Plutôt que de centraliser ses outils au sein d'un serveur interne, les PME adoptent aujourd'hui massivement les applications en ligne - ou logiciels SaaS. Cependant, cette pratique multiplie aussi les risques liés à la gestion des accès et à la sécurité des données. Les comptes dormants - ou oubliés - notamment, constituent une véritable faille de sécurité et peuvent se transformer en vecteurs d'attaques.
- Les PME se tournent vers les logiciels SaaS pour leur gestion, malgré les risques de sécurité associés aux comptes dormants.
- La start-up Mia offre une centrale de gestion de comptes SaaS, aidant à prévenir les accès non sécurisés.
- Pour éviter les failles, Mia propose de surveiller l'activité des comptes dormants et d'identifier les données compromises.
Un compte professionnel inactif et oublié, ce n'est pas aussi anodin que cela puisse paraître. On estime aujourd'hui que 40% des fuites de données sont réalisées non pas avec via une attaque sophistiquée par DDoS mais très simplement avec des identifiants compromis. En partant de ce constat, la jeune pousse lyonnaise Mia a mis au point un service permettant de centraliser la gestion de l’ensemble des comptes SaaS des PME.
Un service centralisé pour les PME
Arthur Huppert, fondateur et PDG de Mia, explique que l'objectif initial était de permettre aux entreprises de taille moyenne de mieux faire face aux arrivées et aux sorties des employés. "Dans une société de 100 collaborateurs, il y a toutes les semaines au moins une ouverture ou une fermeture de compte à faire", explique M.Huppert, avant d'ajouter : "en général, il y a simplement une personne qui gère le tableur Excel de l'entreprise. Ils n'ont pas d'outils, ils n'ont pas de département informatique, ils n'ont pas de DSI. En fait, ils n'ont généralement personne en interne qui met en place de bonnes pratiques".
Mia repose sur un ensemble de connecteurs en exploitant les interfaces de programmation des logiciels SaaS populaires adoptés par les professionnels. Mia centralise ainsi les droits d'accès aux outils de Slack, ZenDesk, Microsoft, Adobe Trello, Notion et cie. Et la parité compte/employés n'est pas aussi simple. S'il y a 50 collaborateurs dans une entreprise, il peut y avoir plus de 100 abonnements SaaS. M.Huppert souligne : "il y a ceux des freelances, ceux des prestataires. Il y a des accès dans tous les sens. Il y a donc un enjeu à venir faire des audits réguliers sur tous les comptes". Pour cette raison, la startup a mis en place des outils permettant de catégoriser les comptes utilisateurs (employé, freelance, clients, prestataires...) avec la possibilité de configurer des rappels d'audit personnalisés pour chaque ensemble.
Par la suite Mia a développé une fonctionnalité d'agrégation de données bancaire pour le suivi des dépenses afin d'identifier les mouvements financiers et anticiper les prochains prélèvements. Mais, c'est véritablement vers la cybersécurité que l'entreprise multiplie ses efforts.
La vulnérabilité des comptes dormants
On estime aujourd'hui qu'il y aurait entre 15 et 30% de comptes orphelins, dormants, ou oubliés au sein d'une entreprise. Pour Arthur Huppert, ces derniers sont vulnérables par deux aspects.
D'un côté, un employé peut quitter une entreprise tout en gardant un accès aux données de son ancien employeur. "Ces données peuvent constituer un enjeu très stratégique", explique le fondateur de Mia, "par exemple, nous-même, nous avons des clients qui sont dans des domaines confidentiels liés à la Défense." C'est aussi le cas du commercial qui, une fois parti, conserve un accès au CRM de son ancienne entreprise contenant un tas d'informations sur des clients ou de potentiels clients. Il lui suffit donc de faire un export de cette base.
"Chez certains de nos clients, quand ils savent qu'il va y avoir un départ, qu'ils ont une lettre de démission ou de fin de contrat, ils commencent à monitorer l'accès enregistré plusieurs semaines, voire plusieurs mois avant pour voir s'il n'y a pas eu des fuites de données" explique Arthur Huppert.
En parallèle, les comptes dormants sont aussi vulnérables parce que beaucoup de personnes utilisent encore le même couple identifiant / mot de passe sur une majeure partie de leurs services. Et bien entendu, le mot de passe est rarement sécurisé. Le compte dormant constitue alors une brèche dans l'infrastructure de l'entreprise. Et cela constituerait aujourd'hui 40% des fuites de données, selon rapport de l'opérateur américain Verizon.
Selon le CESIN - Club des Experts de la Sécurité de l'Information et du Numérique - en 2023, 60 % des entreprises auraient subi au moins une attaque réussie par phishing. Cette même année, selon Cybermalveillance, le taux de compromission de comptes aurait affiché une hausse de 23%.
Un accès à un compte dormant constitue un vecteur d'attaque, par exemple, via un ransomware. Dans le pire des cas, les intrus ont même accès à un compte disposant de droits d'administrateurs et peuvent, le cas échéant, couper l'accès à un outil central moyennant une rançon. Selon l'ANSSI, 58% des victimes de rançongiciel dans le monde sont des TPE/PME.
Arthur Huppert ajoute : "il y a aussi les fraudes au président. Si les cyberattaquants ont réussi à avoir un accès à un poste stratégique comme comptable, ils envoient de fausses factures ou changent les RIB et demandent aux collaborateurs de l'entreprise d'effectuer des virements en prétextant un oubli de paiement".
En plus des alertes, Mia s'apprête alors à lancer une fonctionnalité permettant de savoir si un mail professionnel a été détecté dans une fuite de données récentes. En s'appuyant sur ses différentes API, le service va également pouvoir détecter si une personne a ouvert un accès à un service en ligne avec son adresse email professionnelle sans passer par l'administrateur de l'entreprise.
De la gestion des accès aux bonnes pratiques de sécurité, Mia entend alors donner aux PME des outils généralement réservés au sein des grandes entreprises ayant une équipe technique. Et l'enjeu est particulièrement important puisque selon data.gouv.fr, 60% des petites entreprises ayant subi une cyber-attaque majeure mettent tout simplement clé sous la porte.
