Qu’est-ce que le SaaS Security Posture Management (SSPM) ?

Le SaaS Security Posture Management (SSPM) est un système de sécurité spécialisé conçu pour protéger les applications SaaS tierces en évaluant en continu leur utilisation, leurs configurations, leurs contrôles d’accès et leurs lacunes de conformité.

Très utilisé dans les environnements de travail, le SaaS (Software as a Service) entraîne de nombreuses problématiques de vulnérabilité et de gestion de la sécurité. Comme le résume Matthew Gardiner, expert produit chez Proofpoint : « L’essor des applications SaaS à faible friction, parfois même gratuites, a donné plus de pouvoir aux équipes métiers et aux utilisateurs — mais a laissé les équipes de sécurité débordées. »

Le SSPM automatise la détection des risques liés aux applications SaaS afin de réduire les menaces que les équipes de sécurité ne peuvent pas découvrir ni gérer efficacement. Une stratégie de sécurité fondée sur le SSPM permet de réduire la surface d’attaque en identifiant les comptes inactifs, les paramètres mal configurés, les autorisations excessives, les intégrations non autorisées et bien d’autres expositions dans des outils comme Microsoft 365, Salesforce, Okta, GitHub, et d’autres encore.

Le SSPM cible les applications SaaS généralement gérées par des équipes décentralisées ou du personnel non spécialisé en sécurité. Il fonctionne en complément d’outils tels que les Cloud Access Security Brokers (CASBs), qui régissent les politiques de gestion des données, et le Cloud Security Posture Management (CSPM), qui sécurise les plateformes IaaS. Tandis que le CSPM identifie des failles d’infrastructure comme des stockages cloud non sécurisés, le SSPM traite des risques applicatifs et liés aux identités, comme des autorisations de partage de fichiers non surveillées dans Google Workspace, des lacunes dans la couverture MFA, ou encore des connexions d’applications tierces non validées dans M365.

L’importance du SSPM aujourd’hui

Les organisations utilisent désormais des centaines, voire des milliers d’applications SaaS, souvent sans supervision informatique suffisante. Les contrôles de sécurité manuels ne suivent pas le rythme des mises à jour fréquentes ni l’expansion du shadow IT. Les mauvaises configurations de ces applications sont responsables de la majorité des violations cloud, mais restent souvent indétectées jusqu’à leur exploitation. Le SSPM applique des politiques conformes à des standards tels que CIS et ISO 270001, tout en identifiant les mauvaises configurations d’applications SaaS, le shadow SaaS et les expositions liées aux identités. Pour les entreprises, cela signifie moins de fuites de données, des incidents de sécurité moins graves, des audits de conformité simplifiés et une efficacité opérationnelle accrue.

À mesure que l’adoption du SaaS progresse, le SSPM offre le contrôle centralisé nécessaire pour sécuriser des applications dispersées sans freiner les priorités et la croissance de l’entreprise. Il comble les lacunes laissées par les modèles de sécurité traditionnels, garantissant que les organisations puissent évoluer en toute sécurité et exploiter le cloud en toute confiance dans un contexte de menaces en constante évolution.

Le SSPM opère grâce à une surveillance automatisée et continue des applications SaaS afin de détecter des failles de sécurité telles que des mauvaises configurations d’applications, du shadow SaaS et des expositions liées aux identités. Il analyse les configurations des applications SaaS pour s’assurer que les paramètres sont conformes aux bonnes pratiques de sécurité et aux normes réglementaires comme CIS et ISO 270001. Pour la sécurité des identités, le SSPM identifie les comptes inactifs, les comptes sur-privilégiés et l’absence de MFA, en appliquant le principe du moindre privilège afin de réduire l’exposition.

Lorsqu’il détecte de nouveaux risques ou écarts, le SSPM les signale, les hiérarchise et facilite la remédiation, par exemple en ajustant les autorisations ou en révoquant l’accès à une application, afin de traiter les risques avant qu’ils ne soient exploités. L’approche sans agent du SSPM permet une couverture étendue sans nécessiter l’installation de logiciels sur les terminaux, ce qui simplifie le déploiement dans des écosystèmes SaaS variés. En s’intégrant aux systèmes de sécurité existants tels que la messagerie, le DLP, les CASBs ou les outils d’Identity & Access Management (IAM), le SSPM centralise la visibilité et les corrections, réduisant la dépendance à la supervision manuelle et aux erreurs humaines.

Avec l’essor du SaaS, les solutions SSPM répondent à des vulnérabilités critiques dans les environnements cloud décentralisés. Les données de Proofpoint révèlent qu’en 2024, 99 % des organisations qu’ils ont surveillées ont subi des tentatives de prise de contrôle de comptes SSO, ouvrant directement l’accès aux applications SaaS. En réponse, le SSPM offre aux organisations des bénéfices essentiels, notamment :

• Découverte et remédiation continues de la posture : Détecte automatiquement les mauvaises configurations et expositions, permettant une remédiation efficace. Le SSPM réduit les risques de violation en traitant les expositions avant qu’elles ne soient exploitées.
• Assurance de conformité : Garantit le respect du RGPD et de l’HIPAA en surveillant les configurations et les contrôles d’accès.
• Réduction de la surface d’attaque : Identifie les comptes inactifs, les autorisations excessives, les lacunes de MFA et le shadow IT pour réduire les vulnérabilités exploitables et les sources de fuite de données.
• Efficacité opérationnelle : Automatise des tâches de sécurité comme les audits de configuration, libérant les équipes pour se concentrer sur des priorités plus stratégiques.
• Réduction des coûts : La gestion proactive des risques prévient les violations de données liées aux mauvaises configurations SaaS et aux lacunes de conformité, et améliore l’efficacité de l’administration de la sécurité.
• Protection de la chaîne d’approvisionnement : Détecte les intégrations tierces non sécurisées et les applications SaaS vulnérables, empêchant les attaquants d’exploiter des partenaires de confiance comme vecteurs d’entrée.
• Collaboration renforcée : Comble les écarts entre équipes de sécurité, unités métiers et utilisateurs finaux en fournissant une visibilité centralisée, permettant une gestion unifiée des risques sans nuire à la productivité.

En ciblant ces domaines, le SSPM élimine les applications SaaS comme source croissante de cyberrisque.

Des violations médiatisées soulignent le besoin critique de SSPM pour traiter les expositions propres au SaaS. Voici des incidents récents qui illustrent les conséquences d’écosystèmes SaaS moins sécurisés.

Compromission de Microsoft 365 par Midnight Blizzard

Des acteurs étatiques russes ont exploité une application OAuth héritée avec des autorisations excessives pour infiltrer les systèmes de messagerie de Microsoft et exfiltrer des communications sensibles de cadres dirigeants. L’attaque a contourné les défenses traditionnelles en ciblant des intégrations mal configurées, que le SSPM aurait pu signaler et corriger via une surveillance continue des accès et privilèges tiers.

Violation liée à des tokens Atlassian chez Cloudflare

Des attaquants ont utilisé des tokens OAuth volés lors d’une précédente compromission d’Okta pour accéder à l’environnement Atlassian de Cloudflare, compromettant du code source et de la documentation interne. L’application des politiques du SSPM aurait pu restreindre les autorisations des applications tierces et identifier des comptes de service inactifs, empêchant les mouvements latéraux via des identifiants obsolètes.

Fuite de données SharePoint chez Fortinet

Une instance mal configurée de Microsoft SharePoint a conduit au vol de 440 Go de données internes, y compris des identifiants clients et des dossiers financiers. Les vérifications automatisées du SSPM auraient détecté les paramètres de partage incorrects et appliqué un accès à privilège minimal aux fichiers sensibles.

Campagne d’exploitation des identifiants Snowflake

Des pirates ont utilisé des identifiants volés et l’absence d’authentification MFA pour compromettre des comptes clients Snowflake, touchant 165 organisations et exposant 590 millions d’enregistrements. Les contrôles centrés sur l’identité du SSPM auraient pu détecter les lacunes MFA et atténuer ces attaques.

Le SSPM combine des mesures de sécurité proactives et une gouvernance automatisée pour traiter la posture spécifique au SaaS. Ses éléments centraux assurent une protection continue contre les menaces tout en maintenant l’agilité opérationnelle.

Surveillance continue

Les outils SSPM analysent en permanence des applications SaaS comme Microsoft 365 et Salesforce pour détecter des mauvaises configurations, du shadow SaaS et des expositions liées aux identités. Cette supervision constante identifie des problèmes tels que des paramètres de partage publics, des comptes inactifs ou des violations de mots de passe avant qu’ils ne mènent à des violations.

Évaluation des risques

En comparant les configurations à des référentiels comme les contrôles CIS ou des standards tels que MITRE ATT&CK, le SSPM hiérarchise les risques selon leur gravité et leur impact métier. Il signale par exemple des utilisateurs sur-privilégiés dans Salesforce ou des intégrations OAuth inappropriées dans Microsoft 365, permettant une remédiation ciblée.

Application des politiques

Le SSPM automatise les politiques de sécurité à travers les applications SaaS pour aligner les paramètres sur les règles de l’organisation. Il détecte et corrige les mauvaises configurations, le shadow SaaS et les expositions identitaires, réduisant ainsi l’impact des erreurs humaines.

Remédiation

Lorsque des risques comme des mauvaises configurations, du shadow IT ou des expositions d’identité sont détectés, le SSPM fournit une priorisation basée sur les risques et des guides étape par étape pour les équipes IT. Révoquer des accès inutilisés ou ajuster les droits des utilisateurs réduit la surface d’attaque.

Reporting et analyses

Des tableaux de bord personnalisables suivent l’état de conformité, les tendances d’exposition et les progrès de remédiation. Le SSPM génère aussi des rapports alignés sur des normes comme CIS et ISO 270001.

Comme le souligne Gardiner : « La sécurité SaaS nécessite une coordination entre les équipes de sécurité centralisées, les départements et les utilisateurs finaux — les solutions SSPM facilitent cela. » Ces composants fonctionnent ensemble pour transformer des écosystèmes SaaS fragmentés en actifs sécurisés et gouvernés. Ils équilibrent productivité et réduction robuste des risques.

Les applications SaaS introduisent des risques uniques en raison de leur gestion décentralisée et de leurs configurations dynamiques. Une enquête de 2024 sur la sécurité SaaS a révélé que près d’un tiers des organisations avaient subi une violation de données SaaS au cours des 12 derniers mois. Le SSPM répond à ces défis en automatisant la visibilité, le contrôle et la remédiation à travers les applications SaaS.

• Mauvaises configurations d’applications SaaS : Des paramètres incorrects comme le partage de fichiers publics, des violations de politiques de mot de passe ou des lacunes MFA exposent des données sensibles. Le SSPM détecte et corrige ces failles, souvent responsables des violations SaaS.
• Accès sur-privilégié : Des utilisateurs avec des autorisations excessives augmentent les risques. Le SSPM applique le principe du moindre privilège pour réduire l’escalade et les mouvements latéraux.
• Shadow IT : L’utilisation d’applications SaaS non approuvées explose, créant des angles morts où les fuites de données et violations de conformité prospèrent. Le SSPM découvre et évalue ces applications, permettant des décisions fondées sur les risques.
• Violations de conformité : Les configurations SaaS exposent souvent des faiblesses liées au RGPD, à l’HIPAA ou au PCI-DSS en raison de paramètres hors périmètre ou de lacunes d’audit. Le SSPM aligne les configurations sur les référentiels réglementaires.
• Intégrations non sécurisées : Des intégrations mal gérées permettent aux attaquants d’exfiltrer des données ou de manipuler des fonctionnalités. Le SSPM audite les connexions tierces et met en avant celles présentant un risque.
• Menaces internes : Des employés peuvent accidentellement ou intentionnellement exposer des données via l’usage ou la mauvaise configuration des applications SaaS. Le SSPM identifie et corrige ces risques.

« Nous observons fréquemment du phishing via Google Docs et la distribution de malwares via des liens Google Drive », explique Maor Bin, chercheur principal chez Proofpoint en détection des menaces SaaS. « Les plateformes SaaS restent un ‘Far West’ pour les attaquants comme pour les défenseurs. De nouveaux outils comme Google Apps Script ajoutent rapidement des fonctionnalités tandis que les attaquants cherchent sans cesse de nouvelles façons de détourner ces plateformes », ajoute-t-il.

En ciblant ces vulnérabilités, le SSPM transforme les environnements SaaS d’un passif de sécurité en atouts résilients et prêts pour l’audit.

Alors que le SSPM sécurise les paramètres des applications SaaS, le CSPM renforce l’infrastructure cloud, et le CASB détecte et contrôle les flux de données. Ensemble, ils offrent une défense en couches contre les menaces cloud en constante évolution.

Le SSPM apporte des améliorations tangibles en matière de sécurité dans divers secteurs en traitant les risques spécifiques au SaaS. Voici quelques scénarios où des organisations ont transformé leur posture de sécurité SaaS.

Réduction du foisonnement SaaS d’un géant des médias

Une entreprise de médias pesant 10 milliards de dollars a dû faire face à plus de 1 200 applications SaaS, y compris des outils de shadow IT exposant des contenus sensibles. Le SSPM a découvert 250 % d’applications supplémentaires par rapport à ce que l’IT avait initialement recensé, dont beaucoup présentaient des autorisations excessives ou des intégrations non validées. En automatisant la priorisation des risques et les workflows de remédiation, l’organisation a fait passer son score de posture de sécurité de 40 % à 85 % en deux ans, évitant ainsi 1,49 million de dollars de coûts potentiels liés à des violations.

À mesure que l’adoption du SaaS s’accélère, la sécurisation de ces écosystèmes dynamiques devient essentielle pour atténuer les risques tels que les fuites de données, les ransomwares et les lacunes de conformité. Le besoin en systèmes SSPM est évident et ne fait que croître avec la prolifération des applications SaaS et des menaces associées. Il n’est donc pas surprenant que les risques de sécurité des applications SaaS — approuvées ou non — soient devenus le prochain champ de contrôle prioritaire pour les équipes de sécurité. Heureusement, Proofpoint s’engage à aider ses clients à relever ce défi. Contactez-nous pour en savoir plus.