Principaux enseignements du rapport SASI 2025

Mai 21, 2025
Kaseya
cybersécurité

L'essor rapide des applications SaaS (Software-as-a-Service) telles que Google Workspace, Microsoft 365, Slack et Salesforce s'explique par la flexibilité, l'évolutivité et la rentabilité des solutions basées sur le cloud. D'un autre côté, les applications SaaS sont devenues des cibles de choix pour les cybercriminels, car elles hébergent des informations et des charges de travail stratégiques pour l'entreprise. De plus, la cybercriminalité évolue rapidement. Les cybercriminels privilégient des méthodes plus efficaces et plus dangereuses, comme la collecte de jetons, plutôt que des méthodes traditionnelles telles que la force brute.

Afin de mieux comprendre ces risques, SaaS Alerts le rapport « 2025 SaaS Application Security Insights (SASI) ». Ce rapport présente les conclusions d'une analyse approfondie des données relatives à la sécurité des applications SaaS, portant sur plus de 43 000 petites et moyennes entreprises (PME) et près de six millions de comptes utilisateurs, y compris les comptes invités.

À mesure que les menaces gagnent en sophistication, il est essentiel que les responsables de la sécurité et les professionnels de l'informatique comprennent ces nouvelles dynamiques. Dans cet article, nous examinerons les principales conclusions du rapport et les mesures que votre entreprise doit prendre pour garder une longueur d'avance sur les menaces émergentes.

La multiplication des applications SaaS et les risques qui y sont associés

Les applications SaaS ont considérablement amélioré l'efficacité opérationnelle et la productivité, mais elles ont également exposé les entreprises à toute une série de failles de sécurité. Alors que la cybercriminalité est en pleine expansion, les comportements négligents des utilisateurs, le partage de fichiers à risque et les comptes d'utilisateurs invités non surveillés créent des angles morts en matière de sécurité dans les environnements SaaS.

Les employés ont tendance à installer de nouvelles applications, à accorder des autorisations d'accès ou à partager des documents sans en informer les équipes informatiques. Ces actions donnent lieu à un enchevêtrement complexe de connexions entre applications et de partages de données que l'équipe de sécurité est souvent incapable de visualiser ou de contrôler.

Les applications SaaS facilitent le partage d'informations, mais en l'absence de contrôles adéquats, les données sensibles peuvent être exposées via des liens publics ou partagées avec des tiers sans authentification appropriée.

Une autre source de préoccupation croissante concerne les comptes d'utilisateurs invités, créés pour des collaborations de courte durée, mais qui sont souvent laissés sans surveillance ou rarement désactivés. Certains de ces comptes disposent de privilèges étendus ou d'un accès à des documents critiques, ce qui en fait une porte dérobée idéale pour les cybercriminels cherchant à infiltrer une organisation sans déclencher d'alerte.

Connexions non autorisées détectées par SaaS Alerts

Le moteur de veille stratégiques SaaS Alertssurveille en permanence les environnements SaaS à la recherche d'activités suspectes. En 2024, nous avons constaté une forte augmentation des tentatives d'accès non autorisés, ainsi que des accès non autorisés effectifs. Voici ce que nous avons découvert :

Tentatives de connexion non autorisées

Les cybercriminels tentent de plus en plus souvent de se connecter en utilisant des identifiants valides obtenus sur le dark web ou lors d'attaques par hameçonnage. Pour éviter d'être repérés, ces tentatives de connexion proviennent de multiples endroits à travers le monde et se succèdent à un rythme soutenu.

En 2024, près de 40 % de toutes les tentatives de connexion non autorisées provenaient de Chine et de Corée du Sud.

La force brute était la méthode couramment utilisée pour obtenir un accès non autorisé aux systèmes d'entreprise. Dans cette méthode, les pirates tentent des mots de passe à plusieurs reprises jusqu'à ce qu'ils parviennent à y accéder.

Le rapport SASI 2025 indique que, plutôt que de s'en remettre uniquement à la force brute, les cybercriminels se tournent désormais vers la collecte de jetons — une méthode plus rapide et plus discrète qui leur permet de contourner complètement l'authentification multifactorielle (MFA) en volant des jetons de session.

Détection des connexions non autorisées

Lorsque des pirates parviennent à accéder à un compte, ils le font souvent depuis des endroits inattendus ou non autorisés. L'année dernière, l'Allemagne, le Royaume-Uni et la Pologne se sont révélés être des points chauds, près de 25 % des violations provenant de ces pays. On pense que les pirates dissimulent leur véritable provenance en acheminant leur trafic via des VPN basés en Occident, ce qui rend leurs tentatives plus légitimes en apparence et plus difficiles à détecter.

Des cybercriminels ont réussi à se connecter à des comptes d'entreprise à l'aide de techniques de hameçonnage. Ils incitent les utilisateurs à divulguer leurs identifiants SaaS au moyen de faux e-mails, messages ou pages de connexion extrêmement convaincants. Cette méthode reste l'un des moyens les plus dangereux et les plus efficaces de contourner les défenses des organisations.

Incidents de sécurité liés au SaaS

Les incidents de sécurité liés au SaaS servent de signaux d'alerte précoce, aidant les équipes informatiques à détecter toute activité inhabituelle ou à risque au sein de leurs environnements cloud. SaaS Alerts une logique applicative intelligente pour analyser les schémas comportementaux et classer ces activités par niveau de gravité : faible, moyen et critique.

En 2024, SaaS Alerts plus de 7,3 milliards d'événements dans des environnements SaaS. Si la grande majorité (98,5 %) d'entre eux ont été classés comme présentant un niveau de gravité faible, plus d'un milliard de ces alertes étaient de niveau moyen ou critique.

Événements de faible gravité

Les incidents de faible gravité reflètent souvent une activité normale, mais il convient néanmoins de les surveiller afin de détecter d'éventuelles tendances ou anomalies au fil du temps.

L'événement de faible gravité le plus fréquent était « fichier ouvert », déclenché chaque fois qu'un utilisateur connecté ou un invité accède à un fichier. Cette action représentait plus de 50 % de l'ensemble des alertes de faible gravité. Le transfert via le service de sauvegarde représentait 23,7 % de ces événements. Un autre déclencheur courant était l'accès OAuth via la gestion des identités et des accès (IAM), qui représentait 22,88 % des alertes de faible gravité. Ces événements se produisent lorsque des applications tierces demandent des autorisations pour accéder à un compte.

Alertes de gravité moyenne

Ces alertes se déclenchent lorsqu'un comportement inhabituel ou des activités suspectes sont détectés et nécessitent une enquête afin de minimiser les risques.

En 2024, l'alerte de gravité moyenne la plus courante était « limite de téléchargement de fichiers dépassée », ce qui indique des tentatives d'extraction de données. Cet événement représentait 40,2 % de l'ensemble des alertes de gravité moyenne. La limite de téléchargement de fichiers a été dépassée représentait 35 % des alertes de gravité moyenne, ce qui est souvent un signal d'alerte indiquant des transferts de données non autorisés. Parallèlement, l'ouverture d'un fichier à partir d'un emplacement non approuvé représentait 25 %, ce qui indiquait une compromission potentielle du compte ou des violations des politiques d'accès.

Alertes critiques

Les alertes critiques signalent des activités à haut risque pouvant indiquer des failles de sécurité, des vols de données ou des accès non autorisés. Plus de 34 % des alertes critiques ont été déclenchées par des connexions réussies à partir d'emplacements ou de plages d'adresses IP non autorisés. Par ailleurs, 33 % des alertes critiques ont été déclenchées par des accès à des fichiers en dehors des zones géographiques autorisées. Enfin, 32,3 % étaient liées à des téléchargements de fichiers à partir d'emplacements non autorisés.

Même si les alertes de gravité faible ou moyenne n'impliquent pas nécessairement une menace immédiate ni ne nécessitent une intervention immédiate, elles fournissent néanmoins un contexte essentiel et des informations précieuses sur les comportements des utilisateurs et du système. Une surveillance attentive de ces alertes peut aider les équipes informatiques à identifier les schémas d'activité anormaux et à neutraliser de manière proactive les menaces avant qu'elles ne causent des dommages. En résumé, il est essentiel de suivre toutes les alertes de sécurité — de la plus faible à la plus critique — afin de mettre en place une stratégie de sécurité SaaS solide et de détecter efficacement les menaces.

Qu'est-ce qui met vos environnements SaaS en danger ?

Les applications SaaS offrent d'innombrables avantages aux entreprises de toutes tailles. Cependant, lorsque les bonnes pratiques en matière de sécurité sont négligées, ces plateformes peuvent également devenir des points d'entrée pour les fuites de données, la compromission de comptes et les accès non autorisés. Le rapport SASI 2025 met en évidence les vecteurs de menace les plus courants susceptibles d'exposer votre environnement SaaS à des violations potentielles.

MFA désactivé ou inactif

L'authentification multifactorielle (MFA) est considérée comme l'un des moyens de défense les plus efficaces contre l'usurpation d'identité et l'accès non autorisé aux comptes. Cependant, son adoption reste à un niveau alarmant. Selon le rapport SASI 2025, l'authentification multifactorielle est désactivée ou inactive dans plus de 60 % des comptes d'utilisateurs finaux. Sans cette couche de protection essentielle, les pirates peuvent facilement compromettre des comptes par le biais d'attaques de phishing ou de vol de jetons.

Comptes d'utilisateurs invités non surveillés

Les comptes invités sont indispensables à la collaboration externe, mais ils sont souvent laissés sans surveillance. En 2024, SaaS Alerts plus de 4,2 millions de comptes SaaS, dont plus de 55 % étaient des comptes invités. Si ces comptes ne font pas l'objet d'une surveillance étroite ou ne sont pas désactivés rapidement lorsqu'ils ne sont plus nécessaires, ils risquent de devenir des points d'entrée invisibles pour les cybercriminels.

Intégrations d'applications SaaS à SaaS

OAuth permet aux utilisateurs de connecter facilement de nouveaux outils SaaS en quelques clics, mais cette facilité a un coût.

Chaque nouvelle intégration risque d'élargir la surface d'attaque, surtout si l'application tierce est mal sécurisée. Sans visibilité sur ces connexions, votre entreprise s'expose au risque de permettre aux cybercriminels d'accéder indirectement à ses systèmes par le biais d'applications compromises.

Comportements à risque en matière de partage de fichiers

Les applications SaaS ont simplifié le partage de fichiers, mais elles ont également accru le risque de partage non autorisé de données en dehors de l'entreprise. En 2024, 37,28 % de l'ensemble des activités de partage de fichiers SaaS Alerts impliquaient des utilisateurs externes.

Si tous les partages externes ne sont pas nécessairement néfastes, le véritable danger réside dans les liens orphelins. Il s'agit de liens de partage de fichiers transmis à des personnes extérieures à l'organisation et qui ne sont jamais supprimés. Les pirates à la recherche d'une faille peuvent facilement repérer et exploiter ces liens qui persistent.

Points clés et recommandations de sécurité pour garder une longueur d'avance sur les nouvelles menaces liées au SaaS

Le rapport SASI 2025 révèle que, si les applications SaaS améliorent la productivité et la collaboration, elles exposent également l'entreprise à des risques de sécurité lorsqu'elles ne sont pas correctement gérées. Une adoption insuffisante de l'authentification multifactorielle (MFA), des comptes invités non surveillés, des intégrations d'applications tierces à risque et des pratiques de partage de fichiers imprudentes comptent parmi les vecteurs de menace les plus critiques. Les acteurs malveillants changent de tactique, adoptant des méthodes furtives telles que la collecte de jetons et le masquage de VPN, ce qui rend plus important que jamais pour les organisations d'adopter une approche proactive en matière de sécurité, d'améliorer leur visibilité et d'appliquer des politiques de sécurité.

Suivez ces étapes pour protéger votre entreprise contre les nouvelles menaces liées au SaaS :

  • Mettez en place et imposez l'authentification à plusieurs facteurs (MFA) dans l'ensemble de votre organisation et pour tous vos clients.
  • Appliquez des règles d'accès conditionnel aux comptes Microsoft 365 dès que possible.
  • Proposez régulièrement des formations en cybersécurité à vos utilisateurs finaux afin de renforcer les bonnes pratiques en matière de sécurité.
  • Surveiller en permanence les principales applications SaaS de productivité afin de détecter tout comportement inhabituel ou suspect de la part des utilisateurs.
  • Surveillez les activités de partage de fichiers afin de détecter toute fuite potentielle de données ou menace interne.
  • Conservez et examinez régulièrement les données historiques relatives au comportement des utilisateurs, même si celles-ci n'ont pas donné lieu à une violation avérée.
  • Identifier et traiter rapidement toute anomalie susceptible d'indiquer une menace.
  • Surveillez les connexions via OAuth et ne négligez pas les applications SaaS autres que celles de Google ou de Microsoft.
  • Supprimez régulièrement les comptes invités inactifs ou inutiles afin de réduire au minimum les risques.
  • Dressez l'inventaire de toutes les intégrations entre applications et évaluez leurs implications en matière de sécurité.
  • Examinez les pratiques risquées en matière de partage de fichiers afin d'éviter toute fuite de données.
  • Utilisez l'automatisation pour détecter les séquences de menaces à haut risque et y réagir immédiatement.

Gardez une longueur d'avance sur les nouvelles menaces liées au SaaS. Téléchargez le rapport SASI 2025 pour découvrir les dernières tendances en matière de SaaS, les analyses d'experts, des données concrètes et des stratégies concrètes.

Télécharger le rapport complet

Une plateforme complète pour la gestion informatique et de la sécurité

Kaseya 365 la solution tout-en-un pour la gestion, la sécurisation et l'automatisation de l'informatique. Grâce à des intégrations transparentes entre les fonctions informatiques essentielles, elle simplifie les opérations, renforce la sécurité et améliore l'efficacité.

Demander une démonstration Découvrez Kaseya 365

Une seule plateforme. Tout l'informatique.

Kaseya 365 bénéficient des avantages des meilleurs outils de gestion informatique et de sécurité, le tout dans une solution unique.

Découvrez Kaseya 365

Votre succès est notre priorité absolue.

Partner First, c'est l'engagement d'offrir des conditions flexibles, un partage des risques et un accompagnement dédié à votre entreprise.

Découvrez Partner First Pledge »

Rapport Kaseya 2026 sur la situation des MSP

Kaseya - Rapport 2026 sur la situation des MSP - Image web - 1200 x 800 - MISE À JOUR

Découvrez les perspectives 2026 sur le MSP, issues des témoignages de plus de 1 000 prestataires, et apprenez comment augmenter votre chiffre d'affaires, vous adapter aux pressions du marché et rester compétitif.

Télécharger maintenant

Explorer les catégories

Qu'est-ce que le SecOps ? Explications sur les opérations de sécurité

La plupart des entreprises comptent deux équipes qui devraient travailler main dans la main, mais qui évoluent souvent dans des mondes à part : les opérations informatiques,

Lire l'article de blog

Passer des signaux à l'action avec Kaseya

Avec Kaseya, transformez le bruit de la cybersécurité en informations exploitables. Améliorez la visibilité, réduisez le nombre d'alertes et réagissez plus rapidement aux menaces pesant sur les solutions SaaS et les identités.

Lire l'article de blog

L'IA dans la cybersécurité : les risques liés à la sécurité des solutions SaaS que vous ne pouvez pas vous permettre d'ignorer

L'IA est en train de transformer les menaces de cybersécurité. Découvrez comment la surcharge de signaux, la prolifération des solutions SaaS et les attaques ciblant les identités renforcent la nécessité d'une solution intégrée de détection et de réponse dans le cloud.

Lire l'article de blog