Retour au blog
HR TechSSOauthentification

SSO entreprise et SIRH : les pièges SAML et SCIM qui apparaissent en production

Publié le 2026-04-164 min de lectureFlorian

Le SSO est un cadeau empoisonné si mal implémenté

Le SSO rassure les acheteurs enterprise. Mais c'est aussi le moment où un SIRH peut introduire ses pires failles d'authentification.

Pour aller plus loin — lire notre spécialité cybersécurité HR tech.

Ce qui casse souvent

  • signature SAML non vérifiée ou vérifiée partiellement ;
  • attributs SAML utilisés comme identifiants sans validation ;
  • SCIM qui permet de créer des comptes sans vérifier le tenant ;
  • session partagée entre plusieurs entreprises si l'IdP est mal configuré.

    • Ce qu'un audit externe va regarder

    Les requêtes SAML rejouées, les attributs modifiés, et la capacité à se faire provisionner dans un tenant qui n'est pas le sien. Ces tests sont rapides et très révélateurs.

    Pour les éditeurs RH & Paie

    CleanIssue est spécialisé dans l'audit des logiciels RH, paie et recrutement. Si vous éditez un SIRH, un outil de paie ou un ATS en France et que vous voulez une revue externe de votre exposition avant un audit client ou une revue sécurité, voyez notre offre dédiée aux éditeurs RH & Paie.

    Pour aller plus loin

    Voir la page HR Tech

    La synthèse CleanIssue pour les logiciels RH, paie et recrutement.

    Découvrir la Revue Externe

    Le format le plus rapide pour clarifier l'exposition réelle d'un produit RH.

    Articles liés

    Trois analyses proches pour continuer la lecture sur la meme surface de risque.

    authentificationJWT

    Authentification : JWT, OAuth, sessions, les failles qu'on voit le plus

    Les erreurs d'implémentation les plus fréquentes sur JWT, OAuth 2.0 et les sessions classiques, avec des exemples concrets et les corrections.

    2026-04-11 · 8 min de lecture
    HR TechDSN

    DSN et sécurité : les points faibles à relire sur un logiciel de paie

    Les angles morts fréquents autour des flux DSN : accès, journaux, environnements de test et données réutilisées hors de leur périmètre.

    2026-04-16 · 5 min de lecture
    HR Techmulti-tenant

    Multi-tenant SIRH : comment on vérifie qu'un client ne voit pas les données d'un autre

    Les erreurs d'isolation multi-tenant sont les plus chères dans un SIRH. Trois tests rapides à faire avant une revue client.

    2026-04-16 · 4 min de lecture

    Sources

    Rédigé par Florian
    Revu le 2026-04-16

    Analyse éditoriale fondée sur la documentation officielle des éditeurs, projets et autorités concernées.

    Services associés

    Si ce sujet reflète un risque concret sur votre stack, voici les audits CleanIssue les plus pertinents.

    Revue Externe

    Obtenir rapidement une lecture claire de l'exposition réelle de votre produit.

    Audit Complet

    Documenter toutes les failles prioritaires et obtenir un vrai plan de remédiation.

    Besoin d'une revue externe de votre SaaS RH ?

    Expliquez votre produit, votre stack et votre contexte client. Nous revenons vers vous avec le bon niveau de revue.

    Parler de votre audit