Les auteurs de l’étude citent les « Copilot » et les plateformes low code et no code dans les produits des éditeurs Microsoft Copilot, Power Platform, Salesforce, ServiceNow, Zapier, ou encore OpenAI. Ils estiment qu’une grande organisation en moyenne utilise environ sept Copilot et plateformes low code.
L’étude conclut que parmi les 80 000 applications et Copilot développés en dehors du cycle de développement logiciel traditionnel on trouve environ 50 000 vulnérabilités.
Le principal risque cité est que « les utilisateurs professionnels ont la possibilité de créer des applications et des copilotes sans avoir besoin d’une formation en codage et sans que des garde-fous de sécurité appropriés soient en place », notent les auteurs de l’étude.
Problèmes d’autorisation, échecs d’authentification et manipulation de données
Les principaux risques techniques liés aux Copilot et aux plates-formes low-code comprennent les problèmes d’autorisation, les échecs d’authentification et la manipulation de données, selon l’étude.
« Dans le développement d’applications traditionnelles, les applications sont soigneusement construites tout au long du cycle de vie du développement logiciel, où chaque application est continuellement planifiée, conçue, mise en œuvre, mesurée et analysée », expliquent les auteurs de l’étude. « Cependant, avec le développement de ces applications (nouvelles), il n’existe pas de tels contrôles et équilibres. Une nouvelle forme de shadow IT émerge. »
« N’importe qui peut créer et accéder à de puissantes applications professionnelles et à des Copilot qui accèdent, transfèrent et stockent des données sensibles et contribuent à des opérations commerciales critiques en quelques clics de souris ou à l’aide de prompts », prévient l’étude. « La vitesse et l’ampleur de cette nouvelle vague de développement d’applications créent une nouvelle et vaste surface d’attaque ».
Le problème de la gestion des invités
De nombreuses entreprises qui encouragent le développement de Copilot et d’applications low-code « ne comprennent pas qu’elles doivent connaître non seulement le nombre d’applications et de Copilot en cours de développement, mais aussi le contexte commercial, notamment les données avec lesquelles l’application interagit, les personnes auxquelles elle est destinée et la fonction commerciale qu’elle est censée accomplir ».
En conséquence, « il y a beaucoup de vulnérabilités et de configurations erronées ».
L’accès des invités par le biais des Copilots et des applications low code est un autre problème. « L’entreprise moyenne compte plus de 8 641 cas d’utilisateurs invités non fiables ayant accès à des applications développées par des Copilot et des applications low code », indique l’étude. Plus de 72 % de ces cas « fournissent un accès privilégié à des invités non fiables, ce qui signifie que des invités non surveillés et non managés peuvent créer, modifier ou supprimer ces applications ».
Comment remédier à ces vulnérabilités
Voici quelques-unes des mesures recommandées par les auteurs de l’étude pour remédier à ces vulnérabilités :
Configurer la sécurité dès le départ
Veiller à ce que des contrôles soient en place « pour signaler toute application contenant un mot de passe codé en dur ou une étape non sécurisée dans la manière dont elle récupère les informations d’identification ».
« Contextualiser les applications en cours de développement pour s’assurer que les applications professionnelles critiques qui sont également en contact avec des données internes sensibles disposent de contrôles d’authentification appropriés ».
« Une fois cette étape franchie, la priorité absolue est de s’assurer qu’une authentification appropriée est en place pour les applications qui requièrent un accès aux données sensibles. »
Mettre en place des garde-fous
En raison de la nature de l’IA, des garde-fous stricts doivent être mis en place pour empêcher le partage excessif d’applications, l’accès inutile à des données sensibles, le partage des interactions de l’utilisateur final avec les Copilot.
Sans ces garde-fous, les entreprises s’exposent à des risques d’injection de prompts malveillants et de fuites de données. »
Réguler l’accès des invités
Les utilisateurs invités « sont soumis à des normes de sécurité différentes de celles des employés, mais possèdent néanmoins un accès privilégié aux applications et aux Copilot construits sur des plateformes low code », soulignent les auteurs de l’étude.
Il est essentiel de « limiter l’accès aux seules personnes qui en ont besoin ».
Repenser les connecteurs aux données sensibles
Comprendre quelles applications sont connectées aux données sensibles est la première étape.
« Ensuite, déterminez comment les données sont envoyées et reçues vers ces applications, en vous assurant que tous les connecteurs, en particulier ceux qui accèdent à des données sensibles, utilisent des appels HTTPS ».