Qu'est-ce qu'un Cloud Access Security Broker (CASB) ?

L'évolution du CASB

Avant l'essor de l'informatique en nuage et des politiques BYOD, la sécurité d'entreprise existait dans le même modèle de "jardin clos" que pendant plus d'une décennie. Mais lorsque les services ont commencé à être créés et transférés vers le cloud, et que les employés ont commencé à utiliser ces services, avec ou sans la connaissance ou l'approbation préalable du service informatique, les entreprises ont commencé à chercher un moyen d'appliquer des politiques de sécurité cohérentes sur plusieurs clouds et de protéger à la fois les utilisateurs et les données de l'entreprise.

Le développement du CASB a permis aux professionnels de la sécurité d'entreprise d'avoir une visibilité sur le nuage, en particulier sur l'utilisation non autorisée des logiciels en tant que service (SaaS), ou Shadow IT (informatique de l'ombre). Les informations fournies par leur CASB ont choqué de nombreux responsables informatiques, qui ont rapidement découvert que l'utilisation du cloud dans leur entreprise était beaucoup plus profonde et omniprésente qu'ils ne l'avaient imaginé.

Si la lutte contre les menaces liées à l'informatique fantôme a été l'un des principaux cas d'utilisation, ce n'est pas la seule chose qui a conduit à l'adoption généralisée des CASB. À cette époque, de nombreuses entreprises transféraient leurs capacités de stockage de données des centres de données sur site vers le cloud. Les CASB, qui protègent à la fois le mouvement des données (en limitant des éléments tels que les privilèges d'accès et de partage) et le contenu des données (grâce au chiffrement), sont donc devenus encore plus essentiels.

Parallèlement à ces changements, le paysage des menaces s'est également modifié. Aujourd'hui, les logiciels malveillants sont plus répandus, le phishing est à la fois plus élégant et mieux ciblé, et de petites erreurs - par exemple, l'ouverture au public d'un seau AWS S3 - peuvent créer une faille de sécurité qui pourrait coûter des millions.

Étant donné que les mesures de sécurité des CASB comprennent des caractéristiques spécifiquement conçues pour répondre à ces problèmes, l'utilisation d'un CASB est désormais considérée comme un élément essentiel de la sécurité de l'entreprise.

Ce qu'offrent les CASB

De nombreuses fonctions de sécurité des CASB sont uniques par rapport à celles offertes par d'autres contrôles de sécurité tels que les pare-feu d'entreprise/d'application web et les passerelles web sécurisées:

• Gouvernance de l'informatique dématérialisée et évaluation des risques
• Data loss prevention
• Contrôle des fonctions natives des services en nuage, telles que la collaboration et le partage
• Prévention des menaces, souvent par l'analyse du comportement des utilisateurs et des entités (UEBA)
• Audit de configuration
• Détection des logiciels malveillants
• Cryptage des données et gestion des clés
• Intégration SSO et IAM
• Contrôle d'accès contextuel

Les quatre piliers du CASB

Depuis ses débuts en tant que réponse à l'informatique fantôme, le CASB s'est développé pour inclure des fonctionnalités qui peuvent être décrites en termes de quatre piliers :

1. Visibilité
   Les grandes entreprises peuvent avoir un nombre illimité d'employés accédant à de nombreuses applications dans de nombreux environnements en nuage différents. Lorsque l'utilisation du cloud échappe au contrôle du service informatique, les données de l'entreprise ne sont plus soumises aux politiques de gouvernance, de risque ou de conformité de l'entreprise. Pour protéger les utilisateurs, les données confidentielles et la propriété intellectuelle, une solution CASB offre une visibilité complète sur l'utilisation des applications en nuage, y compris les informations sur l'utilisateur telles que l'appareil et les données de localisation. L'analyse de la découverte du cloud fournit une évaluation des risques pour chaque service cloud utilisé, ce qui permet aux professionnels de la sécurité de l'entreprise de décider s'il faut continuer à autoriser l'accès ou s'il faut bloquer l'application. Ces informations sont également utiles pour définir des contrôles plus granulaires, tels que l'octroi de différents niveaux d'accès aux applications et aux données en fonction de l'appareil, de l'emplacement et de la fonction d'une personne.
2. Conformité
   Bien que les entreprises puissent externaliser l'ensemble de leurs systèmes et de leur stockage de données dans le nuage, elles restent responsables de la conformité aux réglementations régissant la confidentialité et la sécurité des données de l'entreprise. Les courtiers en sécurité d'accès au nuage peuvent aider à maintenir la conformité dans le nuage en répondant à un large éventail de réglementations de conformité telles que HIPAA, ainsi qu'à des exigences réglementaires telles que ISO 27001, PCI DSS, et bien d'autres. Une solution CASB peut déterminer les domaines présentant les risques les plus élevés en termes de conformité et indiquer à l'équipe de sécurité ce sur quoi elle doit se concentrer pour les résoudre.
3. Sécurité des données
   L'adoption de l'informatique dématérialisée a supprimé de nombreux obstacles à une collaboration efficace à distance. Cependant, si la circulation transparente des données peut être bénéfique, elle peut aussi avoir un coût énorme pour les entreprises soucieuses de protéger les informations sensibles et confidentielles. Si les solutions DLP sur site sont conçues pour protéger les données, leur capacité à le faire ne s'étend souvent pas aux services en nuage et ne s'inscrit pas dans un contexte de nuage. L'association d'un CASB et d'une solution DLP sophistiquée permet au service informatique de savoir quand un contenu sensible voyage vers ou depuis le nuage, au sein du nuage et de nuage à nuage. En déployant des fonctions de sécurité telles que data loss prevention, le contrôle de la collaboration, le contrôle d'accès, la gestion des droits de l'information, le cryptage et la tokenisation, les fuites de données de l'entreprise peuvent être minimisées.
4. Protection contre les menaces
   Que ce soit par négligence ou par malveillance, les employés et les tiers disposant d'informations d'identification volées peuvent fuir ou voler des données sensibles à partir de services en nuage. Pour repérer les comportements anormaux des utilisateurs, les CASB peuvent compiler une vue d'ensemble des schémas d'utilisation réguliers et s'en servir comme base de comparaison. Grâce à la technologie UEBA basée sur l'apprentissage automatique, les CASB peuvent détecter les menaces et y remédier dès que quelqu'un tente de voler des données ou d'obtenir un accès inapproprié. Pour se protéger contre les menaces provenant des services en nuage, le CASB peut utiliser des capacités telles que le contrôle d'accès adaptatif, l'analyse statique et dynamique des logiciels malveillants, l'analyse par ordre de priorité et l'intelligence des menaces pour bloquer les logiciels malveillants.

Pourquoi ai-je besoin d'un CASB ?

Comme les services qui étaient auparavant offerts sur place continuent de migrer vers le nuage, il est essentiel de maintenir la visibilité et le contrôle dans ces environnements pour répondre aux exigences de conformité, protéger votre entreprise contre les attaques et permettre à vos employés d'utiliser les services en nuage en toute sécurité sans introduire de risque supplémentaire élevé pour votre entreprise.

Mais si l'utilisation d'un CASB est cruciale pour les entreprises qui souhaitent sécuriser l'utilisation du cloud dans leur entreprise, ce n'est qu'une partie de la stratégie de sécurité globale que les entreprises devraient utiliser pour assurer la défense de l'appareil au cloud. Pour un plan de protection complet, les entreprises devraient également envisager d'étendre les capacités de leur CASB en déployant une solution secure web gateway (SWG) pour aider à protéger l'utilisation d'Internet et une solution device data loss prevention (DLP) pour aider à protéger la propriété intellectuelle et les données sensibles de l'entreprise à travers le réseau.

Comment fonctionne un CASB ?

Le rôle de cloud access security broker est de fournir une visibilité et un contrôle sur les données et les menaces dans le nuage afin de répondre aux exigences de sécurité de l'entreprise. Pour ce faire, il faut suivre un processus en trois étapes :

1. Découverte : La solution CASB utilise la découverte automatique pour compiler une liste de tous les services de nuage tiers, ainsi que des personnes qui les utilisent.
2. Classification : Une fois l'étendue de l'utilisation du nuage révélée, le CASB détermine le niveau de risque associé à chaque application en déterminant sa nature, le type de données qu'elle contient et la manière dont elles sont partagées.
3. Remédiation : Une fois le risque relatif de chaque application connu, le CASB peut utiliser ces informations pour définir une politique d'accès aux données et aux utilisateurs de l'organisation afin de répondre à ses exigences de sécurité, et prendre automatiquement des mesures en cas de violation.

Les CASB offrent également des couches de protection supplémentaires grâce à la prévention des logiciels malveillants et au cryptage des données.

Comment déployer un CASB ?

La simplicité est l'un des principaux arguments de vente de la technologie CASB. Outre la facilité d'utilisation, l'un des principaux avantages du CASB est sa facilité de déploiement. Cependant, il y a certains éléments à prendre en compte :

Lieu de déploiement
Un CASB peut être déployé sur site ou dans le nuage. Actuellement, la version SaaS est la plus populaire et la majorité des déploiements de CASB sont basés sur SaaS.

Modèle de déploiement
Il existe trois modèles de déploiement CASB différents : API-Control, Reverse Proxy et Forward Proxy.

• API Control : Offre une visibilité sur les données et les menaces dans le nuage, ainsi qu'un déploiement plus rapide et une couverture complète.
• Proxy inversé : Idéal pour les appareils généralement hors de portée de la sécurité du réseau.
• Proxy de transfert : Fonctionne généralement en conjonction avec des clients VPN ou une protection des points finaux.

Les déploiements de proxy sont souvent utilisés pour mettre en œuvre des contrôles en ligne en temps réel et se conformer aux exigences en matière de résidence des données.

Gartner suggère aux entreprises de considérer les produits CASB qui offrent une variété d'options d'architecture pour couvrir tous les scénarios d'accès au nuage. La flexibilité offerte par un CASB multimode permet aux entreprises d'étendre la sécurité de leur cloud au fur et à mesure de l'évolution de leurs besoins.

Trois éléments à prendre en compte pour choisir un CASB

1. Est-ce une bonne solution ? Avant de choisir un CASB, les entreprises doivent identifier leurs propres cas d'utilisation et rechercher spécifiquement la solution qui répond le mieux à leurs objectifs. Pour s'assurer de la bonne adéquation de la solution, les entreprises doivent réaliser des POC détaillés, compiler des recherches auprès d'analystes en cybersécurité ou effectuer des appels de référence approfondis auprès d'autres entreprises de taille similaire et ayant des besoins similaires.
2. Se développera-t-il et évoluera-t-il en fonction de vos besoins ? L'utilisation de l'informatique dématérialisée par les entreprises ne cesse de croître, et le paysage des menaces évolue lui aussi. En vous associant au bon fournisseur de CASB, vous serez en mesure de maintenir à jour vos politiques de conformité et de sécurité du cloud, et vous aurez généralement accès à de nouvelles capacités plus rapidement.
3. Protège-t-il l'IaaS ? La protection du SaaS est évidemment importante, mais pour une sécurité d'entreprise complète, les environnements IaaS doivent également être protégés. Pour les entreprises qui ont besoin de cette capacité, le CASB doit non seulement protéger l'activité et les configurations dans l'IaaS, mais aussi défendre leurs clients grâce à la protection contre les menaces, à la surveillance de l'activité et aux contrôles DLP.