Cloud Access Security Brokers (CASB) – Episode 1 : à la découverte du Shadow IT

Dans un précédent article j’expliquais que les CASBs ou Cloud Access Security Brokers permettront bientôt de passer de la découverte du Shadow IT au contrôle des Shadow Data. Pour y parvenir il faut réussir la première étape : découvrir l’ensemble des applicatifs cloud utilisés au sein de l’entreprise et établir une analyse de risque la plus objective possible. Je vous propose un décryptage de cette phase de découverte du Shadow IT et quelques points de négligence pour réussir cette phase d’audit.

Pourquoi le CASB apporte une visibilité supplémentaire ?

Comment obtenir une photographie la plus précise possible et la plus fiable de l’utilisation des applications cloud au sein de l’entreprise ? Vous me direz, et à juste raison, que vos proxies et next gen firewall savent déjà fournir une information sur le sujet car ils sont en coupure du flux internet. C’est exact, mais en partie seulement.

En effet la première promesse des CASBs est de fournir une base d’analyse beaucoup plus vaste que celle embarquée dans les pare feux ou les proxies. La richesse des CASBs est bien sûr dans le nombre d’applications connues mais aussi le nombre de paramètres analysés pour chaque application. Gartner évoque entre 40 et 100 critères pour 10 000 applications pour certains éditeurs ! C’est cette granularité qui permettra ensuite au CASB d’établir une analyse des risques associés à chaque application. Car s’il y a les applications auxquelles on pense en termes de risque et il y a celles auxquelles on pense moins, et le CASB les mettra en lumière. Par exemple parmi les applications les plus risquées en termes de fuite de données, on peut citer celles qui proposent des conversions de fichiers, avec parfois l’envoi dans sur Internet de documents ultra confidentiels. Que celui, ou celle, qui n’a jamais utilisé ces sites pour récupérer au format texte un PDF dont il ne retrouvait pas la source me jette la première pierre !

Réalisée en mode audit cette prestation peut être réalisée ponctuellement sans être trop onéreuse. Cependant pour une réelle efficacité il est recommandé de mener cette analyse régulièrement. De nouvelles applications cloud apparaissent tous les jours et le blocage d’une application préalablement utilisée peut faire émerger de nouveaux comportements.

Enfin elle est totalement transparente pour les utilisateurs, aucune modification n’intervenant dans les habitudes de travail ou la configuration des connexions réseau.

Découvrir le Shadow IT oui mais comment ?

Le principe de l’audit est très simple vous l’avez compris : on envoie le maximum de logs vers le CASB et celui-ci va en extraire la substantifique moelle pour générer le rapport et l’analyse de risque.

Les CASBs traitent bien évidemment les journaux aux formats standards (Syslog, texte brut, csv….). Ils connaissent également la plupart des formats spécifiques des équipements de sécurité les plus courants (proxies, firewalls) vous épargnant ainsi une étape de transformation des logs. Cela peut se révéler intéressant si les journaux à traiter ne présentent pas de données confidentielles car vous pourrez envoyer directement les logs au CASB.

En revanche, si les journaux contiennent des données personnelles, vous ne pourrez pas vous affranchir de les anonymizer avant traitement par le CASB. En effet 9 fois sur 10 vous devrez envoyer les données issues des journaux dans le cloud de l’éditeur : les CASBs mode appliance sont rares sur le marché ! Or même si les CASBs proposent une fonction d’anonymisation à la volée (lors du transfert) il reste préférable de réaliser cette opération avant que les données sensibles quittent l’entreprise.

Cette phase d’anonymisation sera donc en général réalisée avec une appliance virtuelle à installer sur site client. Cette appliance servira à collecter les logs des différents équipements et à les préparer pour le traitement par le CASB. Certains éditeurs proposant même une tokenisation des données sensibles pour assurer que les noms, emails, adresses IP internes par exemple ne quittent pas l’entreprise.

Une fois les logs retraités ils sont envoyés chez l’éditeur du CASB et sont processés pour fournir le rapport tant attendu, qu’il s’appelle « Cloud Confidence Index » chez Netskope, « Business Readiness Rating » pour Bluecoat - Elastica, « CloudTrust Rating » chez Skyhigh (liste non limitative).

L’analyse du rapport d’audit permettra d’établir quelles applications bloquer ou autoriser en fonctions de critères fournis par la solution mais dont la pondération peut être ajustée par l’administrateur.

Pas d’audit et de découverte du Shadow IT sans un retraitement approprié des logs

Je suis sûr qu’un audit réalisé par un CASB vous fournira une masse d’information importante sur les habitudes (bonnes ou mauvaises) de vos utilisateurs en matière d’application cloud. Gardez cependant à l’esprit qu’il n’y pas d’audit et de découverte du Shadow IT sans un retraitement approprié des logs.

De plus l’audit est une photographie à un instant T. Même si vous ne déployez pas un CASB à court terme prévoyez de mener cette étude régulièrement pour détecter des nouveaux usages et ajuster votre sécurité en conséquence.

Philippe

Pour aller plus loin

Cloud Access Security Brokers (CASB) : le nouvel eldorado de la sécurité ?
Pour tout savoir sur les tendances 2016 de la cyberdéfense en 120 secondes
Orange Cyberdefense protège vos essentiels
Exploitez tout le potentiel du Big Data et de l’Internet des objets

Philippe Macia

Après un passé de formateur, d’opérationnel IT, d’avant-vente technique et de responsable service client, j’ai rejoint l’équipe sécurité d’Orange Business en tant que chef de produit. Je suis très attaché à l’expérience utilisateur et à la simplicité d’administration des solutions que nous créons. Mes maîtres mots : partage du savoir, logique, pragmatisme et simplicité.