● Journal du Net 📅 26/03/2026 à 09:52

Cybersécurité 👤 Adrien Merveille

🏷️ Tags : edr réseau rte stoc surveillance

Les entreprises utilisent un mélange croissant d'applications SaaS autorisées et non autorisées, créant une nouvelle forme de Shadow IT difficile à contrôler et sécuriser. Les entreprises s'attendaient à ce que le SaaS simplifie leur infrastructure informatique. À bien des égards, ce fut le cas, mais cela a également créé une toute nouvelle surface d'attaque. La plupart des services s'appuient désormais sur un mélange d'applications SaaS autorisées et non autorisées, et même les applications autorisées sont souvent laissées sans surveillance en matière de risques. Cette croissance incontrôlée a donné naissance à une nouvelle forme d'informatique parallèle : la prolifération des applications SaaS. L'essor des outils SaaS basés sur l'IA a encore accéléré cette tendance. Les utilisateurs peuvent désormais connecter des plateformes d'IA générative à des applications métier telles que Google Drive, Slack, Microsoft OneDrive, les systèmes CRM et les outils de développement en quelques clics, souvent sans comprendre les autorisations accordées ni les données exposées. Si la plupart des organisations ont adapté leurs contrôles d'identité et de réseau à l'utilisation du cloud, elles restent mal préparées aux menaces qui se sont développées en coulisses : intégrations SaaS-à-SaaS, automatisations pilotées par l'IA, chaînes d'autorisations OAuth, plugins tiers à risque et erreurs de configuration au sein des applications autorisées. Il en résulte une situation où les équipes de sécurité ont une visibilité minimale et un contrôle encore plus limité. Voyons ensemble pourquoi la prolifération des solutions SaaS crée des angles morts que les outils de sécurité ne peuvent atteindre. 1. L'écosystème SaaS croît à un rythme que les services informatiques peinent à suivre et à recenser Les employés se connectent via : ● Des outils d'IA non vérifiés et des assistants GenAI ● Des applications de productivité personnelle ● Des extensions de navigateur gratuites ● Des plateformes SaaS légères ne nécessitant qu'une adresse e-mail. Plusieurs de ces outils s'intègrent directement aux systèmes d'information clés de l'entreprise, tels que les suites bureautiques, les plateformes CRM ou le stockage cloud, et demandent souvent un accès étendu aux fichiers, messages ou répertoires d'utilisateurs. Ces connexions sont établies sans inspection du réseau, sans contrôle des terminaux ni examen de sécurité centralisé. 2. Le risque provient désormais des outils SaaS interconnectés, et non plus des utilisateurs individuels Lorsqu'une application SaaS (ou un service basé sur l'IA) est compromise, les attaquants héritent des autorisations dont elle dispose, ce qui peut exposer : ● Courriels ● Calendriers ● Fichiers ● Fiches clients ● Annuaires d'entreprise. Les outils d'IA amplifient ce risque car ils bénéficient fréquemment d'un accès en lecture/écriture à de vastes ensembles de données, pour fonctionner correctement. Contrairement aux attaques traditionnelles, les échanges se font exclusivement via des appels d'API et des jetons OAuth, et non via le réseau. Par conséquent, les outils traditionnels (pare-feu, groupes de travail logiciels et sécurité des endpoints) ne peuvent ni observer ni interrompre cette activité. 3. Les contrôles réseau et d'identité ne permettent pas de visualiser le trafic SaaS-à-SaaS Les modèles de sécurité basés sur le contrôle des flux entrants et sortants du réseau sont mis à mal lorsque : ● Les applications SaaS communiquent directement avec d'autres applications cloud ● Les services d'IA ingèrent et traitent des données d'entreprise via des API ● Les utilisateurs accordent des autorisations directement via leur navigateur ● Les données circulent entre les systèmes cloud sans passer par les réseaux d'entreprise ● Les jetons d'API contournent l'authentification multifacteur (MFA) et la politique d'identité de l'entreprise Les communications SaaS et pilotées par l'IA fonctionnent dans une « zone d'ombre » où les outils réseau et de endpoints ne disposent d'aucune télémétrie. 4. Les erreurs de configuration demeurent la principale cause des failles de sécurité SaaS La Cloud Security Alliance estime que les erreurs de configuration sont responsables de la majorité des incidents SaaS. Exemples : ● Paramètres de partage excessifs ● Étendues OAuth trop permissives ● Accès accordé aux outils d’IA au-delà de leur usage prévu ● Journalisation désactivée ● Utilisation d’API obsolètes ● Application incorrecte des règles d’identité ● Modifications des politiques tierces Ces erreurs sont souvent dissimulées dans les paramètres des applications, invisibles pour les contrôles de sécurité traditionnels. Ce dont les entreprises ont besoin : Une approche moderne et technologique de la sécurité SaaS. La sécurité SaaS exige de passer d’une approche traditionnelle centrée sur le périmètre ou les endpoints, à une visibilité et un contrôle au niveau applicatif, d’autant plus que l’IA s’intègre de plus en plus à l’écosystème SaaS. Sécuriser les environnements SaaS Cela nécessite la découverte continue des SaaS pour les utilisateurs, les applications, les API et les intégrations. Les équipes de sécurité ont besoin d'une découverte automatisée permettant d'identifier : ● Tous les outils SaaS auxquels les utilisateurs accèdent ● Les applications et assistants basés sur l'IA ● Tous les plugins, extensions et connexions API ● Les autorisations OAuth et les étendues de permissions ● Les intégrations tierces liées aux applications métier critiques Cette découverte doit être continue et non ponctuelle, car les écosystèmes SaaS et d'IA évoluent quotidiennement. Evaluer les risques et avoir de la visibilité sur la sécurité des solutions SaaS Pour cela, les organisations ont besoin de : ● Identifier les erreurs de configuration ● Détecter les API obsolètes ou non sécurisées ● Comprendre comment les outils d’IA accèdent aux données et les traitent ● Suivre les utilisations risquées ou non conformes des solutions SaaS ● Prioriser les actions correctives en fonction de leur impact sur l’activité Une visibilité complète sur la configuration, les autorisations et le comportement de chaque application est essentielle. L’application des politiques d'utilisation et d'accès aux solutions SaaS Les entreprises ont besoin d'options de contrôle flexibles, telles que : ● Politiques d'autorisation/de refus pour des applications SaaS et d'IA spécifiques ● Restrictions horaires (par exemple, applications personnelles autorisées uniquement en dehors des heures de travail) ● Application des politiques en fonction du groupe d'utilisateurs, de l'appareil ou du contexte métier ● Prévention des services d'IA à haut risque Cela permet aux organisations de réduire les risques sans entraver la productivité légitime. La fermeture en temps réel des connexions SaaS à risque ou compromises Si une application SaaS ou une intégration d'IA est compromise, les entreprises doivent pouvoir : ● Révoquer les jetons ● Fermer instantanément les connexions API ● Supprimer l'accès des tiers et de l'IA ● Limiter les déplacements latéraux entre les plateformes SaaS Ceci est crucial car les attaquants exploitent souvent les chaînes OAuth et les intégrations d'IA plutôt que les chemins réseau. La détection d'anomalies adaptée aux environnements SaaS et d'IA L'apprentissage automatique et l'analyse comportementale doivent permettre d'identifier : ● Les téléchargements ou accès aux fichiers suspects ● Les connexions ou utilisations de jetons inhabituelles ● Les schémas anormaux entre les outils SaaS et d'IA connectés ● Les indicateurs de prise de contrôle de compte ou d'utilisation abusive interne Les anomalies comportementales dans les environnements SaaS et d'IA peuvent être subtiles et invisibles au niveau du réseau. La correction en un clic pour une réponse plus rapide Les incidents liés aux SaaS et à l'IA nécessitent souvent : ● Mise à jour des paramètres de sécurité et de partage ● Révocation des autorisations et des jetons ● Suppression des plugins, extensions ou intégrations d'IA L'automatisation aide les équipes de sécurité à gérer l'échelle et la rapidité des environnements SaaS. Un nouvel impératif de sécurité pour l'ère du SaaS Le SaaS, désormais intimement lié à l'IA, a redéfini l'architecture technologique des entreprises. La sécurité doit s'opérer au sein de la couche applicative, là où convergent identité, permissions, données, API et flux de travail d'IA. Une approche moderne de la sécurité SaaS comprend : ● Découverte continue des applications, intégrations et outils d'IA ● Visibilité sur la posture et la configuration ● Contrôle de l'utilisation du SaaS et de l'IA par le biais de politiques ● Confinement en temps réel des connexions à risque ● Détection d'anomalies par l'IA ● Automatisation pour réduire la charge humaine Les entreprises qui adoptent ces principes architecturaux peuvent enfin maîtriser la prolifération du SaaS et assurer la visibilité et la gouvernance de ce nouveau domaine qu'est l'informatique parallèle (Shadow IT).

🔗 Lire l'article original 👁️ 2 lectures