Crédit : Dreamstime
Une erreur dans la plate-forme SaaS d’une entreprise du S&P 500 fuit informations sur le net. La nouvelle de l’erreur de configuration trouvée dans près de 70 % des cas de ServiceNow a été rapportée mercredi par AppOmni, une société de sécurité SaaS.
Selon AppOmni, la mauvaise configuration résultait d’un mélange de configurations gérées par le client et de sur- fourniture d’autorisations aux utilisateurs invités. ServiceNow compte plus de 25 000 clients, dont la plupart comptent entre 50 et 200 employés et réalisent des revenus de l’ordre de 1 à 10 millions de dollars US.
AppOmni décrit dans un communiqué de presse que ce type de mauvaise configuration prévaut sur les principales plates-formes SaaS en raison de la complexité qui présente sans aucun doute des niveaux élevés de fonctionnalité, de flexibilité et d’extensibilité SaaS.
« Ce type de problème n’est en aucun cas limité à ServiceNow », a déclaré le PDG d’AppOmni, Brendan O’Connor, au CSO. » Nous constatons d’importantes expositions de données sur de nombreuses plates-formes SaaS « , dit-il. » Nous avons constaté une augmentation des attaques au cours des dernières semaines dans plusieurs applications SaaS. «
Les applications SaaS ne font pas l’objet d’un examen de sécurité approprié
Des erreurs de configuration peuvent survenir lors de la phase d’exécution préliminaire d’une plate-forme SaaS, lors de la modification des utilisateurs ou des paramètres, ou dans le cadre de la cadence régulière des mises à jour SaaS qui peuvent affecter les configurations actuelles, a discuté AppOmni, qui a développé le SaaS Security Analyser, une application Web complémentaire qui identifiera si une instance ServiceNow a cette mauvaise configuration.
O’Connor dit que son entreprise a fait affaire avec ServiceNow pour résoudre le problème. Il ajoute : » Nous encourageons vivement les clients de ServiceNow à inspecter eux-mêmes manuellement ce problème. «
» Les applications SaaS, en général, ne reçoivent pas l’analyse de sécurité dont elles ont besoin », déclare O’Connor. » De nombreux consommateurs pensent que l’entreprise cloud s’occupe de tout pour eux. Ils ne comprennent pas la conception de l’obligation partagée, et quels sont leurs engagements restants en matière de sécurisation de leurs données et de configuration et d’utilisation correctes du SaaS. «
Le changement numérique extrême y contribue aux problèmes de sécurité
O’Connor a comparé les erreurs de configuration SaaS aux problèmes passés avec les seaux AWS S3. « Ce n’est pas une faille logicielle chez le fournisseur de services cloud », précise-t-il. » C’est un modèle typique où les consommateurs, généralement accidentellement, exposent les données internes de leur plate-forme SaaS au monde extérieur. Ce que nous rapportons aujourd’hui, c’est que dans environ 70 % des cas que nous avons réellement évalués, nous découvrons que cette exposition existe sans authentification. Vous n’avez pas besoin d’un mot de passe. Vous n’avez pas besoin de cambrioler le système informatique de quelqu’un. «
O’Connor ajoute que l’amélioration numérique extrême des entreprises au cours des deux dernières années a ajouté à problèmes de sécurité dans de nombreuses organisations. » La pandémie a obligé un nombre croissant d’entreprises à adopter le cloud « , dit-il. » Le cloud est sûr, mais dans notre hâte de passer au cloud, il y a des éléments de sécurité que les organisations ont en fait négligés. Je pense que les organisations n’ont peut-être pas eu le temps de construire le niveau idéal de contrôle de la sécurité dans leur architecture car elles migré vers le cloud. «
Toute l’actualité en temps réel, est sur L’Entrepreneur