Dans le panorama numérique actuel qui évolue à un rythme effréné, les entreprises gèrent un ensemble d'environnements toujours plus complexe, des applications SaaS aux plateformes de cloud public, en passant par les datacenters sur site et les configurations hybrides. Cette infrastructure diversifiée offre flexibilité et évolutivité, mais elle ouvre également de nouvelles surfaces d'attaque.
Pour assurer à la fois la continuité de l'activité et les besoins en matière de sécurité, « la sécurité ne doit plus se contenter de réagir, elle doit prévoir ». L'entretien d'une stratégie de sécurité saine implique de surveiller et de renforcer vos défenses de sécurité afin d'identifier les risques, d'assurer la conformité et de vous protéger contre des menaces en évolution constante. Grâce à nos nouvelles fonctionnalités, vous pouvez désormais utiliser Cloudflare pour offrir une posture saine à l'ensemble de vos applications web et SaaS . Cette publication permet de répondre à la question incontournable (quotidienne) de toute équipe de sécurité : vos ressources et documents sont-ils correctement protégés?
Une stratégie de sécurité prédictive repose sur les éléments essentiels suivants :
Identification et inventaire en temps réel de l'ensemble de vos ressources et documents
Détection des menaces et évaluation des risques en continu, en fonction des ressources
Des suggestions de mesures correctives prioritaires afin de renforcer votre protection
Aujourd'hui, nous révélons la manière dont nous avons développé ces composants essentiels sur l'ensemble des applications SaaS et web, ainsi que la manière dont vous pouvez les utiliser pour gérer le niveau de sécurité de votre entreprise.
Votre niveau de sécurité en un coup d'œil
Quelles que soient les applications que vous avez connectées à son réseau mondial, Cloudflare analyse activement les risques et les erreurs de configuration associés à chacune d'elles, à intervalle régulier. Les risques et les erreurs de configuration identifiés sont présentés dans le tableau de bord, sous le centre de sécurité, sous forme d'analyse détaillée.
Les informations sont regroupées en fonction de leur gravité, du type de risques et de la solution Cloudflare correspondante, afin de vous offrir différents angles d'approche sur lesquels vous souhaitez vous concentrer. Lorsqu'il y a lieu, une résolution en un clic est proposée pour certains types d'informations, notamment la définition de la version minimale de TLS sur 1.2, une recommandation de la norme PCI DSS. Cette simplicité est très appréciée des clients qui gèrent un ensemble croissant de ressources déployées sur l'ensemble de l'entreprise.
Pour réduire encore davantage le délai de résolution, nous avons récemment ajouté un contrôle des accès basé sur les rôles (RBAC) aux informations sur la sécurité dans le tableau de bord Cloudflare. Désormais, pour chaque professionnel de la sécurité, il existe une vue passée au crible en fonction des analyses dignes d'intérêt pour son rôle. Un utilisateur disposant d'un rôle d'administrateur (un CSO, par exemple) dispose d'un accès et d'une visibilité sur toutes les informations.
En plus des informations sur la sécurité à l'échelle du compte, nous proposons également des informations générales sur les niveaux de sécurité les plus proches des configurations de sécurité correspondantes à vos applications SaaS et web . Examinons maintenant chacune d'elles.
Sécurisation de vos applications SaaS
Sans gestion centralisée du niveau de sécurité, les applications SaaS peuvent donner une impression de Far West de la sécurité. Elles contiennent pléthore d'informations sensibles : fichiers, bases de données, espaces de travail, conceptions, factures ou tout ce dont votre entreprise a besoin pour fonctionner. Cependant, le contrôle se limite aux paramètres du fournisseur, avec moins de visibilité et moins d'options de personnalisation. Qui plus est, les membres de l'équipe créent, mettent à jour et suppriment constamment du contenu susceptible d'entraîner une dérive de la configuration et une exposition des données ; par exemple, le partage public de fichiers, l'ajout d'informations d'identification personnelle dans des bases de données non conformes ou l'accès à des intégrations tierces. Avec Cloudflare, vous disposez d'une visibilité sur l'ensemble de votre parc d'applications SaaS depuis un tableau de bord unique.
Résultats des analyses du niveau de sécurité sur l'ensemble de votre parc d'applications SaaS
Les informations sur la sécurité vous permettent de consulter les informations relatives à d'éventuels problèmes de sécurité SaaS :
N'hésitez pas à aller plus loin avec la solution CASB (Cloud Access Security Broker) afin de procéder à un examen approfondi des erreurs de configuration, des risques et des manquements, afin de respecter les bonnes pratiques sur l'ensemble de votre flotte SaaS . Vous pouvez identifier une multitude d'informations de sécurité, parmi lesquelles :
Fichiers accessibles au public ou partagés en externe
Applications tierces avec accès en lecture ou en modification
Accès d'utilisateurs inconnus ou anonymes
Des bases de données dont les identifiants ont été exposés
Utilisateurs sans authentification à deux facteurs
Comptes utilisateur inactifs
Vous pouvez également explorer la page Résultats de posture, qui facilite la recherche et la navigation dans les documents stockés dans les applications SaaS.
En outre, vous pouvez concevoir des politiques permettant d'empêcher toute dérive potentielle au sein de la configuration de votre environnement. Les politiques basées sur la prévention contribuent à maintenir une configuration sécurisée et des normes de conformité, tout en épargnant aux équipes chargées des opérations la lassitude liée aux alertes. Ces politiques peuvent empêcher les mouvements inappropriés ou l'exfiltration de données sensibles. L'unification des contrôles et de la visibilité sur les environnements facilite le verrouillage des classes de données régulées, la gestion de pistes d'audit détaillées par l'intermédiaire de journaux et l'amélioration de votre stratégie de sécurité afin de réduire les risques de violations.
Fonctionnement : nouvelle identification des documents SaaS en temps réel
Afin de fournir des informations sur la stratégie de sécurité SaaS à nos clients, nous devons collecter d'immenses volumes de données depuis un grand nombre de plateformes. Pour garantir la sécurité de tous les documents résidant dans vos applications SaaS (fichiers, modèles, etc.), nous devons collecter des informations concernant leur configuration. Sont-ils partagés publiquement ? Des applications tierces y accèdent-elles ? L'authentification multifactorielle (MFA) est-elle activée ?
Nous le faisions auparavant à l'aide de robots d'indexation chargés de l'extraction de données depuis des API SaaS. Cependant, lorsque nous travaillions avec des ensembles de données plus vastes, nous étions confrontés à un problème de contrôle du volume imposé par les fournisseurs SaaS. Cela nous obligeait à travailler par lots et à adapter le volume des analyses en fonction des autorisations des fournisseurs. Cette situation aboutissait à des conclusions obsolètes et rendait les mesures correctives difficiles à mettre en œuvre et peu claires. Par exemple, Cloudflare continuait de signaler un fichier comme étant toujours partagé publiquement pendant un certain temps après le retrait des autorisations, ce qui entraînait une dose de confusion chez les clients.
Pour remédier à ce problème, nous avons amélioré notre pipeline de collecte de données afin qu'il soit dynamique et en temps réel ; le but était qu'il réagisse à l'évolution de votre environnement à mesure qu'elle se produit, qu'il s'agisse d'un nouveau résultat affectant la sécurité, de la mise à jour d'une ressource ou d'une alerte critique émise par un fournisseur. Nous avons commencé par notre processus d'identification des ressources Microsoft et nos résultats d'analyse du niveau de sécurité, afin de vous proposer des statistiques en temps réel sur vos configurations Microsoft Admin Center, OneDrive, Outlook et SharePoint. Nous allons étendre rapidement la prise en charge à d'autres fournisseurs de SaaS à l'avenir.
Détection des événements de mise à jour de Cloudflare Workers
Cloudflare Workers constitue le point d'entrée des webhooks des fournisseurs, en traitant les notifications de modification des ressources provenant de services externes. Le flux de travail se déroule comme suit :
Auditeur webhook : un Worker initial agit comme un auditeur webhook, à savoir qu'il reçoit des messages en provenance de fournisseurs l'informant de modification concernant les ressources.
Stockage et mise en file d'attente des données : à réception d'un message, le Worker transfère le contenu malveillant brut de la notification de modification vers Cloudflare R2 afin de garantir la persistance et le publie sur une file d'attente Cloudflare dédiée aux modifications des ressources brutes.
Worker de transformation : un deuxième Worker, lié en tant que consommateur à la file d'attente de modifications des ressources brutes, traite les messages entrants. Cette instance Worker transforme les données brutes spécifiques aux fournisseurs en un format générique adapté au CASB. Les données transformées sont alors :
stockées dans Cloudflare R2 pour référence ultérieure.
publiées sur une autre file d'attente Cloudflare, désignée pour les messages transformés.
Traitement par CASB : consommateurs et robots d'indexation
Une fois que les messages transformés atteignent la couche CASB, ils font l'objet d'un traitement supplémentaire :
Consommateur d'interrogation : le CASB dispose d'un consommateur qui interroge la file d'attente des messages transformés. À réception d'un message, il détermine le gestionnaire qui convient pour le traitement.
Exécution du robot d'indexation : le gestionnaire associe ensuite le message à un robot d'indexation approprié, qui interagit avec l'API du fournisseur pour récupérer les détails les plus récents sur les ressources.
Stockage des données : les données des ressources récupérées sont stockées dans la base de données du CASB, garantissant ainsi leur accessibilité à des fins de contrôles de sécurité et de conformité.
Grâce à cette amélioration, nous traitons désormais 10 à 20 mises à jour Microsoft par seconde (soit 864 000 à 1,72 million de mises à jour par jour), afin d'offrir aux clients une visibilité incroyablement rapide sur leur environnement. Restez à l'écoute d'autres fournisseurs de SaaS seront concernés dans les mois à venir.
Sécurisation de vos applications web
L'une des difficultés uniques à la sécurisation des applications web tient au fait qu'il n'existe pas de solution unique adaptée à toute la situation. La gestion du niveau de sécurité en fonction des ressources apporte un compromis entre une solution de sécurité universelle et les besoins uniques des entreprises, en proposant des recommandations personnalisées aux équipes de sécurité afin de protéger ce qui importe.
Vue d'ensemble de la posture, des attaques aux menaces et aux risques
À compter d'aujourd'hui, tous les clients Cloudflare auront accès à la Vue d'ensemble de la sécurité, une nouvelle page d'accueil personnalisée pour chacun de vos domaines intégrés. Cette page regroupe et classe par priorité les suggestions de sécurité pour l'ensemble de vos applications web :
Toute attaque (en cours) détectée nécessitant une attention immédiate
Disposition (atténué, fourni par Cloudflare, diffusion par l'origine) de l'ensemble du trafic traité par proxy au cours des 7 derniers jours
Récapitulatif des modules de sécurité actuellement actifs qui détectent les menaces
Suggestions sur la manière d'améliorer votre stratégie de sécurité à l'aide d'un guide détaillé
Enfin, un aperçu des règles de sécurité les plus actives et les plus récemment mises à jour
Ces suggestions de sécurité sur mesure sont présentées en fonction de votre profil de trafic et des besoins opérationnels de votre entreprise, ce qui est rendu possible par l'identification de vos actifs web mis en proxy.
Découverte des ressources web
De nombreuses applications web, quel que soit leur secteur ou leur scénario d'utilisation, exigent des fonctionnalités similaires : identification de l'utilisateur, acceptation d'informations de paiement, etc. En identifiant les ressources au service de cette fonctionnalité, nous pouvons élaborer et exécuter une détection ciblée des menaces afin de les protéger en profondeur.
Par exemple, le trafic lié aux bots en direction des pages de marketing et des pages de connexion ont des répercussions commerciales différentes. Les attaques par extraction de contenus peuvent cibler vos supports marketing, et vous avez la possibilité d'autoriser ou non, tandis que les attaques par bourrage d'identifiants (Credential Stuffing) sur votre page de connexion méritent une attention immédiate.
Les ressources web sont décrites par une liste de points de terminaison ; et l'identification de chacun d'entre eux définit ses objectifs commerciaux. Prenons l'exemple simple des requêtes POST sur le chemin /portal/login qui correspond à probablement une API destinée à l'authentification des utilisateurs. Tandis que les requêtes GET sur le chemin /portal/login correspondent à la véritable page de connexion.
Les étiquettes sont utiles pour décrire les objectifs opérationnels des points de terminaison. Les requêtes POST transmises au point de terminaison /portal/login servant les utilisateurs finaux et au point de terminaison /api/admin/login utilisé par les employés peuvent toutes deux être étiquetées avec la même étiquette géréecf-log-in indiquant à Cloudflare que les noms d'utilisateur et les mots de passe sont à envoyer à ces points de terminaison.
Les clients utilisateurs d' API Shield peuvent déjà utiliser l'étiquette de point de terminaison. Au début du deuxième trimestre 2025, nous ajouterons des fonctionnalités d'identification et de suggestion d'étiquettes, en commençant par trois étiquettes : cf-log-in, cf-sign-up et cf-rss-feed. Tous les autres clients peuvent ajouter manuellement ces étiquettes aux points de terminaison enregistrés. L'exemple expliqué ci-dessous concerne le fait d'empêcher l'utilisation d'adresses e-mail à usage unique lors des inscriptions.
Détection des menaces et évaluation des risques en permanence
Détection des menaces basée sur les scénarios d'utilisation
Face à l'essor de l'IA générative, nos clients nous ont dit qu'ils avaient besoin d'aide pour sécuriser cette nouvelle technologie, sans entraver l'innovation. La capacité d'identifier les services optimisés par LLM permet d'affiner les contrôles de sécurité dignes d'intérêt pour cette technologie particulière tels que l'inspection des invites, le contrôle du volume d'invites en fonction de l'utilisation des jetons, etc. Dans un autre article de blog dédié à la Security Week, nous expliquerons comment nous préparons le pare-feu Cloudflare pour l'IA et comment vous pouvez facilement protéger vos charges de travail d'IA générative.
La détection de la fraude aux comptes, qui englobe plusieurs vecteurs d'attaque, constitue un autre enjeu pour nous en 2025.
Sur de nombreuses pages de connexion et d’inscription, une solution CAPTCHA est couramment utilisée pour autoriser uniquement les êtres humains, partant du principe que seuls les bots effectuent des actions indésirables. Outre le fait que la plupart des énigmes visuelles CAPTCHA peuvent aujourd’hui être facilement résolues par l’IA, cette solution ne permet pas de résoudre efficacement la cause première de la plupart des vecteurs de fraude aux comptes. Par exemple, des êtres humains utilisent des e-mails à usage unique pour créer des comptes à usage unique afin de bénéficier de promotions à l'inscription.
Pour résoudre ce problème d'inscriptions frauduleuses, une règle de sécurité actuellement en cours de développement pourrait être déployée comme suit : afin de bloquer toutes les tentatives utilisant des e-mails à usage unique comme identifiant d'utilisateur, indépendamment du fait que l'expéditeur soit automatisé ou non. Tous les points de terminaison cf-log-in et cf-sign-up existants ou à venir sont protégés par cette règle unique, car ils exigent tous deux l’identification de l’utilisateur.
Nos mesures de détection des menaces orientées scénarios d'utilisation et à l'expansion rapide s'exécutent toutes par défaut dès le premier moment de l'intégration du trafic sur Cloudflare. Les résultats de détection instantanément disponibles peuvent être consultés dans les données d'analyse de sécurité, afin que vous puissiez prendre rapidement des décisions éclairées.
Évaluation des risques au point de terminaison d'API
Les API comportent leur propre ensemble de risques et de vulnérabilités et, aujourd'hui, Cloudflare propose sept nouvelles analyses des risques dans le cadre de sa solution de gestion du niveau de sécurité des API. Cette nouvelle fonctionnalité d'API Shield contribue à réduire les risques en identifiant les problèmes de sécurité et en les corrigeant rapidement, avant que les API ne soient attaquées. Les API sont généralement constituées de nombreux services back-end différents. Les équipes de sécurité doivent donc identifier les services back-end vulnérables afin de permettre aux équipes de développement de remédier aux problèmes identifiés.
C'est exactement ce que font nos nouvelles analyses des risques liés à la gestion du niveau de sécurité des API : les utilisateurs peuvent identifier rapidement les points de terminaison d'API exposés à un certain nombre de vulnérabilités, notamment l'exposition de données sensibles, le statut d'authentification, les attaques par violation de l'autorisation au niveau de l'objet (Broken Object Level Authorization, BOLA) et bien d'autres.
La posture d'authentification est une analyse de risque que vous verrez dans le nouveau système. Nous avons concentré nos efforts autour de cet aspect dès le départ, car les données sensibles sont en danger lorsque l'authentification des API est censée être mise en œuvre, mais qu'elle est en réalité interrompue. La posture d'authentification permet aux clients d'identifier les erreurs de configuration d'authentification pour les API et les alertes concernant leur présence. Pour ce faire, les requêtes réussies vers l'API sont analysées et leur statut d'authentification est pris en compte. API Shield analyse le trafic quotidiennement et étiquette les points de terminaison d'API dont l'authentification est absente ou mixte, afin de pouvoir les examiner de plus près.
Pour les clients qui ont configuré des ID de session dans API Shield, vous pouvez trouver les nouvelles étiquettes d'analyse des risques et les détails d'authentification par point de terminaison dans API Shield. Les équipes de sécurité peuvent apporter ce détail à leurs équipes de développement afin de combler la faille d'authentification.
Nous annonçons aujourd'hui le lancement d'analyses de la stratégie d'authentification, des données sensibles, des API sous-protégées, des attaques BOLA et l'analyse des anomalies affectant les performances des API en fonction des erreurs, de la latence et du volume des réponses.
Simplifiez le maintien d'une bonne stratégie de sécurité avec Cloudflare
La mise en œuvre d'une stratégie de sécurité satisfaisante au sein d'un environnement en évolution rapide nécessite des solutions innovantes, capables de transformer la complexité en simplicité. Notre première étape visant à soutenir les efforts de nos clients dans le maintien d'une stratégie de sécurité saine sera marquée par la consolidation sur une plateforme unique de la capacité d'évaluer en continu les menaces et les risques au sein des environnements informatiques publics et privés.
Pour renforcer encore l'intérêt des informations et des suggestions de sécurité fournies et vous aider à mieux hiérarchiser vos actions, nous envisageons d'intégrer la vision globale de Cloudflare sur le panorama des menaces. Cela vous permet de gagner en perspective, notamment sur les principales menaces pesant sur votre secteur et les cibles des acteurs malveillants à l'heure actuelle. Restez à l'écoute pour plus d'informations sur le sujet dans le courant de l'année.
Si vous ne l'avez pas encore fait, n'hésitez pas à intégrer vos applications web et SaaS sur Cloudflare dès aujourd'hui afin de bénéficier d'informations instantanées sur la marche à suivre pour améliorer la stratégie de sécurité de votre entreprise.