Régulièrement le petit monde de la sécurité s’emballe pour de nouvelles solutions techniques. Certaines font des cartons ; certaines font des flops. Même si le sujet n’est pas nouveau, Gartner en parlait dès 2012, je sens un intérêt grandissant pour les Cloud Access Security Brokers. La raison : l’utilisation de plus en plus massive des applications cloud dans les entreprises. Quels sont les besoins en sécurité adressés par ces technologies et quels sont les cas d’usage ?
Définition du CASB
Pour reprendre la définition de Gartner, les Cloud Access Security Brokers (CASBs) sont des points de concentration, déployés dans l’entreprise ou dans le cloud, placés entre les utilisateurs et les services du cloud qu’ils utilisent pour appliquer les politiques de sécurité de l’entreprise. Ces CASB doivent donc adresser (en théorie) des sujets aussi divers que l’authentification, l’autorisation d’accès, le SSO, la tokenisation, le chiffrement etc…
Les fonctions du CASB
Les CASBs peuvent répondre à 5 familles de problématiques :
- Visibilité des applications : les CASBs sont des plateformes capables de montrer par « qui » et « comment » sont utilisées les applications cloud. Sans avoir forcément besoin d’un SIEM, les CASBs proposent une vision globale de l’utilisation des applications cloud sous forme de tableaux de bord et peuvent également envoyer des alertes. Ces rapports permettent aux décideurs d’observer les tendances des usages internes et peuvent les aider à détecter des comportements déviants voire des menaces. Ce besoin de visibilité s’inscrit typiquement dans la lutte contre le shadow IT.
- Identité des utilisateurs : l’identité est un challenge clé pour les entreprises qui utilisent les applications cloud. Il n’est pas rare de voir des comptes spécifiques dédiés au cloud, ce qui pose un problème récurrent de gestion des comptes (création, suppression), des mots de passe... Un CASB a, dans ce cas, un rôle important car il peut fournir à toutes les applications cloud un seul système d’authentification en authentifiant les utilisateurs auprès des annuaires internes ou alors fait appel à un Cloud Identity Provider tiers.
- Contrôle d’accès aux applications : la brique de contrôle d’accès permet de définir qui a accès à telle ou telle application Cloud, sous quelles conditions et dans quel contexte. Un CASB doit donc être capable de définir une politique par application ou par fonction propre à telle ou telle application. Ces politiques peuvent être basées sur :
- l’appartenance à un groupe
- un type d’équipement ou d’OS
- une localisation géographique
- Protection des données : lors de l’accès aux applications cloud, le CASB doit pouvoir protéger l’entreprise contre toute fuite de données sensibles en identifiant et catégorisant les données. Le CASB doit ensuite permettre aux administrateurs de créer les politiques de sécurité adaptées en fonction de la sensibilité / risque des données. On rejoint ici les fonctionnalités d’un DLP, mais limité aux applications cloud.
- Chiffrement des données : pour stocker des informations confidentielles dans le cloud, rien de mieux que de les chiffrer.
C’est une des premières applications des CASBs et peut être la plus connue, mais aussi l’un des plus complexes. En effet, vouloir chiffrer les données à stocker dans le cloud nécessite de distinguer les données les plus sensibles qui ont besoin d’un chiffrement des données pouvant être stockées en clair. L’aspect sécurité rejoint ici l’aspect métier ce qui n’est pas le moindre des challenges. En plus de la gestion des clefs, stocker des données chiffrées dans le cloud va poser une question majeure : celle de la recherche full text des informations. Le CASBs devra être capable de se substituer pour tout ou partie aux fonctions de recherche des applications cloud.
Les architectures proposées
Ces fonctions semblent séduisantes, mais quel type d’architecture va adresser tous ces besoins ? A mon sens, une solution complète devrait proposer 4 types de déploiements :
- cloud : intéressant pour tester certaines fonctionnalités, faire de la découverte ou de l’analyse de logs, de l’identité et de la gestion des accès, mais moins adapté selon moi au chiffrement des données ;
- à l’accès : placé en coupure du flux internet avant sa sortie, le CASB prend tout son sens lors des opérations de chiffrement ou de protection des données, mais également pour la gestion des identités ;
- sur le poste de travail : protéger les informations dans le cloud, c’est bien mais avoir la capacité à le faire aussi sur le poste de travail, c’est mieux ! En effet tout fichier téléchargé sur un device depuis le cloud et non sécurisé ensuite sur le terminal peut être source de fuite de donnée pour l’entreprise. La capacité à contrôler la donnée au niveau du poste de travail quel qu’il soit est indispensable !
- sur le réseau : le contrôle des accès ne suffit malheureusement pas et installer un CASB sur le réseau peut être le seul moyen d’identifier des points de sortie non autorisés : accès wifi non sécurisé, accès Internet non officiels etc…
Protéger les données dans le cloud
Certains acteurs peuvent avoir une définition différente du CASB, car il n’existe pas encore de marché réellement structuré. De même, les éditeurs ont tendance à mettre en avant des fonctions spécifiques en fonction de leur expertise (parfois parce qu’ils ne disposent pas des fonctions citées dans cet article !).
Selon moi, les CASBs pourraient devenir rapidement des solutions essentielles pour les entreprises par leur capacité à répondre aux besoins de sécurité des différents métiers qui se tournent massivement vers les applications cloud.
Vous trouverez quantité de livres blancs chez les éditeurs, des études de cas, à vous de vous faire votre opinion sur la pertinence, ou pas, de ces solutions qui pourraient se généraliser dans les mois à venir.
Quelques noms d’éditeurs pour finir : Bitglass, Perspecsys, CipherCloud, Elastica, Adallom et bien d’autres encore. La liste n’est pas exclusive, que ceux que je n’ai pas cités m’en excusent.
Pour en savoir plus
Connectivité au cloud : quelles évolutions pour les entreprises d’ici 5 ans ?
[Etude] Comment les DSI leaders réussissent-elles leur transition vers le cloud ?
Après un passé de formateur, d’opérationnel IT, d’avant-vente technique et de responsable service client, j’ai rejoint l’équipe sécurité d’Orange Business en tant que chef de produit. Je suis très attaché à l’expérience utilisateur et à la simplicité d’administration des solutions que nous créons. Mes maîtres mots : partage du savoir, logique, pragmatisme et simplicité.