Selon une étude menée par AppOmni, éditeur de sécurité en mode SaaS, la même erreur de configuration a été retrouvée dans 70% des instances ServiceNow testées. Pour le fournisseur, l'erreur résulte à la fois de mauvaises configurations gérées par le client et d'un surdimensionnement des autorisations accordées aux utilisateurs invités. Parmi les 25 000 clients de ServiceNow, la plupart emploient entre 50 et 200 personnes et ont un chiffre d'affaires compris entre 1 et 10 millions de dollars.

Dans son communiqué, AppOmni explique que ces types d'erreurs de configuration sont monnaie courante sur les principales plateformes SaaS du fait de la complexité des niveaux de fonctionnalité, de flexibilité et d'extensibilité des SaaS. « Ce genre de problème n'est en aucun cas limité à ServiceNow », a déclaré Brendan O'Connor, CEO d'AppOmni. « Nous constatons des expositions majeures de données sur plusieurs plateformes SaaS », a-t-il ajouté. « Au cours des deux dernières semaines, nous avons d’ailleurs constaté une recrudescence des attaques sur de multiples applications SaaS ».

Un manque de surveillance des applications SaaS

« Les erreurs de configuration peuvent survenir lors de la phase initiale de mise en œuvre d'une plateforme SaaS, quand les utilisateurs ou les paramètres changent, ou au moment des mises à jour régulières du SaaS qui peuvent avoir un impact sur les paramétrages actuelles », a expliqué AppOmni. Le fournisseur a développé une application web gratuite appelée SaaS Security Analyzer, capable de déterminer si une instance ServiceNow présente cette erreur de configuration. M. O'Connor indique que son entreprise a travaillé avec l’éditeur pour résoudre le problème.

Mais il conseille « vivement aux clients de ServiceNow de vérifier manuellement eux-mêmes ce problème ». Selon Brendan O'Connor, « de manière générale, les applications SaaS ne sont pas soumises à un examen de sécurité adéquat ». Le CEO estime que « la majorité des clients pensent que le fournisseur de cloud gère tout pour eux. Ils ne comprennent pas le modèle de responsabilité partagée, ni quelles sont leurs obligations en matière de protection de leurs données, de configuration et d'utilisation correctes du SaaS ».

La sécurité mise à mal par une transformation numérique accélérée

O'Connor a comparé les mauvaises configurations de SaaS aux problèmes passés avec les buckets S3 d'AWS. « Il ne s'agit pas d'une faille logicielle chez le fournisseur de cloud », a-t-il insisté. « C’est une situation courante où les clients, généralement sans le vouloir, exposent les données internes de leur plateforme SaaS au monde extérieur. Ce que notre test montre aujourd'hui, c'est que dans 70 % des cas analysés, cette exposition se fait sans aucune authentification. Il ne faut pas de mot de passe et il ne faut pas compromettre l'ordinateur de quelqu'un ».

Selon le CEO d’AppOmni, la forte transformation numérique engagée au cours des deux dernières années a accentué les problèmes de sécurité auxquelles sont confrontées de nombreuses entreprises. « La pandémie a obligé les entreprises à adopter le cloud », a-t-il déclaré. « Le cloud en tant que tel est sûr, mais dans cette précipitation à migrer vers le cloud, plusieurs éléments de sécurité ont été négligés. Sans doute que les entreprises n'ont pas eu le temps d'intégrer la surveillance de sécurité adéquat dans leur architecture quand elles ont migré vers le cloud ».