Sécurité du cloud

Qu'est-ce que la fraude par prise de contrôle de compte (ATO) dans le SaaS ? 

Auteur : Ioana Grigorescu, Responsable Contenu

Révisé par : George Ploaie, Directeur des opérations (COO)

Qu'est-ce que la fraude par piratage de compte (ATO) dans le SaaS

Qu'est-ce que la fraude par prise de contrôle de compte (ATO) dans le SaaS ?

La prise de contrôle de compte (ATO) dans le SaaS décrit l'accès à un compte utilisateur par une partie externe, par des méthodes pouvant inclure les identifiants, l'hameçonnage, l'activité de session ou les chemins liés à OAuth.

 

L'ATO peut être difficile à détecter car l'activité peut ressembler à des connexions utilisateur habituelles, ce qui peut la rendre plus difficile à distinguer d'un accès légitime que certaines attaques basées sur des malwares.

Pourquoi l'ATO est-il une préoccupation majeure pour le SaaS ?

La prise de contrôle de compte (ATO) dans le SaaS est liée à l'accès entre des systèmes connectés et des identités partagées.

 

Une seule identité peut être associée à l'e-mail, au CRM, au stockage cloud et à d'autres applications liées.

 

Les attaquants préfèrent les identifiants valides car ils leur permettent de contourner les défenses périmétriques traditionnelles et de se fondre dans l'activité utilisateur normale, rendant la détection plus difficile.

 

Les techniques de phishing, y compris les méthodes d'adversaire-au-milieu impliquant la MFA, représentent l'un des facteurs observés en relation avec les événements ATO dans les environnements SaaS.

Quelles sont les conséquences de l'ATO pour les entreprises SaaS ?

Les effets de la prise de contrôle de compte (ATO) pour les entreprises SaaS peuvent être regroupés en plusieurs domaines. Ceux-ci incluent :

  • des scénarios liés à la sécurité tels que l'accès aux données et la surveillance des transactions, qui peuvent impliquer un mouvement latéral vers des systèmes connectés.
  • les efforts de réponse aux incidents et les considérations de conformité.
  • une altération de la réputation, des modifications de la rétention client, et peuvent se produire même avec la MFA en place, en particulier lorsque des comptes administrateurs ou de support sont impliqués, entraînant des considérations au niveau du locataire. 

 

Zone d'impact

Risque spécifique

Résultat à long terme

Sécurité des données

Vol de PI, d'informations personnelles identifiables (PII) et de secrets commerciaux.

Perte d'avantage concurrentiel.

Financier

Activité transactionnelle et rétrofacturations.

Réduction du chiffre d'affaires net et OPEX élevé.

Confiance de l'utilisateur

Fatigue liée à l'AMF et blocages de compte.

Taux de désabonnement élevé et “détérioration de la marque”.

Infrastructure

Mouvement latéral vers les applications connectées.

Impact à l'échelle du système.

Quelles sont les méthodes d'attaque ATO courantes en SaaS ?

Les méthodes courantes incluent :

  • bourrage d'identifiants
  • pulvérisation de mots de passe
  • Hameçonnage
  • hameçonnage par un adversaire intermédiaire
  • hameçonnage de consentement OAuth
  • détournement de session
  • changements d'opérateur mobile (échange de carte SIM)
  • logiciels malveillants/voleurs d'informations
  • ingénierie sociale

 

Le hameçonnage moderne peut impliquer le ciblage de jetons de session et peut contourner les flux d'authentification qui utilisent l'authentification multifacteur (AMF).

Quels secteurs d'activité sont les plus ciblés par les attaques ATO, et pourquoi ?

Cibles ATO : 

  • Éducation
  • commerce de détail/e-commerce
  • Télécommunications
  • services financiers
  • Soins de santé

 

Ces secteurs sont ciblés en raison des données précieuses qu'ils détiennent, du grand nombre de comptes utilisateurs et de leur dépendance aux outils d'accès à distance et collaboratifs.

Conseil de pro :

Les fournisseurs SaaS desservant ces secteurs devraient insister sur les risques spécifiques à chaque secteur et les contrôles de sécurité auprès de leurs clients.

Comment les fournisseurs SaaS peuvent-ils détecter et prévenir l'ATO ?

Les fournisseurs SaaS peuvent détecter et prévenir les ATO en utilisant une approche en couches combinant prévention, détection et réponse. Les composants clés incluent :

 

  • MFA résistante au phishing
  • analyse comportementale
  • empreinte numérique de l'appareil
  • détection d'anomalies
  • protection de session
  • atténuation des bots
  • journalisation et alertes

 

Conseil de pro :

Utilisez l'authentification renforcée basée sur les risques pour les connexions inhabituelles et envisagez une protection antifraude basée sur l'IA pour une friction adaptative.

Comment les solutions ATO s'intègrent-elles aux plateformes SaaS ?

Il existe plusieurs façons par lesquelles les solutions ATO peuvent s'intégrer aux services SaaS, notamment via le SSO et le MFA, d'API, SDK, et les connecteurs de fournisseurs d'identité. 

 

De plus, intégrez-vous aux services SIEM et SOAR pour gérer les réponses aux incidents et utilisez la notation dynamique des risques pour évaluer les demandes d'accès.

 

Il est également nécessaire de sécuriser les jetons OAuth et les comptes de service tout en garantissant l'absence de latence pour les utilisateurs légitimes. 

Comment les utilisateurs peuvent-ils protéger leurs comptes SaaS contre l'ATO ?

La protection de vos comptes SaaS implique plusieurs étapes.

 

  1. Premièrement, utilisez des mots de passe forts et uniques pour chaque compte, et envisagez d'utiliser un gestionnaire de mots de passe pour les générer et les stocker.
  2. Ensuite, activez l'authentification multifacteur (MFA) avec des méthodes résistantes au phishing ou des clés d'accès lorsque cela est possible.
  3. Portez attention aux alertes de connexion, examinez les invites MFA inattendues et vérifiez les écrans de consentement des applications OAuth avant d'approuver les autorisations.
  4. Enfin, signalez toute activité de compte inhabituelle à votre fournisseur SaaS dès qu'elle est constatée.

Quelles sont les limites des méthodes actuelles de prévention des ATO ?

Les méthodes actuelles de prévention des ATO comprennent plusieurs approches différentes, chacune avec des compromis spécifiques.

 

L'authentification multifactorielle (MFA) traditionnelle peut être utilisée parallèlement à des techniques telles que le phishing AiTM, la fatigue MFA, l'échange de carte SIM et le vol de jetons.

 

Les systèmes statiques basés sur des règles pourraient ne pas identifier tous les modèles de connexion et pourraient produire des résultats d'examen variés.

À retenir :

Une approche de sécurité multicouche qui combine une authentification résistante à l'hameçonnage, une détection comportementale et une surveillance continue permet de renforcer la protection contre l'ATO.

Conclusion

La prise de contrôle de compte (ATO) affecte les environnements SaaS de manière à exiger une approche de sécurité multicouche et adaptable. En comprenant les méthodes d'attaque courantes, en mettant en œuvre des contrôles tels que l'authentification multifacteur (AMF) résistante au phishing et l'analyse comportementale, et en maintenant des pratiques de sécurité cohérentes, les fournisseurs et les utilisateurs de SaaS peuvent réduire les risques liés à l'ATO. À mesure que les techniques d'attaque évoluent avec le temps, la surveillance des événements de sécurité, l'examen des modèles d'accès et l'utilisation de technologies actualisées peuvent soutenir la gestion des données et des comptes.

Prêt à commencer ?

Nous sommes passés par là. Partageons nos 18 années d'expérience et faisons de vos ambitions internationales une réalité.
Parlez à un expert
Image mosaïque
fr_FRFrançais
en_USEnglish es_ESEspañol pt_PTPortuguês pt_BRPortuguês do Brasil it_ITItaliano de_DEDeutsch nl_NLNederlands pl_PLPolski ro_RORomână ukУкраїнська zh_CN简体中文 ja日本語 ko_KR한국어 fr_FRFrançais