{ Tribune Expert } - La prolifération des applications SaaS est un défi croissant pour la cybersécurité des entreprises
L'utilisation des applications de type Software-as-a-Service (SaaS) a considérablement augmenté ces dernières années. Selon une étude que nous avons récemment menée, les entreprises utilisent en moyenne 371 applications SaaS différentes ! Dans les grandes entreprises, ce nombre atteint jusqu'à 473 applications, tandis que les PME en utilisent en moyenne 253.

La prolifération des applications SaaS et leur utilisation incontrôlée (SaaS Sprawl en anglais) pose d'énormes défis aux entreprises en matière de cybersécurité. Avec des centaines d'outils et des droits d'accès fragmentés, le risque de fuites de données et de non-conformité augmente considérablement. Il est donc essentiel d'adopter des stratégies pour reprendre le contrôle des ses applications dans le Cloud.
L'utilisation des applications de type Software-as-a-Service (SaaS) a considérablement augmenté ces dernières années. Selon une étude que nous avons récemment menée, les entreprises utilisent en moyenne 371 applications SaaS différentes ! Dans les grandes entreprises, ce nombre atteint jusqu'à 473 applications, tandis que les PME en utilisent en moyenne 253.
Cette diversité d'applications complique la mise en oeuvre de politiques de sécurité cohérentes. Chaque nouvelle application élargit la surface d'attaque et rend la gestion encore plus complexe.
Le premier problème des applications SaaS - pour ceux qui sont censés les gérer... - c'est leur facilité d'accès ! En effet, de nombreuses organisations ne disposent pas de processus clairement définis pour l'évaluation et l'approbation des nouveaux outils. Résultat : les applications prolifèrent et les applications non intégrées se multiplient. De plus, l'absence fréquente de formations appropriées empêche les employés de tirer parti des outils existants ce qui les pousse à adopter des alternatives.
Enfin, des attentes divergentes et des politiques spécifiques à certaines divisions contribuent également à l'acquisition d'applications sans consultation préalable du service informatique.
Le shadow IT né de l'utilisation incontrôlée des applications SaaS
L'utilisation d'applications SaaS sans que la DSI ne soit au courant constitue un problème majeur car les mises à jour de sécurité et les droits d'accès ne peuvent pas être gérés de manière centralisée, ce qui crée des vulnérabilités exploitables par des cybercriminels. Cela représente un risque considérable pour la sécurité des données et augmente significativement la probabilité de failles dans les règles de conformité.
Quels risques pour la sécurité et quelles conséquences ?
L'un des autres problèmes majeurs de la prolifération des applications SaaS réside dans l'attribution de permissions excessivement étendues. Par le biais de mécanismes OAuth, des applications tierces peuvent accéder à des données sensibles de l'entreprise. Les utilisateurs ne mesurent souvent pas pleinement les conséquences de ces permissions. De telles failles permettent aux cybercriminels d'exfiltrer des données ou de compromettre des systèmes.
Autre problème critique : les comptes zombies. Ces comptes restent souvent actifs après le départ d'un employé de l'entreprise, offrant ainsi aux attaquants un accès potentiel aux systèmes internes. Ces comptes ne se contentent pas d'augmenter les risques de sécurité ; ils entraînent également des coûts inutiles liés aux licences inutilisées. En mettant en place des processus améliorés de déprovisionnement, des économies significatives peuvent être réalisées.
Enfin, la croissante complexité des environnements SaaS rend également les entreprises plus vulnérables aux attaques de phishing ciblées. Les cybercriminels utilisent des fausses applications pour se faire passer pour des « outils de confiance ». Ces attaques permettent aux attaquants d'accéder
discrètement à des données sensibles. L'absence de visibilité sur les applications utilisées complique la tâche des départements IT pour détecter rapidement ces incidents.
La prolifération des SaaS et le revers de la médaille des outils d'IA : le Shadow-AI comme nouveau défi
Avec la montée en puissance des outils basés sur l'intelligence artificielle (IA) au sein des applications SaaS, une nouvelle dimension de la prolifération des SaaS apparaît : le Shadow-AI. Tout comme avec la shadow IT classique, des applications d'IA sont introduites sans que les départements IT en soient informés ou les aient approuvées. Les employés utilisent des outils d'IA pour accélérer des tâches telles que la rédaction de texte ou l'analyse de données. Ces outils améliorent certes la productivité à court terme mais ils engendrent aussi des problèmes de sécurité et de conformité à long terme.
Le danger principal de la Shadow-AI réside dans le traitement non contrôlé de données sensibles de l'entreprise. De nombreux outils d'IA s'appuient sur des services Cloud externes dont les normes de sécurité et de protection des données n'ont souvent pas été vérifiées. Cela accroît le risque de fuites de données et de non-respect de réglementations telles que le RGPD.
Face à ces nouveaux risques, les entreprises doivent développer des politiques encadrant l'utilisation des applications basées sur l'IA. Cela inclut la création d'un inventaire des outils d'IA autorisés, la mise en oeuvre de mécanismes de gouvernance et la sensibilisation des employés aux risques liés au shadow-AI.
Quelles stratégies pour maîtriser la prolifération des SaaS ?
Pour maîtriser les environnements SaaS, plusieurs points sont essentiels :
Lire aussi : { Tribune Expert } - Les trois fondements pour le leadership en ingénierie de l'IA en 2025
> Identifier et prioriser les applications les plus critiques. Les outils qui traitent des données sensibles ou sont essentiels aux activités de l'entreprise nécessitent une attention particulière, tout comme les applications à haut risque qui pourrait générer des conséquences graves en cas d'incident.
> Mettre en place une solution de Single Sign-On (SSO), qui permet aux employés d'accéder à plusieurs applications avec une seule authentification. Cela réduit non seulement le nombre d'identifiants à gérer, mais donne aussi aux départements IT une meilleure visibilité sur les outils utilisés.
> Intégrer les les systèmes RH dans la gestion des identités. Les processus de déprovisionnement automatisés garantissent que les droits d'accès sont révoqués rapidement en cas de départ ou de changement de poste d'un employé.
Quelles stratégies pour sécuriser les identités et les accès ?
La prolifération des SaaS n'est pas uniquement causée par la simple disponibilité des applications SaaS. Divers facteurs organisationnels et technologiques jouent également un rôle. Les départements métier choisissent souvent des outils différents pour des tâches similaires, en fonction de leurs besoins spécifiques. Cela engendre une duplication des applications. Par ailleurs, les équipes évaluent constamment de nouvelles offres SaaS, ce qui augmente le nombre d'outils inutilisés ou obsolètes, mais toujours actifs avec des comptes utilisateurs.
Les fournisseurs contribuent également à cette prolifération en intégrant leurs propres plateformes dans les processus métier. Pour relever ces défis, il est recommandé d'utiliser des Cloud Access Security Brokers (CASB), capables d'identifier et de gérer les applications non sécurisées. En complément, l'authentification devrait être renforcée par des mécanismes d'authentification multi-facteurs (MFA)
et des solutions adaptatives, afin de compliquer les accès non autorisés. Des mesures spécifiques, comme des processus automatisés de désactivation des comptes (offboarding) et des formations régulières des employés, renforcent la culture de sécurité et réduisent durablement les risques associés à la shadow IT.
L'importance d'une culture de sécurité solide
Au-delà des mesures techniques, l'établissement d'une culture de sécurité durable est essentiel. Des formations régulières et des campagnes de sensibilisation renforcent la conscience des employés face à des risques tels que le phishing ou les applications non sécurisées. Les simulations d'attaques permettent d'identifier les faiblesses et d'y remédier de manière ciblée.
Enfin une communication claire des politiques de sécurité favorise leur respect et réduit le nombre d'erreurs humaines.
* Hicham Bouali est directeur avant-ventes EMEA de One Identity
Sur le même thème
Voir tous les articles Cybersécurité