Le grand piratage de BizApp : les cyber-risques dans vos applications professionnelles quotidiennes

Lisez quelques titres sur la cybersécurité et vous remarquerez une tendance : ils impliquent de plus en plus des applications métier.

Par exemple, l'outil de messagerie Mailchimp dit que des intrus ont pénétré dans ses comptes clients via un « outil interne ». Logiciel d'automatisation du marketing HubSpot s'est infiltré. Portefeuille de mots de passe d'entreprise Okta a été compromis. Outil de gestion de projet Jira a fait une mise à jour qui a accidentellement exposé les informations privées de clients comme Google et la NASA.

C'est l'un des fronts les plus récents de la cybersécurité : vos outils internes.

Il est logique que des acteurs malveillants s'introduisent ici ensuite ou que des employés laissent accidentellement des portes ouvertes. L'organisation moyenne a maintenant 843 applications SaaS et s'appuie de plus en plus sur eux pour gérer ses activités principales. J'étais curieux de savoir ce que les administrateurs peuvent faire pour assurer la sécurité de ces applications. J'ai donc interviewé un ancien collègue, Misha Seltzer, CTO et co-fondateur d'Atmosec, qui travaille dans cet espace.

Pourquoi les applications métier sont particulièrement vulnérables

Les utilisateurs d'applications métiers ont tendance à ne pas penser à la sécurité et la conformité. En partie parce que ce n'est pas leur travail, dit Misha. Ils sont déjà bien occupés. Et en partie, c'est parce que ces équipes essaient d'acheter leurs systèmes en dehors du domaine informatique.

Pendant ce temps, les applications elles-mêmes sont conçues pour être faciles à lancer et à intégrer. Vous pouvez en lancer plusieurs sans carte de crédit. Et les utilisateurs peuvent souvent intégrer ce logiciel à certains de leurs systèmes d'enregistrement les plus vitaux comme le CRM, l'ERP, le système de support et la gestion du capital humain (HCM) en un seul clic.

Cela est vrai pour la plupart des applications proposées dans les magasins d'applications de ces principaux fournisseurs. Misha souligne que les utilisateurs de Salesforce peuvent "connecter" une application depuis Salesforce AppExchange sans vraiment l'installer. Cela signifie qu'il n'y a pas de contrôle, qu'il peut accéder à vos données client et que ses activités sont enregistrées sous le profil de l'utilisateur, ce qui rend le suivi difficile.

Donc, c'est le premier problème. Il est très facile de connecter de nouvelles applications potentiellement non sécurisées à vos applications principales. Le deuxième problème est que la plupart de ces systèmes n'ont pas été conçus pour que les administrateurs puissent observer ce qui s'y passe.

Par exemple :

• Salesforce offre de nombreux outils DevOps formidables, mais aucun moyen natif de suivre les applications intégrées, d'étendre les clés API ou de comparer les organisations pour détecter les modifications suspectes.
• NetSuite changelog ne fournit pas de détails sur qui a changé quoi — seulement qui quelque chose a changé, ce qui rend la vérification difficile.
• de Jira changelog est également clairsemé et Jira est souvent intégré à Zendesk, PagerDuty et Slack, qui contiennent des données sensibles.

Il est donc difficile de savoir ce qui est configuré, quelles applications ont accès à quelles données et qui a été dans vos systèmes.

Que pouvez-vous faire à ce sujet

La meilleure défense est une défense automatique, dit Misha, alors parlez à votre équipe de cybersécurité de la manière dont elle peut intégrer la surveillance de vos applications métier dans ses plans existants. Mais pour une prise de conscience et une couverture complètes, ils auront également besoin d'un aperçu plus approfondi de ce qui se passe dans et entre ces applications que ce que ces outils fournissent nativement. Vous devrez créer ou acheter des outils qui peuvent vous aider :

• Identifiez vos risques : Vous aurez besoin de pouvoir afficher tout ce qui est configuré dans chaque application, d'enregistrer des instantanés dans le temps et de comparer ces instantanés. Si un outil peut vous dire la différence entre la configuration d'hier et celle d'aujourd'hui, vous pouvez voir qui a fait quoi et détecter les intrusions ou le potentiel d'intrusions.
• Sondez, surveillez et analysez les vulnérabilités : Vous avez besoin d'un moyen de définir des alertes pour les modifications apportées à vos configurations les plus sensibles. Ceux-ci devront aller au-delà des outils traditionnels de gestion de la posture de sécurité SaaS (SSPM), qui ont tendance à surveiller une seule application à la fois ou à ne fournir que des recommandations de routine. Si quelque chose se connecte à Salesforce ou Zendesk et modifie un flux de travail important, vous devez le savoir.
• Élaborer un plan de réponse : Adoptez un outil de type Git qui vous permet de «version” vos applications métier pour stocker des états antérieurs auxquels vous pourrez ensuite revenir. Cela ne résoudra pas toutes les intrusions et peut vous faire perdre des métadonnées, mais c'est une première ligne de remédiation efficace.
• Maintenez votre hygiène de sécurité SaaS : Déléguez un membre de l'équipe à la mise à jour de vos organisations, à la désactivation des utilisateurs et des intégrations inutiles et à la réactivation des paramètres de sécurité désactivés. Par exemple, si quelqu'un désactive le cryptage ou TLS pour configurer un webhook, vérifiez qu'il était réactivé.

Si vous pouvez mettre tout cela ensemble, vous pouvez commencer à identifier les domaines dans lesquels les acteurs malveillants pourraient pénétrer, tels que via les webhooks de Slack, comme le souligne Misha.

Votre rôle dans la sécurité des systèmes d'entreprise

Il n'appartient pas aux administrateurs seuls de sécuriser ces systèmes, mais vous pouvez jouer un rôle important en verrouillant certaines des portes ouvertes évidentes. Et mieux vous pourrez voir dans ces systèmes - une corvée pour laquelle ils ne sont pas toujours conçus nativement - mieux vous saurez si quelqu'un a piraté une application métier.