantir une sécurité robuste des données. Par exemple, les fournisseurs peuvent être responsables de la sécurité des infrastructures sous-jacentes, telles que les centres de données, tandis que les clients peuvent principalement gérer des aspects tels que la gestion des accès des utilisateurs ou la configuration des applications.
« La plupart des organisations sont en train de sécuriser leur infrastructure en tant que service à mesure qu'elles déplacent davantage de charges de travail vers le cloud », a déclaré Latham. “Ce que la plupart ne réalisent pas, c'est qu'il existe un modèle de sécurité partagé que tous les fournisseurs de cloud, y compris SaaS, mettent en œuvre.”
Il a ajouté : « Avec IaaS, vous pouvez mettre en œuvre vos propres contrôles. Cependant, avec le SaaS, ce n’est pas possible. On suppose généralement que le fournisseur SaaS veille à la sécurité des données des clients, mais ce n'est souvent pas le cas.
Les questionnaires papier ne suffisent pas pour évaluer le risque lié aux fournisseurs SaaS
Des questionnaires papier sont souvent utilisés lors des achats pour vérifier que les fournisseurs SaaS répondent aux exigences de sécurité. Latham a déclaré que ces questionnaires pourraient ne pas fournir un aperçu suffisamment approfondi de la manière dont un fournisseur SaaS gère la sécurité et se protège contre les risques liés aux données, tels que les piratages de comptes.
VOIR : Près d’un tiers des entreprises ont subi une faille de sécurité SaaS l’année dernière
“Le plus gros problème serait de comprendre qu'un questionnaire papier ne suffit pas pour évaluer un nouveau fournisseur SaaS”, a déclaré Latham. « De nombreuses violations récentes très médiatisées ont été des piratages de comptes. Ces types d’attaques, par rapport à la matrice de responsabilité partagée, dépassent la limite où le fournisseur SaaS assume la responsabilité.
Le risque de la chaîne d'approvisionnement SaaS ressemble à la « face cachée de la lune »
Le risque étendu de la chaîne d’approvisionnement en logiciels tiers et quatrième partie est courant sur le marché SaaS.
Bien que les organisations évaluent les principaux fournisseurs SaaS, ces fournisseurs s'intègrent souvent eux-mêmes à plusieurs fournisseurs SaaS dans un maillage SaaS complexe, ce qui rend difficile l'évaluation des risques réels pour les données.
“C'est analogue à la face cachée de la lune”, a déclaré Latham. « Il y a jusqu'à 10 fois plus de transferts de données entre des systèmes SaaS tiers et quatrièmes que ce qui est visible à la « porte d'entrée ».
« Même si la chaîne d'approvisionnement peut suggérer qu'un fournisseur SaaS est un fournisseur connu de services nécessaires au support de l'entreprise, ce sont toutes les intégrations non autorisées qui posent problème », a-t-il ajouté.
Ces intégrations peuvent paraître « innocentes en apparence », mais lorsqu'elles sont exploitées, elles peuvent permettre à des adversaires d'exfiltrer des données SaaS à l'insu du locataire SaaS.
« Il existe de nombreux exemples d'intégrations fiables avec des fournisseurs SaaS tiers et quatrièmes, exposant les données à des utilisateurs non autorisés », a expliqué Latham.
Obsidian Security prévoit de se concentrer sur le SaaS après le cloud
Les entreprises australiennes peuvent être reconnaissantes que, contrairement à d’autres régions du monde, le marché ait été largement exempt d’attaques SIM Swap. Ces attaques se produisent lorsque des cybercriminels incitent les entreprises de télécommunications à remplacer le service mobile d'une victime par une carte SIM qu'ils contrôlent.
« L'ACMA [The Australian Communications and Media Authority] Les exigences en matière de contrôle d'identité pour les fournisseurs de télécommunications ont pratiquement éradiqué les attaques par échange de carte SIM, qui sont encore répandues dans d'autres régions », a déclaré Latham.
Cependant, le problème de la sécurité du SaaS demeure, même si Obsidian pense qu'il deviendra bientôt une priorité.
« En général, nous constatons que de nombreuses organisations australiennes ont des projets en cours pour les charges de travail IaaS. Une fois terminé, ils se tourneront ensuite vers le SaaS. D'autres marchés, comme les États-Unis, ont probablement 18 mois d'avance, après avoir terminé leurs premiers projets de sécurité IaaS et lancé des projets de sécurité SaaS », a déclaré Latham.