Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Cloud Access Security Brokers (CASB) : le nouvel eldorado de la sécurité ?

Cloud Access Security Brokers (CASB) : le nouvel eldorado de la sécurité ?
2015-07-012015-07-01cloud computingfr
Il y a un intérêt grandissant pour les Cloud Access Security Brokers. La raison : l’utilisation de plus en plus massive des applications cloud dans les entreprises. Quels sont les besoins en sécurité adressés par ces technologies et quels sont les cas d’usage ?
Publié le 1 Juillet 2015 par Philippe Macia dans cloud computing
Cloud Access Security Brokers (CASB) : le nouvel eldorado de la sécurité ?

Régulièrement le petit monde de la sécurité s’emballe pour de nouvelles solutions techniques. Certaines font des cartons ; certaines font des flops. Même si le sujet n’est pas nouveau, Gartner en parlait dès 2012, je sens un intérêt grandissant pour les Cloud Access Security Brokers. La raison : l’utilisation de plus en plus massive des applications cloud dans les entreprises. Quels sont les besoins en sécurité adressés par ces technologies et quels sont les cas d’usage ?

Définition du CASB

Pour reprendre la définition de Gartner, les Cloud Access Security Brokers (CASBs) sont des points de concentration, déployés dans l’entreprise ou dans le cloud, placés entre les utilisateurs et les services du cloud qu’ils utilisent pour appliquer les politiques de sécurité de l’entreprise. Ces CASB doivent donc adresser (en théorie) des sujets aussi divers que l’authentification, l’autorisation d’accès, le SSO, la tokenisation, le chiffrement etc…

Les fonctions du CASB 

Les CASBs peuvent répondre à 5 familles de problématiques :

  1. Visibilité des applications : les CASBs sont des plateformes capables de montrer par « qui » et « comment » sont utilisées les applications cloud. Sans avoir forcément besoin d’un SIEM, les CASBs proposent une vision globale de l’utilisation des applications cloud sous forme de tableaux de bord et peuvent également envoyer des alertes. Ces rapports permettent aux décideurs d’observer les tendances des usages internes et peuvent les aider à détecter des comportements déviants voire des menaces. Ce besoin de visibilité s’inscrit typiquement dans la lutte contre le shadow IT.
     
  2. Identité des utilisateurs : l’identité est un challenge clé pour les entreprises qui utilisent les applications cloud. Il n’est pas rare de voir des comptes spécifiques dédiés au cloud, ce qui pose un problème récurrent de gestion des comptes (création, suppression), des mots de passe... Un CASB a, dans ce cas, un rôle important car il peut fournir à toutes les applications cloud un seul système d’authentification en authentifiant les utilisateurs auprès des annuaires internes ou alors fait appel à un Cloud Identity Provider tiers.
     
  3. Contrôle d’accès aux applications : la brique de contrôle d’accès permet de définir qui a accès à telle ou telle application Cloud, sous quelles conditions et dans quel contexte. Un CASB doit donc être capable de définir une politique par application ou par fonction propre à telle ou telle application. Ces politiques peuvent être basées sur :

    - l’appartenance à un groupe
    - un type d’équipement ou d’OS
    - une localisation géographique
     
  4. Protection des données : lors de l’accès aux applications cloud, le CASB doit pouvoir protéger l’entreprise contre toute fuite de données sensibles en identifiant et catégorisant les données. Le CASB doit ensuite permettre aux administrateurs de créer les politiques de sécurité adaptées en fonction de la sensibilité / risque des données. On rejoint ici les fonctionnalités d’un DLP, mais limité aux applications cloud.
     
  5. Chiffrement des données : pour stocker des informations confidentielles dans le cloud, rien de mieux que de les chiffrer.
    C’est une des premières applications des CASBs et peut être la plus connue, mais aussi l’un des plus complexes. En effet, vouloir chiffrer les données à stocker dans le cloud nécessite de distinguer les données les plus sensibles qui ont besoin d’un chiffrement des données pouvant être stockées en clair. L’aspect sécurité rejoint ici l’aspect métier ce qui n’est pas le moindre des challenges.
    En plus de la gestion des clefs, stocker des données chiffrées dans le cloud va poser une question majeure : celle de la recherche full text des informations. Le CASBs devra être capable de se substituer pour tout ou partie aux fonctions de recherche des applications cloud.

Les architectures proposées

Ces fonctions semblent séduisantes, mais quel type d’architecture va adresser tous ces besoins ? A mon sens, une solution complète devrait proposer 4 types de déploiements :

  • cloud : intéressant pour tester certaines fonctionnalités, faire de la découverte ou de l’analyse de logs, de l’identité et de la gestion des accès, mais moins adapté selon moi au chiffrement des données ;
  • à l’accès : placé en coupure du flux internet avant sa sortie, le CASB prend tout son sens lors des opérations de chiffrement ou de protection des données, mais également pour la gestion des identités ;
  • sur le poste de travail : protéger les informations dans le cloud, c’est bien mais avoir la capacité à le faire aussi sur le poste de travail, c’est mieux ! En effet tout fichier téléchargé sur un device depuis le cloud et non sécurisé ensuite sur le terminal peut être source de fuite de donnée pour l’entreprise. La capacité à contrôler la donnée au niveau du poste de travail quel qu’il soit est indispensable !
  • sur le réseau : le contrôle des accès ne suffit malheureusement pas et installer un CASB sur le réseau peut être le seul moyen d’identifier des points de sortie non autorisés : accès wifi non sécurisé, accès Internet non officiels etc…
     

Protéger les données dans le cloud

Certains acteurs peuvent avoir une définition différente du CASB, car il n’existe pas encore de marché réellement structuré. De même, les éditeurs ont tendance à mettre en avant des fonctions spécifiques en fonction de leur expertise (parfois parce qu’ils ne disposent pas des fonctions citées dans cet article !).

Selon moi, les CASBs pourraient devenir rapidement des solutions essentielles pour les entreprises par leur capacité à répondre aux besoins de sécurité des différents métiers qui se tournent massivement vers les applications cloud.

Vous trouverez quantité de livres blancs chez les éditeurs, des études de cas, à vous de vous faire votre opinion sur la pertinence, ou pas, de ces solutions qui pourraient se généraliser dans les mois à venir.

Quelques noms d’éditeurs pour finir : Bitglass, Perspecsys, CipherCloud, Elastica, Adallom et bien d’autres encore. La liste n’est pas exclusive, que ceux que je n’ai pas cités m’en excusent.

Philippe
 

Pour en savoir plus

Découvrez notre sélection de blogbooks sur la cybersécurité

 

3 Commentaires

  • 23 Novembre 2015
    2015-11-23
    par
    Gaël Kergot
    Excellent résumé. Merci pour cela.
  • 1 Septembre 2015
    2015-11-23
    par

    Depuis la parution de cet article il faut signaler le rachat de Perspecsys par Bluecoat au 30 juillet 2015 preuve que ce sujet intéresse les leaders du secteur!

  • 29 Juillet 2015
    2015-11-23
    par
    Sécurité informatique
    A propos de la protection de données, avant de protéger ce que l'on envoie dans le cloud, il faut protéger ce qui amène au cloud : votre ordinateur et votre connexion. Cela passe par l'installation d'un antivirus, d'un logiciel anti-malware et de respecter quelques bonnes pratiques

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage