L’explosion SaaS que personne ne sécurise
L’entreprise moderne fonctionne sur le SaaS. Selon le SaaS Management Index 2025 de Zylo, l’entreprise moyenne exploite désormais 275 applications SaaS. Les grandes entreprises de 10 000 employés ou plus utilisent en moyenne 660 applications SaaS distinctes et dépensent environ 284 millions de dollars par an en SaaS uniquement. Chacune de ces applications stocke des données d’entreprise, authentifie des employés et se connecte à d’autres systèmes via des API et intégrations. La réalité inconfortable est que les équipes de sécurité informatique manquent de visibilité sur une part substantielle d’entre elles.
Les études de l’industrie estiment systématiquement que jusqu’à 65% des applications SaaS dans les environnements d’entreprise sont non sanctionnées, adoptées sans approbation IT, revue de sécurité ni gouvernance. Gartner estime que 41% des employés acquièrent, modifient ou créent des technologies dont leurs départements IT ignorent l’existence, un chiffre projeté à 75% d’ici 2027.
Ce n’est pas un risque théorique. Le rapport 2025 d’Obsidian Security sur les menaces de sécurité SaaS a documenté une augmentation de 300% des brèches SaaS d’une année sur l’autre, et le rapport 2025 d’AppOmni a révélé que 75% des organisations ont subi un incident de sécurité SaaS au cours des douze derniers mois. L’attaque Microsoft Midnight Blizzard fin 2023 a démontré comment une seule application OAuth compromise peut se propager en brèche catastrophique.
Le cas Midnight Blizzard : quand OAuth devient une arme
En janvier 2024, Microsoft a révélé que Midnight Blizzard (anciennement Nobelium), l’acteur de menace étatique russe derrière l’attaque SolarWinds, avait violé les systèmes d’entreprise de Microsoft en compromettant une application OAuth de test héritée. L’attaque a commencé fin novembre 2023. La chaîne d’attaque était d’une simplicité dévastatrice : les acteurs de la menace ont identifié un compte de test hors production hérité sans authentification multifacteur. Par pulvérisation de mots de passe (password spraying) utilisant des proxys résidentiels et un faible volume de tentatives pour échapper à la détection, ils ont obtenu l’accès initial. Ils ont ensuite exploité une application OAuth héritée avec des permissions élevées, s’accordant finalement le rôle full_access_as_app d’Office 365 Exchange Online, permettant l’accès aux boîtes mail.
Le cas Midnight Blizzard est un cas d’école expliquant pourquoi la sécurité SaaS diffère fondamentalement de la sécurité d’infrastructure. L’application OAuth compromise était légitime. Elle avait été créée à des fins de test, n’était plus activement utilisée, mais restait connectée avec des permissions que personne n’avait examinées, et surtout, sans protection MFA. Dans le monde SaaS, un token OAuth accorde un accès persistant jusqu’à révocation explicite, et la plupart des organisations n’ont aucun processus ni outil pour conduire des revues systématiques de permissions OAuth.
Advertisement
L’anatomie du risque de prolifération SaaS
Le risque créé par la prolifération SaaS opère sur quatre dimensions qui se renforcent mutuellement. La première est les comptes orphelins : quand les employés quittent une organisation ou changent de rôle, leurs comptes dans les applications SaaS shadow sont rarement déprovisionnés car l’IT ignore leur existence. La recherche d’AppOmni a trouvé que sur les 256 applications SaaS-to-SaaS distinctes en moyenne dans un environnement d’entreprise, environ 100 ne sont plus activement utilisées mais conservent la capacité d’accéder aux données d’entreprise.
La deuxième dimension est les tokens OAuth sur-permissionnés. Selon Nudge Security, l’employé moyen émet 70 autorisations OAuth, dont beaucoup permettent un partage de données continu entre applications SaaS et outils d’IA. La troisième dimension est la dispersion des données. L’analyse de Metomic portant sur environ 6,5 millions de fichiers a trouvé que 40% des fichiers Google Drive contenaient des données sensibles, et 34% de tous les fichiers scannés avaient été partagés avec des contacts externes. La quatrième dimension est le risque d’intégration SaaS-to-SaaS. AppOmni a documenté que l’environnement SaaS moyen d’entreprise contient plus de 256 connexions d’applications SaaS-to-SaaS distinctes, avec en moyenne 900 connexions utilisateur-application.
SSPM : la couche de défense émergente
Le SaaS Security Posture Management (SSPM) est apparu comme la réponse du marché au risque de prolifération SaaS. Les plateformes SSPM se connectent aux applications SaaS d’une organisation via API, scannant continuellement les mauvaises configurations, les utilisateurs sur-permissionnés, les schémas d’accès suspects et les violations de conformité. Selon Frost & Sullivan, le marché SSPM était évalué à environ 484 millions de dollars en 2025 et devrait dépasser 3,5 milliards de dollars d’ici 2030, avec un taux de croissance annuel composé de 48,7%.
Wing Security, une startup SSPM israélienne ayant levé 26 millions de dollars, exemplifie la catégorie. La plateforme de Wing découvre toutes les applications SaaS utilisées dans une organisation, y compris le shadow IT, en analysant les logs SSO, les registres email, les extensions de navigateur et les autorisations OAuth. AppOmni, qui a levé 123 millions de dollars au total, se concentre sur la gestion de la configuration et des accès des applications SaaS sanctionnées. Adaptive Shield, acquis par CrowdStrike en novembre 2024 dans un deal rapporté à 300 millions de dollars, étend la plateforme Falcon de CrowdStrike avec le SSPM unifié.
Construire un programme de sécurité SaaS
Les organisations confrontées à la prolifération SaaS ont besoin d’une approche structurée. La première étape est la découverte : déployer un outil SSPM ou conduire un audit manuel pour cataloguer chaque application SaaS en usage, chaque autorisation OAuth et chaque compte utilisateur. La deuxième étape est l’établissement d’un cadre de gouvernance — non pas en interdisant le shadow IT, ce qui est à la fois futile et contre-productif, mais en créant un processus d’approbation à niveaux. La troisième étape est la surveillance continue et l’hygiène : revues trimestrielles automatisées des permissions OAuth, intégration du provisionnement/déprovisionnement SaaS avec les systèmes RH, alertes SSPM pour les changements de configuration à haut risque. Les attaquants pouvant compromettre et exfiltrer des données SaaS en aussi peu que neuf minutes selon Obsidian Security, la surveillance en temps réel n’est plus optionnelle.
La leçon de Midnight Blizzard est que la sécurité SaaS ne peut pas être une réflexion après coup. Elle doit être un processus continu intégré dans la manière dont les organisations adoptent, gèrent et gouvernent leurs portefeuilles SaaS en constante expansion.
Advertisement
🧭 Radar de Décision (Prisme Algérien)
| Dimension | Évaluation |
|---|---|
| Pertinence pour l’Algérie | Moyen — les entreprises algériennes adoptent de plus en plus d’outils SaaS (Microsoft 365, Google Workspace, plateformes CRM) ; les risques de shadow IT croissent à mesure que l’adoption SaaS des employés dépasse la gouvernance IT |
| Infrastructure prête ? | Oui — le SaaS est livré via le cloud, l’infrastructure de l’Algérie supporte l’adoption ; les outils SSPM sont également accessibles |
| Compétences disponibles ? | Partiel — les professionnels de la cybersécurité comprennent les concepts de contrôle d’accès, mais la gestion de la posture de sécurité SaaS et l’évaluation des risques OAuth sont des spécialités émergentes |
| Calendrier d’action | 6-12 mois — les organisations devraient commencer des audits de découverte SaaS et des revues de permissions OAuth comme première étape vers la gouvernance |
| Parties prenantes clés | RSSI et équipes de sécurité IT, administrateurs cloud, responsables conformité dans la banque et les télécoms, entreprises algériennes adoptant le SaaS |
| Type de décision | Tactique |
En bref : La prolifération SaaS est un risque universel, non limité aux marchés occidentaux. Alors que les organisations algériennes accélèrent l’adoption du cloud, les mêmes dynamiques de shadow IT — applications non sanctionnées, autorisations OAuth orphelines, permissions non vérifiées — créent une surface d’attaque croissante. Commencer par un audit de découverte SaaS est une première étape à faible coût et fort impact.
Sources et lectures complémentaires
- Zylo 2025 SaaS Management Index
- Microsoft Midnight Blizzard Guidance for Responders
- Microsoft Update on Midnight Blizzard Actions (March 2024)
- AppOmni SaaS-to-SaaS Security Research
- AppOmni State of SaaS Security Report 2025
- Obsidian Security 2025 SaaS Security Threat Report
- Valence Security 2024 State of SaaS Security Report
- CrowdStrike Acquisition of Adaptive Shield
- Metomic Google Drive Sensitive Data Findings
- Nudge Security OAuth Risk Management
- Frost & Sullivan SSPM Market Forecast 2025-2030
- Gartner Shadow IT Statistics via Zluri
Advertisement