Qu'est-ce qu'un CASB ?

Les Cloud Access Security Broker renforcent la visibilité, la sécurité des données avec Data Loss Prevention (DLP) et la protection contre les menaces pour vous permettre d'utiliser les apps cloud en toute sécurité.

Le cloud permet aux entreprises de devenir à la fois plus flexibles, plus collaboratives et plus rentables. Cependant, aussi avantageux que soit le cloud, il représente également des défis en matière de sécurité.

Comment obtenir plus de visibilité sur les apps cloud utilisées tout en s'assurant qu'elles ne sont pas dangereuses ? Comment vérifier que les documents sensibles ne sont pas partagés de façon inappropriée ? Comment respecter les réglementations de conformité essentielles ? Comment protéger son entreprise contre les activités malveillantes ? Les Cloud Access Security Broker (CASB) solutionnent toutes ces questions pour vous permettre de tirer parti du cloud en toute sécurité.

Cloud Access Security Broker (CASB)

Une nouvelle solution pour la sécurité dans le cloud

Un Cloud Access Security Broker (CASB) est un outil logiciel ou un service se situant entre l'infrastructure sur site ou distante d'une entreprise et l'infrastructure d'un fournisseur de cloud. Il joue le rôle de médiateur examinant le trafic cloud et élargissant la portée de leurs politiques de sécurité. Pour ce faire, il s'interpose entre les utilisateurs finaux, qu'ils utilisent des ordinateurs de bureau sur le réseau d'entreprise, des appareils mobiles, ou des réseaux inconnus pour travailler à distance, ou bien tire parti de la puissance de l'API propre du fournisseur de cloud.

Le CASB aide l'équipe de sécurité informatique à :

  • identifier et évaluer l'ensemble des apps cloud utilisées (Shadow IT) ;
  • appliquer des politiques de gestion des apps cloud sur les proxys web ou pare-feu existants ;
  • élaborer et appliquer des politiques granulaires pour le traitement des informations sensibles, notamment les données liées à la conformité ;
  • chiffrer ou « tokéniser » le contenu sensible pour veiller à la confidentialité ;
  • détecter et bloquer les comptes aux comportements suspects qui peuvent être le signe d'une activité malveillante ;
  • intégrer la visibilité et la maîtrise du cloud dans vos solutions de sécurité existantes.

Modèles de services cloud

Un CASB examine trois types d'apps cloud

IaaS : Infrastructure as a Service

Exemples : AWS et Azure. Le fournisseur IaaS héberge du matériel, des logiciels, des serveurs, des données et d'autres éléments d'infrastructure qui permettent aux entreprises de déployer leurs propres apps et données dans le cloud.

SaaS : Software as a Service

Exemples : Microsoft Office 365, Google G Suite, Box, Dropbox et bien d'autres. Le fournisseur SaaS héberge les apps logicielles et les met à disposition par le biais d'un abonnement sur Internet. Le modèle SaaS est particulièrement populaire pour les apps d'entreprise telles que la messagerie instantanée, les messages électroniques, le partage de fichiers, la gestion de la relation client, la gestion des ressources humaines et bien plus encore.

PaaS : Platform as a Service

Le modèle PaaS offre un environnement matériel et logiciel qui permet d'héberger des apps et des données. Les services PaaS peuvent inclure l'intégration de services web, l'élaboration de solutions de développement ou encore l'intégration de bases de données, tout en assurant la sécurité des informations. Les environnements PaaS comprennent des fournisseurs tels qu'AWS, Azure, Google, IBM, Salesforce.com et Red Hat.

Pourquoi utiliser un CASB ?

Identification des apps cloud et évaluation des risques associés

La plupart des directeurs des systèmes d'information pensent que leur réseau comporte entre 30 et 40 apps cloud, alors qu'en moyenne, le nombre réel est de plus de 1 000. Ils doivent être en mesure d'identifier ces apps, de les évaluer en fonction de leur risque de sécurité et de sélectionner celles qui sont conformes à la tolérance au risque de l'entreprise. Pour en savoir plus, consultez le Guide des pratiques d'excellence en matière de découverte du Shadow IT.

Classification des données

Les responsables de la conformité ont besoin de savoir quels types de données de conformité (données à caractère personnel, PCI, données de santé, GDPR, etc.) sont stockés et partagés dans le cloud, ainsi que si ces données sont exposées et vulnérables. D'autres types de données tels que les documents juridiques, les schémas d'ingénierie, le code source et autres œuvres de propriété intellectuelle doivent également être identifiés et protégés.

Identification des expositions de données

Les administrateurs en charge de la sécurité et les responsables de la conformité doivent identifier les règles régissant l'exposition des données par classification afin de contrôler le partage accidentel dans le cloud, que ce soit par inadvertance suite à une erreur de l'utilisateur, en raison d'une utilisation malveillante ou d'une activité de piratage.

Intégration des solutions DLP sur site au cloud

Les entreprises informatiques qui utilisent des solutions DLP sur site ont souvent besoin d'intégrer ces solutions au cloud sans accroc afin de créer des dictionnaires, des politiques et des workflows homogènes et d'harmoniser la création de rapports.

Identification des utilisateurs à risque

Les directeurs des systèmes d'information, les directeurs de la sécurité informatique et les responsables de la confidentialité des données ont souvent besoin d'identifier les comportements utilisateur à risque, y compris mais sans s'y limiter, le partage inapproprié d'informations sensibles, l'exfiltration de données, la destruction de données ou l'utilisation d'apps cloud non sécurisées. Ils doivent réagir rapidement en cas d'incident, découvrir l'impact et l'étendue de la compromission des informations d'authentification, des infections de malware, des attaques par force brute ou d'autres problèmes, et automatiser les mesures de sécurité, dans la mesure du possible.

Mise en place d'un programme de gouvernance de l'accès au cloud

Les entreprises doivent protéger leur propriété intellectuelle, rester compétitives sur le marché et se conformer aux réglementations. Pour ce faire, elles doivent appliquer des contrôles DLP, de sécurité des données, de chiffrement et d'accès à leurs ressources SaaS, PaaS et IaaS, et éventuellement créer un Centre d'excellence cloud (CCOE).

Contrôle de la conformité et de la confidentialité des données

Les responsables de la conformité ont parfois besoin de surveiller en permanence la façon dont les données sont consultées et partagées par l'entreprise et les différents services afin de s'assurer que les exigences de conformité sont respectées.

Surveillance de l'utilisation du cloud et détection des menaces

Les responsables de la sécurité doivent continuellement surveiller l'utilisation des données afin de détecter toute violation de politique, toute fuite de données, toute attaque de malware ou tout accès à des sites web non autorisés susceptibles de poser un risque pour les comptes et les données cloud.

Intervention après incident

Si des comptes cloud sont compromis, si des fichiers sont infectés par un malware ou si des données issues de comptes cloud sont mal gérées, les services informatiques doivent être en mesure de mener une investigation après l'événement et de générer un journal d'audit dans lequel figure la liste des documents déplacés, l'emplacement vers lequel ils ont été déplacés, ainsi que les informations d'authentification utilisées.

Déploiement d'un CASB

Pour être efficaces, les solutions CASB doivent couvrir un large éventail de situations : documentation des apps approuvées et non approuvées, notation de risque pour les apps et les utilisateurs, et suivi des comptes professionnels et personnels lorsqu'ils accèdent à des apps approuvées, ordinateurs et appareils mobiles, qu'ils soient gérés ou non. Pour protéger le flux d'informations selon le contenu, un CASB peut ajouter une authentification et un chiffrement au trafic en provenance et à destination du cloud. Pour répondre à tous ces cas de figure, une solution CASB complète utilise les éléments suivants :

API

Les principales apps cloud proposent souvent des API efficaces que le CASB utilise pour surveiller les activités, analyser le contenu et modifier les paramètres selon les besoins.

Passerelles

Les passerelles CASB servent d'intermédiaires entre les utilisateurs et leurs apps cloud, offrent des informations précieuses sur les activités menées dans le cloud et facilitent l'application de politiques en temps réel.

Fichiers journaux

Le CASB peut importer des données de journal à partir de pare-feu, de passerelles web sécurisées ou de WAF pour analyser le trafic et protéger les informations.

Agents

Les agents Endpoint aident à gérer les activités cloud menées par les utilisateurs en BYOD et à appliquer des politiques pour les CASB.

Qu'est-ce qu'un CASB 2.0 ?

Sécurisez l'ensemble de votre entreprise

Le cloud fait partie intégrante de l'infrastructure de votre entreprise. Bénéficiez d'une solution adaptée à vos besoins de sécurité dans le cloud avec un CASB qui s'intègre à tous vos protocoles de sécurité.

CASB 2.0 : un besoin émergent

Afin de protéger efficacement vos apps et vos données cloud, peu importe l'utilisateur, l'emplacement ou l'appareil d'accès, votre CASB doit être parfaitement intégré à votre infrastructure de sécurité de base, notamment vos processus de DLP, de gestion des terminaux, de sécurité web, de chiffrement, d'authentification des utilisateurs et de protection avancée contre les menaces. Vous devez tirer parti de toutes vos ressources de sécurité et de tous vos investissements pour bénéficier d'une sécurité optimale dans le cloud. Les CASB 2.0 visent à intégrer intelligemment les fonctionnalités des CASB 1.0 à vos technologies de sécurité essentielles afin de protéger efficacement l'ensemble de vos activités cloud.

Exigences des CASB 2.0

Pour offrir une efficacité optimale, une solution CASB 2.0 complète doit être étroitement intégrée à votre entreprise. Une telle solution doit prendre en charge :

  • Le partage d'informations essentielles d'un système à l'autre par le biais d'API natives
  • L'application de politiques homogènes sur l'ensemble du cloud et des autres canaux
  • L'intégration d'interfaces utilisateur conçues pour enrichir les consoles de gestion associées à divers rôles
  • La réduction de la complexité de déploiement liée aux solutions de sécurité multiples

Identifier le Shadow IT ne suffit pas : il faut le contrôler

De nombreuses entreprises ont besoin de mettre en place une passerelle web sécurisée et un CASB, sous une forme ou une autre. Plusieurs questions pragmatiques doivent être prises en compte lorsque ces deux solutions sont déployées. Comment acheminer le trafic au bon endroit ? Combien d'authentifications utilisateur sont-elles nécessaires ? Comment assurer le partage des informations entre la passerelle web sécurisée et le CASB ? Quelles mesures faut-il prendre pour contrôler l'utilisation des apps cloud à haut risque ?

Avec un CASB 2.0, la passerelle web sécurisée et le CASB sont parfaitement intégrés pour offrir une efficacité optimale.

  1. Optimisez votre passerelle web sécurisée en tirant parti de l'abondance d'informations sur les apps cloud offerte par les CASB
  2. Contrôlez de façon dynamique l'utilisation d'apps cloud non approuvées en fonction de leurs attributs de risque avec la passerelle web sécurisée
  3. Simplifiez le déploiement d'une solution combinant un CASB et une passerelle web sécurisée en bénéficiant d'une authentification unifiée, d'un partage automatisé des journaux et d'une intégration aux interfaces utilisateur

Éliminez les silos dans vos solutions DLP

Il existe de nombreuses façons de partager du contenu, notamment des données confidentielles, au sein de l'entreprise. Le partage de fichiers dans le cloud, les messages électroniques (dans le cloud et sur site), ainsi que les serveurs ou dossiers partagés font partie des méthodes les plus couramment utilisées. Avec un CASB 2.0, vous avez la possibilité d'intégrer vos solutions DLP de façon homogène sur l'ensemble des canaux présentant un risque de perte de données, que ce soit dans le cloud ou sur site, de façon à optimiser l'étendue de votre DLP et à simplifier vos opérations.

  1. Déployez des politiques DLP cohérentes sur site et dans le cloud
  2. Optimisez vos performances en inspectant vos données dans le cloud et sur site
  3. Renforcez votre DLP grâce aux informations contextuelles et aux contrôles offerts par le CASB
  4. Gérez l'ensemble de vos protocoles DLP associés à vos comptes cloud, vos terminaux, votre réseau et vos centres de données à partir d'une console centrale

Gestion de bout en bout des accès aux informations

Une approche de la gestion des droits numériques, du chiffrement et de la tokénisation basée sur le CASB 2.0 permet d'intégrer intelligemment le chiffrement de bout en bout au CASB, au DLP et à l'authentification utilisateur pour protéger les données partout où elles vont, notamment lorsqu'elles transitent par les apps cloud ou qu'elles s'y arrêtent.

  1. Des données sensibles automatiquement chiffrées et qui restent chiffrées partout où elles vont pour une sécurité sans compromis
  2. L'accès au contenu peut être retiré à tout moment grâce au balisage des fichiers chiffrés et à l'obligation de s'authentifier pour consulter les fichiers. Ainsi, l'entreprise peut à tout moment décider de détruire numériquement ces fichiers en retirant l'accès utilisateur depuis une console de gestion centrale.
  3. Une solution de chiffrement unique multiplateforme qui applique efficacement des politiques homogènes sur plusieurs apps cloud et systèmes sur site.

Protection avancée contre les menaces

Les malwares, et notamment les malwares avancés, affectent vos fichiers et vos systèmes à la fois au sein de votre réseau et dans vos comptes cloud. Du contenu pénètre les apps cloud par le biais d'interactions cloud-to-cloud, via des transactions sur site ou d'un terminal au cloud, ou encore par synchronisation et partage d'environnements informatiques. Il peut également être créé nativement dans les apps cloud afin d'échapper aux protocoles de protection classiques qui ont été mis en place.

Une solution CASB 2.0 tire parti des protections anti-malware et des solutions ATP les plus performantes pour protéger l'ensemble des ressources hébergées dans le cloud.

  1. Tirez parti des informations sur les menaces globales pour analyser le contenu cloud, les URL et les apps cloud
  2. Bloquez et éliminez les fichiers malveillants à l'aide de moteurs d'analyse antivirus pensés pour l'entreprise et de données de réputation des fichiers
  3. Détectez les menaces Zero Day grâce au sandboxing et à l'émulation de fichiers intégrés aux protocoles ATP

Une authentification utilisateur au-delà du simple SSO

L'utilisation d'un CASB 2.0 permet une intégration plus poussée. Au lieu de partager les informations dans une seule direction (SSO vers CASB), les solutions CASB 2.0 tirent parti d'un partage bidirectionnel des informations, de sorte que les informations du CASB puissent être exploitées par les solutions d'authentification utilisateur. Ainsi, les entreprises peuvent à tout moment contrôler et valider les accès des utilisateurs aux ressources cloud si l'utilisateur effectue des activités à haut risque. En utilisant une solution complète, les entreprises sont en mesure de définir des politiques granulaires basées sur un large éventail d'attributs de transaction, ce qui permet au système intégré de renforcer les exigences d'authentification lorsque les utilisateurs effectuent des transactions à haut risque ou accèdent à des données particulièrement sensibles.

Une protection assurée du terminal jusqu'au cloud

Les solutions pour terminaux offrent des informations sur les activités des utilisateurs dont les CASB peuvent tirer parti. Les solutions CASB 2.0 apportent une valeur ajoutée en offrant une intégration renforcée aux solutions de sécurité pour terminaux existantes.

  1. Un agent de protection des terminaux intégré au CASB permet de simplifier la gestion des terminaux et d'augmenter le nombre d'appareils protégés par le CASB
  2. Améliorez la surveillance du Shadow IT grâce à la télémétrie intégrée des agents de protection des terminaux existants jusqu'à votre CASB
  3. Ajoutez des protocoles de contrôle supplémentaires au niveau des terminaux pour appliquer les politiques CASB relatives à l'utilisation des apps cloud

Conformité et confidentialité des données

Les CASB doivent contribuer à la confidentialité des données et à la conformité aux réglementations et aux normes, tout en surveillant l'utilisation du cloud et en identifiant les risques associés à certains services cloud.

Quelles sont les questions de conformité que l'entreprise doit prendre en compte ?

Informations d'identification personnelle (PII)

Les informations de base telles que les noms, les adresses et les numéros de téléphone des clients sont soumises à diverses réglementations liées à la confidentialité des données, comme le Règlement général sur la protection des données (GDPR) de l'Union européenne.

Informations médicales personnelles (PHI)

Les données des patients et les données médicales font l'objet d'innombrables réglementations. Récemment, des rapports sur la cybercriminalité ont montré que ce type de données constitue une cible de choix pour les pirates informatiques, les dossiers étant revendus à plus de 300 $ chacun sur le marché noir. Diverses réglementations, telles que les lois HIPAA et HITECH aux États-Unis ainsi que leurs équivalents dans le reste du monde, fournissent aux entreprises des directives spécifiques sur la manière dont les données sensibles doivent être traitées en toutes circonstances.

Coordonnées bancaires ou données financières personnelles

Les exigences de conformité telles que la norme PCI DSS ou la loi Gramm-Leach-Bliley imposent aux institutions financières, ainsi qu'aux entreprises qui stockent et traitent des données de carte bancaire, d'assurer la sécurité et la confidentialité des données financières de leurs clients, qu'elles soient conservées sur site ou dans le cloud.

Règlement général sur la protection des données (GDPR)

Le Règlement général sur la protection des données de l'Union européenne a des implications importantes pour les entreprises qui utilisent des apps cloud. Les dispositions du GDPR concernent l'emplacement, l'accès, la protection, le traitement, la sécurité et le chiffrement des données personnelles. Les entreprises sont tenues de surveiller et de contrôler les apps et les services cloud vers lesquels les employés sont susceptibles d'envoyer des données personnelles appartenant à des résidents de l'Union européenne. De plus, les données personnelles stockées dans ces apps et services cloud doivent être surveillées de près et protégées. Ces obligations de conformité s'appliquent à toute entreprise, quel que soit son lieu d'implantation, dès lors qu'elle traite des données à caractère personnel relatives à des résidents de l'UE.

Autres types de données réglementées

De nombreux autres secteurs possèdent des normes de conformité qui leur sont propres. Les établissements d'enseignement américains doivent se conformer aux principes énoncés dans la loi américaine FERPA (Family Educational Rights and Privacy Act). Les fabricants américains de produits liés à la défense doivent respecter les mesures de sécurité des données définies dans la réglementation ITAR (International Traffic in Arms Regulations). Toujours aux États-Unis, les organismes et les représentants de la loi qui traitent des données telles que des empreintes digitales et des données biométriques doivent se conformer aux principes énoncés par le département de sécurité CJIS (Criminal Justice Information Services). Enfin, de nombreuses institutions établissent des principes de sécurité qui leur sont propres et que tous leurs services doivent respecter, tant sur site que dans le cloud.

Trois domaines où les CASB jouent un rôle essentiel

Compte tenu de la nature stricte des exigences de conformité et des pénalités en cas d'exposition de données sensibles, les entreprises et les organisations doivent s'assurer qu'elles répondent à des exigences spécifiques en ce qui concerne le cloud. Les solutions CASB jouent un rôle essentiel en facilitant la conformité aux normes et en permettant aux professionnels de la sécurité de s'assurer que :

  1. les apps et les services cloud bénéficient des certifications de sécurité adéquates,
  2. certains services cloud ne pourront pas accéder à certains types de données réglementées,
  3. les données réglementées stockées dans le cloud à titre légitime restent sécurisées, en accord avec les directives de conformité.

Passez à l'action !

Utilisez un CASB pour améliorer la conformité aux normes et la confidentialité des données

1. Assurez-vous que vos apps cloud sont conformes aux exigences de sécurité

Réalisez un audit portant sur l'ensemble des activités cloud au sein de votre entreprise. Tirez parti des informations du CASB sur les apps cloud approuvées et non approuvées (Shadow IT) pour contrôler la conformité de ces dernières aux obligations internes ou externes en matière de sécurité des données. Limitez l'accès aux apps cloud qui ne peuvent pas être rendues conformes.

2. Identifiez le contenu réglementé dans les apps cloud

Utiliser un CASB pour identifier et surveiller tout contenu réglementé susceptible d'être stocké ou partagé avec une app ou un service cloud par l'entreprise. Déterminez les types de données réglementées à autoriser (le cas échéant) dans le cloud. Définissez des exigences sur la façon dont ces données doivent être protégées.

3. Appliquez les politiques de sécurité adéquates pour protéger les données réglementées

Définissez et appliquez de manière centralisée les politiques de sécurité du CASB pour protéger les données réglementées et contrôler la façon dont elles sont stockées et traitées (ou interdites) dans les apps et services cloud, conformément aux réglementations de conformité pertinentes, telles que le GDPR, la loi HIPAA, la norme PCI DSS, etc.