Points clés
- La multiplication des outils SaaS, des services cloud et des intégrations API a créé une surface d'attaque tierce difficile à inventorier et à maîtriser.
- Le nombre moyen d'applications SaaS utilisées par une entreprise de taille intermédiaire est passé de 8 en 2015 à 130 en 2023 selon BetterCloud.
- Les applications SaaS non approuvées par la DSI (Shadow IT) représentent 40 % des applications SaaS utilisées en entreprise selon Gartner 2023.
- Chaque application externe représente un potentiel accès à des données de l'organisation et un vecteur d'intrusion supplémentaire.
- CASB (Cloud Access Security Broker) et les solutions de gestion des identités (IAM) sont les outils recommandés par le NIST pour gérer le risque de la prolifération SaaS.
La prolifération des outils et services externes dans les organisations est un phénomène structurel de la transformation numérique. Les équipes adoptent des outils SaaS sans passer par la DSI — des outils de collaboration, de gestion de projet, d'analyse de données, de marketing automation — créant un inventaire d'applications externes que la plupart des organisations ne maîtrisent pas dans son intégralité.
Chacune de ces applications représente une relation de confiance implicite accordée à un prestataire externe, souvent sans évaluation de sécurité, sans contrat de traitement de données conforme RGPD et sans surveillance. Cette réalité constitue l'un des défis les plus difficiles de la gestion du risque tiers dans les organisations modernes.
Le Shadow IT comme risque structurel
Le Shadow IT — l'utilisation d'applications et de services non approuvés par la DSI — n'est pas un phénomène marginal. Il représente une part substantielle de l'utilisation IT dans la plupart des organisations. Les motivations sont souvent légitimes : les utilisateurs adoptent des outils plus efficaces que ceux fournis officiellement. Mais ces outils, adoptés sans évaluation de sécurité, peuvent traiter des données clients ou des informations confidentielles sans les protections adéquates.
La réponse au Shadow IT ne peut pas être uniquement répressive — l'interdiction de tout outil non approuvé est rarement applicable. Elle doit combiner une découverte systématique des outils utilisés (via des solutions CASB), un processus rapide d'approbation pour les outils légitimes, et une communication claire sur les risques des outils non approuvés pour les données de l'organisation.
Les intégrations API comme vecteurs de risque
Chaque intégration API entre un système interne et un service externe crée un flux de données et potentiellement un vecteur d'intrusion. Ces intégrations prolifèrent avec la multiplication des outils SaaS : chaque outil se connecte à plusieurs autres via des API, créant un réseau de connexions dont la complexité dépasse rapidement la capacité de supervision manuelle.
Un inventaire des API actives — quels systèmes communiquent avec quels services externes, quelles données sont échangées — est un prérequis à la gestion de ce risque. Les solutions d'API management et les outils de découverte de Shadow IT permettent d'automatiser cet inventaire.
Les données confiées aux outils SaaS
La question centrale dans la gestion du risque SaaS est celle des données : quelles données de l'organisation transitent ou sont stockées dans ces outils ? Des données de clients, des données financières, des données RH ou des données de propriété intellectuelle stockées dans un outil SaaS non évalué constituent un risque RGPD immédiat — et une exposition en cas de violation de sécurité de cet outil. Identifier ces flux de données est une priorité de la gouvernance des données dans les organisations.
Slack, largement adopté comme outil de collaboration d'entreprise, a fait l'objet de plusieurs incidents liés à l'exposition de données confidentielles. Des employees partageaient régulièrement des informations sensibles — credentials, données clients, codes source — dans des canaux Slack parfois accessibles à des collaborateurs non autorisés ou à des applications tierces connectées. Ces incidents ne résultaient pas d'une violation de Slack lui-même mais de mauvaises pratiques d'utilisation dans des outils SaaS adoptés sans politique d'usage claire.
La CNIL et plusieurs autorités de protection des données européennes ont ouvert des enquêtes sur l'utilisation de ChatGPT et autres outils d'IA générative par des employés d'entreprises européennes. La préoccupation centrale : des données confidentielles — données clients, informations financières, codes source propriétaires — étaient soumises à ces services SaaS sans évaluation de conformité RGPD, potentiellement utilisées pour entraîner les modèles. Ces enquêtes ont conduit plusieurs entreprises à interdire temporairement l'usage de ces outils en attente d'une politique formalisée.
Des employés de Samsung ont soumis du code source propriétaire et des données de réunions internes à ChatGPT dans le cadre de leur utilisation professionnelle quotidienne, avant que Samsung n'ait établi de politique d'usage. Lorsque l'incident a été découvert, Samsung a interdit l'utilisation de ChatGPT sur ses équipements professionnels et a lancé le développement d'un outil d'IA interne. Cet incident, largement médiatisé en Asie, a accéléré la mise en place de politiques d'usage des outils SaaS d'IA dans de nombreuses organisations de la région.