Notre rapport sur les risques du SaaS révèle que l'exposition des données Cloud représente un risque de 28 millions € pour une entreprise moyenne.

Certaines personnes aiment prendre des risques : nager avec des requins blancs, escalader le Mont-Blanc en short, camper sur le territoire des Ours pyrénéens avec un pot de beurre de cacahuète ouvert, et le plus effrayant de tous, supposer que vos données SaaS sont sécurisées et protégées dans le cloud sans rien faire.

Est-ce que la dernière proposition vous a fait froid dans le dos ? C'est pourtant peut-être votre cas. Si votre entreprise est comme la plupart des autres, il y a de fortes chances que même vos données SaaS les plus sensibles soient surexposées et sous-protégées contre les menaces internes et les acteurs malveillants.

Bien que les données cloud n'impliquent pas de se battre contre la nature ou face à des dents aiguisées comme des rasoirs, le SaaS représente un risque important aujourd'hui cruellement délaissé. Vos applications cloud offrent aux attaquants une vaste surface d'attaque, et les pirates semblent découvrir chaque jour de nouvelles façons d'inciter vos utilisateurs à partager des informations sensibles.

Pour mettre en lumière les problématiques les plus courantes et les plus répandues en matière de sécurité des données SaaS, Varonis a compilé le rapport The Great SaaS Data Exposure (Des données SaaS trop exposées). Notre nouvelle étude se penche sur le risque lié au cloud associé à certaines des applications et services SaaS les plus populaires, tels que Microsoft 365, Okta, Box et Salesforce.

Plutôt que de s'appuyer sur des enquêtes subjectives pour évaluer le risque actuel lié aux données en nuage, nous avons retroussé nos manches et analysé un échantillon de plus de 700 évaluations de risques liés aux données pour découvrir l'exposition réelle des entreprises. Nos analystes ont examiné près de 10 milliards - oui, des milliards - de fichiers dans le cadre de ce rapport.

Vous trouverez ci-dessous quelques-unes des principales conclusions de nos recherches :

• La plupart des entreprises conservent des données exposées dans le cloud. Un pourcentage impressionnant de 81 % des organisations avaient exposé des données SaaS sensibles.
• Les entreprises font face à d'importants risques dans le cloud. Dans une entreprise moyenne, 157 000 enregistrements sensibles sont exposés à tout le monde sur Internet par le biais des fonctions de partage du SaaS, ce qui représente un risque en terme de violation des données calculé à 28 millions d'euros*.
• La large exposition des données internes est un vrai problème. Un enregistrement sur dix dans le cloud est exposé à tous les employés, ce qui crée un rayon d'exposition interne incroyablement grand, qui maximise les dommages lors d'une attaque par ransomware.
• L'absence de MFA facilite la tâche des attaquants. Une entreprise moyenne dénombre 4 468 comptes d'utilisateurs sans authentification multifactorielle (MFA) activée, ce qui facilite la tâche des attaquants qui veulent compromettre les données exposées en interne. 
• Les comptes administrateurs de type "Sitting-duck" rendent les entreprises vulnérables. Sur les 33 comptes de super-administrateurs d'une organisation moyenne sondée, plus de la moitié n'avaient pas de MFA activé. Cela offre un accès plus facile aux attaquants, leur permettant de compromettre ces comptes et de voler des données, de créer des portes dérobées et de semer le chaos.
• Les structures de permissions trop complexe pour la compréhension représentent un vrai défi. Les entreprises disposent de plus de 40 millions d'autorisations uniques dans les applications SaaS, rendant leur remédiation cauchemardesque pour les équipes informatiques et de sécurité chargées de gérer et de réduire les risques liés aux données cloud.

Lisez le rapport complet : The Great SaaS Data Exposure (Des données SaaS trop exposées).

La plupart des entreprises ne peuvent pas voir facilement quelles données SaaS sont à risque et de quelle manière. Les organisations s'appuient sur des dizaines ou des centaines d'applications et de services cloud, et le SaaS introduit de nouveaux défis aux enjeux plus élevés. Les entreprises ne sont qu'à une mauvaise configuration près, de partager des données avec tout le monde sur Internet.

👋 Vous voulez découvrir où en est votre organisation en terme de sécurité ?
Demandez votre propre évaluation gratuite de risques liés aux données. Nous vous donnerons un aperçu des risques encourus par votre organisation et vous fournirons des informations exploitables pour vous aider à renforcer la sécurité de vos données hors de tout processus commercial.

* IBM Security, Cost of a Data Breach Report, Page 5. Le rapport indique que les PII (informations personnelles) des clients sont le type d'enregistrement le plus coûteux, avec 180 dollars par enregistrement perdu ou volé. Nous avons constaté qu'une entreprise moyenne possède 157 000 enregistrements exposés, ce qui représente un risque estimé à 28 millions de dollars, ou 28 080 457,18 Euros en ce 05 Octobre 2022.