Avec 139 applications SaaS utilisées en moyenne par entreprise et un coût moyen de 2,3 millions de dollars par incident, la protection des données SaaS devient un enjeu critique pour les DSI. Le nouveau rapport HYCU sur l’état de la résilience SaaS 2025 dresse un constat sans appel : l’adoption massive du Software-as-a-Service n’est pas accompagnée par les stratégies de protection nécessaires. Décryptage.

Une adoption massive qui multiplie la surface d’attaque

Le SaaS s’est imposé comme la colonne vertébrale des activités numériques. Selon le rapport HYCU, 96 % des organisations interrogées ont augmenté leur utilisation d’applications SaaS au cours des deux à trois dernières années, et près d’une sur deux (46 %) a constaté une hausse significative. En moyenne, les entreprises jonglent désormais avec 139 applications SaaS, un chiffre qui grimpe à 158 dans les services financiers et 148 dans l’IT et les télécommunications.

Mais cette prolifération a un revers : plus une organisation utilise d’applications, plus elle s’expose. Les entreprises ayant subi plusieurs violations au cours des douze derniers mois utilisent en moyenne 159 applications SaaS, contre 116 pour celles qui ont été épargnées. Le constat est sans équivoque : chaque nouvelle application introduit de nouvelles intégrations, de nouvelles autorisations et autant de points d’entrée potentiels pour les cybercriminels.

Des incidents devenus la norme

Les chiffres sont éloquents : 65 % des organisations ont subi une violation liée au SaaS au cours des douze derniers mois, avec une moyenne de deux incidents par organisation. Le risque n’est plus marginal, il est désormais statistiquement majoritaire. Et la corrélation avec le nombre d’applications est directe : 60 % des organisations utilisant entre 1 et 100 applications SaaS ont été touchées, contre 77 % pour celles qui en exploitent plus de 200.

Un coût qui s’envole : 2,3 millions de dollars par incident

Les conséquences financières donnent le vertige. Le rapport estime à 405 770 dollars le coût quotidien moyen d’une interruption de service SaaS. Avec une durée moyenne de rétablissement de cinq jours ouvrés, la facture grimpe à 2,3 millions de dollars par incident. Pour les organisations utilisant plus de 200 applications SaaS, ce coût quotidien atteint près d’un million de dollars, soit cinq fois plus que pour les portefeuilles plus restreints. Et ces chiffres ne prennent pas en compte les pertes indirectes : érosion de la confiance des clients, sanctions réglementaires et atteinte à la réputation.

Le mythe persistant de la responsabilité du fournisseur

L’un des enseignements les plus préoccupants du rapport réside dans la confusion qui règne autour de la responsabilité de la protection des données. 66 % des répondants estiment encore, à tort, que leurs fournisseurs SaaS sont seuls responsables de la protection des données. Une croyance dangereuse qui crée des angles morts critiques. Pire encore, dans 43 % des organisations, personne n’est véritablement responsable de la résilience des données SaaS. Cette absence de gouvernance affaiblit la posture globale de sécurité et complique la conformité : 44 % des répondants déclarent rencontrer des difficultés à répondre aux audits et aux exigences réglementaires.

Une perte de contrôle des équipes IT

La transition vers le SaaS a profondément redistribué les cartes. Les équipes marketing déploient leur propre CRM, les RH choisissent leurs outils collaboratifs, la finance adopte ses plateformes cloud natives. Résultat : seulement 5 % des entreprises affirment avoir un contrôle total sur leurs applications SaaS, et en moyenne, seules 56 % des applications sont effectivement sous le contrôle du service informatique. Le shadow IT et l’adoption décentralisée placent les DSI et RSSI dans une position délicate, contraints de sécuriser des environnements qu’ils n’ont pas choisis.

Des fondamentaux de protection largement absents

Plus inquiétant encore, la majorité des organisations ne respectent même pas les exigences minimales en matière de protection des données SaaS. Seules 30 % effectuent des sauvegardes pilotées par des politiques pour certaines de leurs applications, 26 % disposent d’une conservation des données hors site, et à peine 25 % ont mis en place des tests de résilience. Sans surprise, 87 % des organisations reconnaissent qu’au moins une de leurs applications SaaS est exposée en raison d’une protection inadéquate, avec une moyenne de six applications à risque par organisation.

Salesforce, Microsoft 365, GitHub, Okta : les plateformes critiques sous tension

Le rapport identifie également les applications qui inquiètent le plus les répondants. Salesforce, Microsoft 365, GitHub, Okta, Google Workspace, Slack, Box, Zoom, Zendesk, Dropbox et HubSpot figurent parmi les plateformes les plus citées. Le point commun ? Elles sont profondément intégrées à l’écosystème de l’entreprise, largement accessibles et hébergent des données critiques. La compromission d’Okta, par exemple, en tant que plateforme IAM centrale, pourrait offrir à un attaquant les clés de l’ensemble du système d’information.

Vers une approche unifiée et proactive

Le constat dressé par HYCU est clair : les stratégies de résilience des données SaaS restent fragmentées, sous-financées et inadaptées au paysage actuel des risques. Pour les DSI et RSSI français, l’urgence est de bâtir une approche unifiée, automatisée et proactive de la protection des données SaaS, en clarifiant les responsabilités internes, en cartographiant l’ensemble des applications utilisées et en déployant des sauvegardes pilotées par des politiques sur l’ensemble du portefeuille.

Basé sur une enquête menée auprès de 500 décideurs IT et métiers à travers le monde, dont 75 en France, le rapport HYCU 2025 constitue une lecture indispensable pour toute organisation souhaitant évaluer et renforcer sa posture de résilience face à la généralisation du SaaS.