L’entreprise moyenne utilise aujourd’hui entre 80 et 120 applications cloud différentes. Marketing, ventes, RH, comptabilité, gestion de projet : chaque service a ses outils préférés. Le cloud a rendu tout ça simple. Trop simple, même.
Parce qu’en réalité, chaque nouveau SaaS qu’on ajoute à l’écosystème, c’est une nouvelle porte d’entrée potentielle pour quelqu’un de malveillant. Et contrairement aux serveurs qu’on gérait en interne il y a dix ans, là, on n’a plus vraiment la main sur grand-chose.
Le shadow IT, ou comment perdre le contrôle sans s’en rendre compte
Dans la plupart des PME et ETI, la DSI ne connaît même pas la moitié des outils utilisés au quotidien par les équipes. On appelle ça le shadow IT : ces logiciels que les commerciaux, les RH ou les marketeurs installent tout seuls, sans validation technique.
Un outil de visioconférence gratuit par-ci, un tableur collaboratif par-là, une plateforme de signatures électroniques trouvée sur Google. Ça part d’une bonne intention. On veut être efficace, ne pas attendre trois semaines qu’un formulaire passe entre dix mains.
Sauf que derrière, ça crée un énorme angle mort. Parce que personne ne sait vraiment où sont stockées les données. Personne ne vérifie les politiques de mot de passe. Personne ne contrôle les accès. Et surtout, personne ne révoque les comptes quand un salarié quitte la boîte.
Résultat : on se retrouve avec des dizaines de comptes actifs, liés à des adresses mail professionnelles d’anciens employés, qui traînent sur des SaaS obscurs. Et ça, les attaquants le savent très bien.
Les mots de passe réutilisés, le cadeau préféré des hackers
Le truc avec les SaaS, c’est qu’on en ouvre tellement qu’on finit par recycler les mêmes identifiants partout. Même mot de passe pour le CRM, l’outil de gestion de projet, la plateforme de paie, le logiciel de facturation. Pratique, hein ?
Sauf que quand une de ces plateformes se fait pirater – et ça arrive tout le temps – les hackers récupèrent des millions de combinaisons email/mot de passe. Ils les testent ensuite en masse sur d’autres services. On appelle ça du credential stuffing.
En clair : un seul SaaS mal sécurisé suffit à compromettre tous les autres comptes de l’entreprise. Et là, on se retrouve avec quelqu’un qui peut accéder aux factures, aux données clients, aux contrats, aux échanges internes. Tout.
Ça arrive bien plus souvent qu’on ne le croit. Mais comme personne n’en parle publiquement, on sous-estime le risque.
Les intégrations entre outils : un écosystème interconnecté… et vulnérable
Autre problème : les SaaS ne fonctionnent plus isolément. Ils sont tous connectés entre eux via des API, des webhooks, des synchronisations automatiques. Le CRM envoie ses contacts vers l’outil d’emailing, qui lui-même nourrit la plateforme d’analytics, qui remonte dans le tableau de bord du PDG.
C’est hyper pratique. Mais en termes de sécurité, ça veut dire qu’une seule faille sur un seul maillon de la chaîne peut contaminer tout le reste. Un accès mal configuré sur un outil mineur, et c’est toute la base client qui se retrouve exposée.
Du coup, on se retrouve dans une situation où il ne suffit plus de sécuriser son infrastructure. Il faut aussi faire confiance à tous les éditeurs de SaaS qu’on utilise, et vérifier qu’ils appliquent les bonnes pratiques. Ce qui, concrètement, est rarement fait.
D’ailleurs, des sites comme SaasLab aident justement à comparer les logiciels en prenant en compte ces aspects de sécurité et de conformité, notamment sur les certifications ISO ou SOC 2. Mais très peu d’entreprises intègrent ce critère dans leur décision.
L’authentification forte, oui… mais pas partout
On en parle beaucoup, de la double authentification (2FA). C’est devenu un réflexe sur Gmail, LinkedIn ou nos comptes bancaires. Mais dans le monde B2B, c’est une autre histoire.
Beaucoup d’outils SaaS proposent la 2FA… en option payante. Ou alors uniquement sur les forfaits entreprise, hors de portée des petites structures. Résultat : une TPE qui utilise un logiciel de gestion de projet ou un outil RH se retrouve protégée uniquement par un mot de passe.
Même quand c’est activé, ça reste souvent mal configuré. Certains employés désactivent la fonctionnalité parce qu’ils trouvent ça contraignant. D’autres utilisent des applications d’authentification non sécurisées, ou pire, reçoivent les codes par SMS, ce qui les expose au SIM swapping dont on parlait récemment.
Au final, l’authentification forte n’a de sens que si elle est obligatoire, généralisée et bien configurée. Sinon, c’est juste une case cochée sur une checklist.
Qui est responsable en cas de fuite de données ?
C’est la grande question qui fâche. Quand un SaaS se fait pirater et que les données de vos clients fuitent, qui trinque ? L’éditeur du logiciel ? Vous, qui avez choisi cet outil ?
Juridiquement, c’est souvent flou. Les CGV des SaaS renvoient régulièrement la responsabilité à l’utilisateur final, c’est-à-dire l’entreprise. Mais dans les faits, c’est rarement vous qui contrôlez la sécurité de leurs serveurs.
En Europe, le RGPD impose une obligation de moyens. Vous devez choisir des sous-traitants conformes, et vérifier qu’ils respectent les normes. Mais concrètement, combien de dirigeants de PME lisent vraiment les audits de sécurité de leurs outils SaaS ? Combien savent même qu’ils existent ?
On se retrouve donc dans une zone grise où la responsabilité est partagée… mais où personne n’assume vraiment. Et en cas de pépin, c’est l’entreprise qui paye : amende CNIL, perte de confiance des clients, impact sur la réputation.
Reprendre la main, concrètement
Face à ce constat, quelques réflexes simples peuvent déjà changer la donne. Pas besoin d’être expert en cybersécurité pour mettre en place des garde-fous.
Première étape : cartographier les outils utilisés. Faire un inventaire complet, service par service. Qui utilise quoi, pour quelles données, avec quel niveau d’accès. Ça paraît basique, mais c’est rarement fait.
Ensuite, limiter les accès au strict nécessaire. Pas la peine que tout le monde ait un compte admin sur tous les outils. On applique le principe du moindre privilège : chacun accède uniquement à ce dont il a besoin.
Troisième point : imposer l’authentification forte partout où c’est possible. Quitte à payer un peu plus cher. Et prévoir une procédure de révocation systématique des comptes en cas de départ.
Enfin, vérifier régulièrement les journaux d’activité des principaux SaaS. Certains permettent de voir qui s’est connecté, depuis où, à quelle heure. Des connexions inhabituelles depuis l’étranger, par exemple, doivent alerter.
Rien de tout ça n’est sorcier. Mais ça demande du temps, de la rigueur, et une vraie sensibilisation en interne. Le genre de choses qu’on remet à plus tard… jusqu’au jour où on se fait pirater.
Le cloud n’est pas intrinsèquement dangereux, mais il change les règles
Les SaaS ont révolutionné la manière de travailler. Ils ont rendu accessibles des outils autrefois réservés aux grandes entreprises. Ils ont simplifié la collaboration, réduit les coûts, accéléré les processus.
Mais cette simplicité a un prix. Elle a déplacé la responsabilité de la sécurité vers des acteurs externes, tout en multipliant les points d’entrée potentiels. Et elle a créé une illusion : celle que tout est sécurisé par défaut, que quelqu’un d’autre s’en occupe.
En réalité, la sécurité d’un écosystème SaaS repose autant sur les choix de l’entreprise que sur la robustesse technique des éditeurs. C’est un équilibre fragile, qui demande de la vigilance, de la formation, et une culture de la cybersécurité qui dépasse le simple IT.
Parce qu’au final, ce ne sont pas les outils qui posent problème. C’est la façon dont on les utilise.
