Accueil Cybersécurité Assises de la Sécurité – Le CASB, le chien de garde des...

Assises de la Sécurité – Le CASB, le chien de garde des accès aux services Cloud

Alors que le Cloud s’est imposé dans les entreprises françaises, les RSSI cherchent désormais à sécuriser les services déployés par les métiers. Les éditeurs de solutions de type CASB intéressent de plus en plus d’entreprises.

Les entreprises françaises auront mis le temps, mais elles basculent finalement dans le Cloud. Après avoir découvert le SaaS via des services tels que Salesforce.com, nombreuses sont celles à avoir basculé leur messagerie interne sur Google Apps ou, très souvent, sur l’offre Office 365. Si les gains fonctionnels sont significatifs pour les utilisateurs, les entreprises commencent à se rendre compte qu’elles ont perdu toute visibilité quant à ce que font leurs utilisateurs via des services qui offrent à la fois messagerie, espaces de stockages et outils collaboratifs. En parallèle, les utilisateurs et les métiers ont très largement pris de vitesse les DSI en utilisant de multiples services Cloud. Or cette montée du Cloud a fait apparaître le manque de contrôle criant des entreprises sur l’utilisation de ces services, parfois gratuits et à la sécurité toute relative. Le DSI et le RSSI sont bien incapables de dire si des fichiers confidentiels se retrouvent échangés sur le Yammer de l’entreprise, des services de partages de fichiers comme Box, Wetransfert, voire des réseaux sociaux grand public.

Repérer dans le trafic réseau les services Cloud utilisés par les collaborateurs

Pour répondre à ce besoin de visibilité pressant est apparue une nouvelle classe de solutions, les CASB (Cloud Access Security Brokers). Ces logiciels repèrent dans le trafic réseau les services Cloud utilisés par les collaborateurs de l’entreprise, que ce soient les services avec lesquels l’entreprise a un accord ou les services que les utilisateurs ont choisi eux-mêmes d’utiliser. « C’est une problématique qui arrive aujourd’hui en Europe car les déploiements dans le Cloud sont de plus en plus fréquents et notamment les très gros déploiements d’Office 365 et pour certains Google », explique André Stewart, responsable pour l’Europe de Netskope, « Quand on demande à un RSSI ou un DSI combien d’applications sont utilisées dans son entreprise, il répond 40, 50, 70 alors qu’en moyenne ce chiffre oscille entre 700 et 750. Ils n’ont pas de visibilité et c’est la première chose que nous leur offrons, c’est cette visibilité, la découverte des services Cloud qui sont effectivement utilisés par leurs collaborateurs. » La solution permet ainsi de dresser une liste des services Cloud effectivement utilisés par l’entreprise. Les fournisseurs de ce type de solution ont réalisé une notation de ces services en fonction de plusieurs dizaines de critères liés à la sécurité présentée par se service. Le RSSI peut définir un seuil en deçà duquel un service sera interdit d’accès aux collaborateurs de l’entreprise. Il est possible de bloquer mais aussi de manière moins coercitive : « Avec Skyhigh, nous pouvons bloquer mais on peut aussi adopter une approche plus pédagogique en affichant une « splash page » indiquant à l’utilisateur qu’il utilise un service non fourni par la DSI et proposer soit de continuer avec le service aux risques et périls de l’utilisateur, soit d’utiliser le service proposé par l’entreprise » explique Joël Mollo, directeur EMEA de Skyhigh Networks.

En outre, un CASB peut être couplée à une brique DLP (Cloud Data Loss Prevention) dont l’objet est de s’assurer que les fichiers dont le profil les identifie comme des fichiers confidentiels ou secrets ne puissent être stockés sur Google Drive, iCloud, Box, Dropbox. « La technologie DLP permet de cibler les données véritablement importantes, et le fingerprinting des documents permet de suivre certains documents et assurer une traçabilité » ajoute Samuel Najar. L’éditeur travaille désormais à intégrer la notion de tokenisation des données (remplacement des données sensibles par des tokens).

Les entreprises établissent un lien entre projet CASB et SSO

Si le CASB peut être vécu comme une contrainte, il est aussi l’occasion de mettre en œuvre une solution de SSO qui, elle, pourra être perçue comme un confort par les utilisateurs. Ce couplage SSO/CASB permet de mieux faire accepter le projet auprès d’une population adepte du Shadow IT. C’est le choix qu’a fait Etihad en couplant Skyhigh avec le SSO Okta. Certains vont plus loin et ajoutent une brique d’authentification forte à ce qui devient un vrai portail d’accès aux services Cloud. Gemalto propose son serveur OTP (On Time Password). « Nous proposons notre serveur avec les solutions de tokens les plus variés car il y a un grand nombre de cas d’usages possibles », explique Philippe Carrere, directeur commercial pour l’Europe du sud de Gemalto. « Les administrateurs recevront un token matériel, mais aujourd’hui la grande tendance est d’utiliser le smartphone en tant que token d’authentification. Enfin, les collaborateurs qui n’en disposent pas, notamment des opérateurs en usine, auront la possibilité d’utiliser un Grid Token, c’est-à-dire une petite grille avec des chiffres sur laquelle ils vont composer un code. » Enfin, avec SafeNet, Gemalto propose un système de gestion de clés qui permet de travailler dans une architecture hybride et gérer en interne des clés installées sur des machines virtuelles exécutées dans le Cloud public et chiffrer des données sur le Cloud indépendamment des solutions proposées par l’opérateur Cloud.

Skyhigh Shadow IT
Les fournisseurs de solutions CASB (Cloud Access Security Brokers) évaluent le niveau de sureté offert par les services Cloud du marché et permettent aux RSSI de choisir ceux qui seront autorisés ou interdits dans leur entreprise en fonction des critères qu’ils souhaitent privilégier.

Outre  des spécialistes comme Netskope, Skyhigh, Elastica, de nombreux acteurs se partagent se marché. Microsoft a réalisé l’acquisition d’Adallom en septembre, Palo Alto celle de CirroSecure, Blue Coat a pris le contrôle de Perspecsys tandis que les accords de partenariats se sont multipliés entre fournisseurs d’équipements de sécurité et éditeurs comme Zscaler avec Skyhigh, Cisco avec Elastica, HP avec Adallom, Deloitte avec Bitglass. Selon le Gartner, si elles ne sont que moins de 5 % à ce jour, 85 % des grandes entreprises disposeront d’un CASB dans leur infrastructure en 2020.

 

Comment Etihad sécurise ses services Cloud

Créée en 2003, Etihad s’est hissé à la 7e place du classement des compagnies aériennes grâce au déploiement rapide de ses lignes, avec 117 destinations, et à la prise de participation dans de nombreuses compagnies, notamment européennes. « Fin 2014, le DSI d’Etihad a pris la décision de lancer la transformation digitale de la compagnie et de repenser l’écosystème IT de l’entreprise pour aller vers le Cloud », explique Georges de Moura, Head of IS Risk and compliance d’Etihad. « Nous sommes une entreprise encore jeune et notre IT n’était pas très mature, nous avons constaté l’essor très important du Shadow IT qui nous exposait à la fois à un risque réglementaire, notamment vis-à-vis de la non-conformité en termes de données personnelles. En outre, il y avait un risque de propagation de malwares et d’APT via ces services Cloud et les médias sociaux. Nous avons souhaité faire un état des lieux et cartographier les usages Cloud. Nous avons déployé Skyhigh for Shadow IT, ce qui nous a permis de constater une utilisation très forte des services Cloud avec près de 1 000 services différents, dont beaucoup de services gratuits de type Dropbox ou  Google Drive. La première étape était de mitiger le risque de fuite de données présenté par ce type de services. »

A380_Etihad
Etihad

Le CISSP a alors exploité les profils de risque créés par Skyhigh pour couper l’accès aux services Cloud jugés les moins sécurisés. 150 services ont été ainsi interdits aux collaborateurs de la compagnie. Par exemple, ceux-ci ne pouvaient plus utiliser que Box et Sharefile pour s’échanger des fichiers volumineux. La solution de CASB Skyhigh a été interfacée avec le proxy Blue Coat afin que le blocage de tout nouveau service Cloud dont la sécurité est jugée insuffisante soit automatique. En outre, le responsable informatique a couplé son CASB avec la solution de Single Sign On Okta. « Nous devons gérer le risque, mais il était essentiel pour nous de contribuer à l’accélération de la transformation digitale de l’entreprise. Nous ne sommes pas là pour bloquer ou freiner cette transformation. Le SSO nous a permis d’apporter une valeur ajoutée en facilitant l’accès aux services Cloud à nos utilisateurs. »

 

Auteur : Alain Clapaud