22 septembre 2016
Le terme CASB signifie « Cloud Access Security Broker » et s’il n’est pas encore familier pour tout le monde, il devrait l’être bientôt !
Il s’agit d’une technologie de sécurité permettant d’appliquer des pratiques et des politiques de sécurité sur des services cloud.
Ce besoin accru de sécurité s’explique par le fait que les fournisseurs de services SaaS (Software as a Service) offrent une bonne réponse à la sécurité de leurs applications et de l’infrastructure réseau… mais cela n’empêche pas les utilisateurs finaux d’utiliser ces services de manière peu sécurisée ou d’en détourner les usages. Ceci est d’autant plus critique pour les entreprises, qui sont amenées à utiliser de plus en plus des services cloud sans forcément disposer des moyens nécessaires de visibilité et de contrôle sur l’activité réelle de leurs utilisateurs.
A titre d’exemple, Gartner estime que vers 2020, 95% des défaillances de sécurité cloud seront dues non pas aux fournisseurs de services mais aux clients. Un système CASB fournit donc une façon de réduire ces risques : voilà pourquoi Gartner prévoit également que 85% des grandes entreprises utiliseront un CASB en complément de leurs services cloud d’ici 2020, contre moins de 5% aujourd’hui.
Caractéristiques :
Visibilité : L’une des fonctions-clé d’un CASB est de donner aux administrateurs réseaux/systèmes une visibilité sur tous les usages du cloud dans une organisation. Cela implique des outils de découverte pour identifier du « Shadow IT », c’est-à-dire dans notre cas l’utilisation de services cloud non autorisés, ainsi que la capacité de contrôler les employés qui utilisent les services cloud (appartenance à un groupe, localisation géographique, etc.). Cette visibilité peut être présentée sous forme de tableaux de bord ou d’alertes ciblées pour les administrateurs.
Conformité : Les CASB imposent des contrôles sur l’utilisation des services cloud pour assurer la conformité avec des réglementations spécifiques ou des politiques internes. Ils peuvent également détecter l’utilisation de services cloud qui sont susceptibles d’entraîner une baisse de cette conformité.
Sécurité des données : Une autre caractéristique majeure d’un CASB est l’application de politiques de sécurité pour contrôler l’accès aux données sensibles, garantissant ainsi que les données soient chiffrées ou segmentées de manière appropriée, tout en permettant à l’application de continuer à fonctionner correctement. La plupart des CASB offrent également des fonctionnalités de DLP via par exemple le marquage des données sensibles empêchant le téléchargement ou la rédaction de ces données.
Protection contre les menaces : Cette fonctionnalité inclut la détection des anomalies et la protection contre les malwares, mais aussi plus généralement le contrôle des périphériques non autorisés et des utilisateurs accédant aux services cloud de l’entreprise.
Déploiement :
Logiquement, un CASB doit se situer entre l’utilisateur final et le service cloud. Physiquement, il doit être situé dans l’un des deux endroits : dans le cloud ou directement dans un Datacenter partenaire. Selon Gartner, l’option SaaS est la plus facile à gérer et est la plus populaire mais ce n’est pas le cas pour toutes les entreprises qui, pour des raisons de conformité, préfèrent le déployer sur site.
Fonctionnement :
Un CASB peut fonctionner de deux manières différentes : soit installé en tant que proxy (ou reverse proxy), soit en mode API en utilisant les API des fournisseurs de cloud pour contrôler l’accès aux services cloud et appliquer des politiques de sécurité.
De plus en plus, nous voyons l’apparition de « mode mixte » ou « multi-mode » qui utilisent à la fois le mode de fonctionnement avec proxy et API. En effet, chaque approche dispose d’avantages et d’inconvénients : le mode API est facile à déployer mais toutes les applications cloud ne fournissent pas forcément de l’API tandis que le mode proxy n’a pas besoin de configuration spéciale mais certaines applications cloud hard codées ne le supportent pas. Toujours selon Gartner, au cours des prochaines années, de nombreux fournisseurs de services cloud devraient développer leurs API de manière significative.
Il est intéressant de préciser que l’utilisation d’un seul CASB n’est pas une bonne pratique dans le sens où une application cloud prise en charge par un CASB ne sera pas forcément prise en charge de la même manière par un autre CASB.
Acquisitions :
CASB est une technologie jeune mais des acteurs majeurs de la sécurité s’y sont déjà intéressés.
C’est le cas de Palo Alto Networks qui a acheté en Mai 2015 CirroSecure. Ceci permet au constructeur d’offrir une sécurité supplémentaire pour les applications SaaS tels que Box, Dropbox, GitHub, Google Drive, Salesforce qu’il présente sous la forme d’Aperture.
De son côté, Blue Coat Systems a acheté Perspecsys en Juillet 2015 et Elastica en Novembre 2015.
En septembre 2015, Microsoft achète Adallom.
Plus récemment, en février 2016, FireEye est en partenariat avec CloudLock.
Cette liste n’est bien sûr pas exhaustive. Les acquisitions citées sont renseignées dans les liens de cet article.
Quelques liens :
https://www.paloaltonetworks.com/company/press/2015/palo-alto-networks-acquires-cirrosecure.html
https://www.bluecoat.com/blogs/2015-12-15/secure-path-cloud-blue-coat
http://investors.fireeye.com/releasedetail.cfm?releaseid=955585