CASB (Cloud Access Security Broker)

Chaque jour, vos collaborateurs accèdent à des applications en cloud – qu'il s'agisse de Microsoft Office 365, de Box ou de Google G Suite – à partir de tous types d'appareils, au bureau ou à distance.

Si votre entreprise cherche un moyen d'obtenir une meilleure visibilité et un meilleur contrôle de l'utilisation des applications et des données sensibles dans le cloud, envisagez d'évaluer une solution CASB (Cloud Access Security Broker).

Un CASB ou Cloud Access Security Broker est un intermédiaire entre les utilisateurs et les plateformes de cloud computing qui protège les données dans le cloud tout en répondant aux problèmes d'autorisation et de visibilité des entreprises qui utilisent les services de cloud computing.

Pensez au CASB comme à un point central où tous les contrôles d'accès et les règles d'autorisation sont validés par rapport aux politiques établies. Un CASB permet aux administrateurs de déployer et d'appliquer plus facilement les politiques de sécurité. Il aide les entreprises à élaborer des règles de sécurité lorsque leurs administrateurs ne sont pas familiarisés avec la manière dont la cybersécurité doit être assurée dans le cloud.

Comme l'explique Gartner, les CASB comblent les lacunes de sécurité associées aux services et aux platesformes en cloud de tiers qui ne sont pas sous votre contrôle, mais qui traitent et stockent vos données. Si les services en cloud offrent un certain niveau de sécurité, la sécurité du cloud est une responsabilité partagée. C'est à vous qu'il incombe de protéger vos utilisateurs, vos charges de travail et vos données.

La sécurité des applications en cloud est devenue un élément essentiel d'une défense globale de l'entreprise dans le monde actuel axé sur le cloud. Gartner estime que, d'ici 2022, 60 % des entreprises intégreront le CASB dans leur boîte à outils de sécurité, contre moins de 20 % aujourd'hui.

Le terme “CASB” a été inventé en 2012, lorsque l'idée d'utiliser un courtier en sécurité pour les ressources cloud est devenue une nécessité. En 2013, le premier fournisseur de CASB a été introduit sur le marché, mais l'introduction d'Office 365 est considérée comme le début de l'ère du CASB. Comme de plus en plus d'entreprises exploitent les applications en cloud, le besoin en CASB augmente.

Dans un environnement de cloud hybride, les données sont synchronisées entre le cloud et les ressources sur site. Il fournit des services de chiffrement afin que les données soient protégées contre l'écoute clandestine, et il assure la gestion des identités afin que seuls les utilisateurs autorisés puissent accéder aux ressources.

Ces utilisateurs peuvent partager des documents et des données avec d'autres utilisateurs, et les organisations peuvent obtenir une visibilité sur la façon dont les documents sont partagés et consultés. Elle offre également une protection contre les logiciels malveillants qui peuvent voler des données dans le cloud.

Lorsqu'une entreprise fournit des ressources en cloud, il y a toujours une connexion entre le réseau sur site et le cloud. Cette connexion doit être sécurisée, mais le point auquel les utilisateurs se connectent aux ressources du cloud doit également être sécurisé. Ainsi, pour que les travailleurs distants aient accès aux ressources de l'entreprise du bout des doigts, il faut une connexion et un point d'authentification sécurisés.

Les administrateurs mettent en place des politiques de sécurité qui protègent les données dans le cloud, mais c'est le CASB qui est chargé de faire respecter ces politiques. La première protection principale comprend la prévention des logiciels malveillants afin que les ransomwares et autres menaces persistantes avancées ne puissent pas accéder aux ressources internes et du cloud. La deuxième protection principale est le chiffrement, qui est utilisé pour sécuriser les données lorsqu'elles sont stockées sur un disque et qu'elles traversent le réseau.

La prévention des logiciels malveillants fonctionne en analysant les fichiers et en rejetant toute donnée suspecte qui pourrait être utilisée pour interrompre la productivité ou voler des données. Le chiffrement est une protection polyvalente. Toute donnée qui traverse le réseau est susceptible d'être écoutée, et le chiffrement la rend illisible si un attaquant intercepte vos informations sensibles. Il est également utilisé pour protéger les données stockées sur un appareil, ce qui permet de protéger vos informations sensibles contre le vol lorsqu'un utilisateur perd ses appareils professionnels.

Le processus d'un CASB se déroule en trois étapes :

• Découverte : Le CASB scanne et trouve les ressources provisionnées sur l'infrastructure en cloud de l'entreprise.
• Classification : Une fois que le CASB a découvert toutes les ressources en cloud, une valeur de risque est attribuée à chaque composant afin que les applications et les données puissent être classées et évaluées en fonction de leur importance.
• Remédiation : Une fois les données classées, l'organisation peut utiliser les désignations de classification pour appliquer les contrôles d'accès appropriés aux données et prendre les mesures nécessaires en cas de demandes non autorisées.

Les administrateurs déterminent les bonnes stratégies de sécurité, et un CASB aide à appliquer ces stratégies. Il fournit les défenses nécessaires pour protéger les données à l'aide de couches de sécurité.

Par exemple, si votre entreprise autorise les utilisateurs à se connecter aux ressources du cloud à l'aide de leurs propres appareils (smartphones et tablettes, par exemple), un CASB permettra aux administrateurs de surveiller les données et d'en contrôler l'accès sur de nombreux terminaux.

Un CASB gère plusieurs fonctions de sécurité courantes dans le cloud. Ces fonctions de sécurité protègent les données des pirates externes et internes ainsi que des logiciels malveillants. Le CASB peut être utilisé pour :

• Un service d'authentification unique (SSO) : Les utilisateurs peuvent s'authentifier à partir d'un seul endroit et obtenir l'accès à plusieurs systèmes avec un seul nom d'utilisateur et un seul mot de passe.
• Le chiffrement : Un CASB crypte les données au repos (sur les périphériques de stockage) et en transit (lorsqu'elles se déplacent sur le réseau) pour éviter les écoutes et les attaques de type “man-in-the-middle” (MitM).
• Outils de conformité : Compte tenu du grand nombre de pièces mobiles, les outils de conformité du CASB rendent compte de chaque système afin que les administrateurs puissent identifier les systèmes non conformes.
• Analyse du trafic : La surveillance de l'environnement est un élément important d'une cybersécurité efficace, et les outils de CASB fournissent des rapports basés sur les comportements des utilisateurs et les modèles de trafic afin que les administrateurs puissent identifier les anomalies.

En effectuant des recherches sur le CASB, vous constaterez qu'il existe quatre piliers qui définissent les services du CASB et ce que vous en retirez. Le CASB que vous choisissez doit offrir quatre fonctions principales, appelées les “quatre piliers du CASB”. Elles résument les avantages de l'utilisation d'un CASB afin que les organisations obtiennent tout ce dont elles ont besoin pour sécuriser leurs données.

Voici les quatre piliers du CASB :

• Visibilité : La surveillance et l'observation de l'utilisation des ressources offrent la visibilité nécessaire à la détection de comportements suspects. Les administrateurs doivent être au courant de toutes les données stockées sur le réseau et des appareils utilisés pour y accéder. Ils peuvent détecter les demandes d'accès suspectes, les fichiers malveillants téléchargés et les failles de sécurité dues à des contrôles d'accès insuffisants. Cela donne aux administrateurs l'occasion de former les utilisateurs aux meilleures politiques de sécurité pour les ressources partagées. Un CASB offre également une visibilité sur les éventuels dispositifs connectés non autorisés, comme le Shadow IT, et découvre des données que les administrateurs auraient pu négliger. Au lieu de permettre aux utilisateurs de télécharger des données vers des emplacements non autorisés, un CASB bloque l'accès à des emplacements tiers et alerte les administrateurs en cas d'activité inhabituelle.
• Conformité : Les réglementations en matière de conformité supervisent de nombreux facteurs de cybersécurité nécessaires à la protection des données en cloud. Les organisations qui ne respectent pas ces règles peuvent se voir infliger de lourdes amendes. C'est pourquoi un CASB veille à ce que les organisations disposent des outils d'accès et de surveillance nécessaires pour rester en conformité. Un CASB veille à ce que les données stockées dans le cloud soient cryptées afin de respecter les dernières normes réglementaires. En outre, la visibilité et les contrôles de cybersécurité d'un CASB permettent à l'organisation de rester conforme à diverses réglementations telles que HIPAA, SOX, PCI-DSS, PHI, et plus encore.
• Sécurité des données : Les données sensibles telles que les informations sur les clients, la propriété intellectuelle et les secrets d’entreprise peuvent être stockées dans le cloud. Le premier pilier, et sans doute le plus important, est la sécurité offerte, y compris les contrôles d'accès, le chiffrement, les données cryptées, la gestion des autorisations, la découverte des données et les mesures correctives. La surveillance et la journalisation font partie des fonctionnalités d'un CASB. Le CASB bloque l'accès aux données en fonction de divers attributs de l'utilisateur tels que l'adresse IP, le navigateur, le système d'exploitation, l'appareil et la localisation. En utilisant une combinaison d'attributs de dispositifs, un CASB réduit la possibilité de faux positifs et améliore sa précision.
• Protection contre les menaces : Parallèlement à la surveillance, la détection des menaces atténue toute activité suspecte. Le pilier de détection des menaces identifie les menaces externes et internes, les atténue et envoie une notification aux administrateurs. Les modèles de comportement des utilisateurs sont couramment utilisés dans un CASB pour identifier les comportements suspects. Par exemple, un vendeur devrait avoir accès aux données des clients dans une application de vente, mais le CASB déclenche une alerte si un développeur tente de télécharger les mêmes données. Dans le premier scénario, le CASB l'autorise, mais dans le second, il bloque l'accès aux données du client et alerte un administrateur.

Les préoccupations relatives à la sécurité et à la conformité des applications et services en cloud poussent de plus en plus d'entreprises à mettre en œuvre des solutions de CASB. Il s'agit notamment de :

• “Shadow IT” et prolifération d'applications tierces : lorsque les CASB sont apparus, les entreprises les ont déployés principalement pour endiguer le “Shadow IT” (applications et services cloud utilisés sans l'approbation explicite du service informatique). Aujourd'hui, les entreprises doivent également relever le défi de gérer des centaines, voire des milliers d'applications et de scripts tiers avec des autorisations OAuth (qui utilisent des jetons au lieu de mots de passe) pour accéder aux données de l'entreprise. Ces applications tierces ajoutent des fonctionnalités à Office 365, G Suite, Box et d'autres plateformes. Mais certaines sont mal conçues ou ouvertement malveillantes. Et, une fois qu'un jeton OAuth est autorisé, l'accès se poursuit jusqu'à ce qu'il soit révoqué. Après avoir audité chaque application de cloud computing pour ses contrôles de sécurité, tels que les certifications, et d'autres risques, tels que les autorisations de données étendues, les équipes informatiques peuvent prendre des décisions éclairées sur les contrôles d'accès pour les applications de cloud computing à risque et peuvent promouvoir l'utilisation de services de cloud computing “sûrs”.
• Compromission de comptes cloud : les cybercriminels accèdent souvent aux applications et aux données dans le cloud par le biais de comptes cloud compromis. Proofpoint a récemment analysé plus de 100 000 connexions non autorisées sur des millions de comptes cloud surveillés et a constaté que 90 % des locataires sont visés par des cyberattaques. Soixante pour cent des locataires ont au moins un compte compromis dans leur environnement. Ces attaques commencent généralement par des attaques bruteforce - où les acteurs de la menace soumettent plusieurs noms d'utilisateur ou mots de passe dans le but de deviner correctement les informations d'identification de l'utilisateur afin de pouvoir accéder à un compte. Une autre méthode est le phishing des informations d'identification, qui consiste à inciter les utilisateurs à divulguer leurs mots de passe par le biais d'e-mails à caractère social. Une fois qu'ils disposent des informations d'identification, les attaquants exploitent ces comptes en cloud pour se faire passer pour des utilisateurs légitimes afin d'amener les employés à leur transférer des fonds ou à divulguer des données d'entreprise. Les acteurs de la menace détournent également des comptes de messagerie pour distribuer des spams et des emails de phishing.
• Perte de propriété intellectuelle : Le risque de perdre des secrets commerciaux, des conceptions techniques et d'autres données sensibles de l'entreprise est bien réel lorsque les employés utilisent des outils de collaboration ou de messagerie basés sur le cloud pour partager des fichiers et des informations. La négligence des employés ou le manque de formation peuvent entraîner un partage excessif de fichiers via des liens publics accessibles à tous. Les menaces internes sont également courantes. Un exemple courant est le vol d'enregistrements de ventes de clients dans les services CRM par des vendeurs qui prévoient de quitter l'entreprise. Les entreprises peuvent accroître la visibilité du traitement des données dans le cloud et améliorer la sécurité des données en appliquant des politiques centrées sur l'utilisateur pour contrôler l'accès aux services et aux données du cloud via des solutions CASB.
• Des réglementations plus strictes et des amendes plus importantes : Les organisations de pratiquement tous les secteurs constatent que le maintien de la conformité est devenu une tâche ardue. De nombreux règlements et mandats sectoriels exigent désormais que vous sachiez où se trouvent vos données et comment elles sont partagées dans le cloud. Les violations des récentes réglementations en matière de confidentialité des données et de résidence peuvent entraîner de lourdes amendes. Par exemple, les contrevenants au GDPR peuvent se voir infliger une amende allant jusqu'à 4 % du chiffre d'affaires annuel mondial. Les CASB peuvent alléger la charge de conformité et vous épargner les maux de tête au moment de l'audit.
• Visibilité sur l'utilisation du cloud : Qu'il s'agisse de protéger les données ou d'obtenir des informations sur la façon dont les services de cloud sont utilisés, un CASB offre la visibilité nécessaire à la sécurité et à la future mise à l'échelle. Un CASB peut aider les organisations à planifier les ressources futures de manière à ce que les performances soient toujours maintenues. Il aide également les administrateurs à examiner les activités liées aux menaces et à fournir des ressources de sécurité pour atténuer les attaques.

Maintenant que vous savez pourquoi vous avez besoin d'un CASB, examinons les capacités des CASB. Ils remplissent plusieurs fonctions clés qui vont au-delà des pare-feu d'entreprise et des passerelles Web :

1. Gouvernance des applications en cloud : Les CASB régissent les applications et services en cloud en offrant une vue centralisée de votre environnement en cloud, avec des détails comme qui accède à quelles applications et données en cloud, d'où et depuis quel appareil. L'utilisation des applications en cloud étant devenue très répandue, les CASB cataloguent les services en cloud (y compris les applications OAuth de tiers), évaluent le niveau de risque et la fiabilité globale des services en cloud et leur attribuent un score. Les CASB fournissent même des contrôles d'accès automatisés vers et depuis les services en cloud en fonction des scores de risque des services en cloud et d'autres paramètres, tels que la catégorie d'application et les autorisations de données.
2. Défense contre les menaces liées au cloud : Les CASB peuvent aider à détecter les menaces du cloud en surveillant les connexions suspectes ou excessives, puis en envoyant des alertes. Les CASB utilisent également des outils anti-malware et sandbox avancés pour bloquer et analyser les menaces. Dans certains cas, les fournisseurs de CASB s'appuient sur leurs propres recherches mondiales et sur des sources tierces pour identifier les comportements et les caractéristiques des attaques actuelles et émergentes basées sur le cloud. Les solutions CASB sophistiquées d'aujourd'hui vous permettent également de configurer des politiques de remédiation automatique des menaces liées au cloud. Pour les mesures préventives, vous pouvez configurer des contrôles d'accès adaptatifs centrés sur l'utilisateur et basés sur le rôle de l'utilisateur (tels que les privilèges et le statut VIP), le niveau de risque associé à la connexion et d'autres paramètres contextuels, tels que la localisation de l'utilisateur, l'hygiène du dispositif et autres.
3. Sécurisation des données sensibles : La détection et la suppression des partages publics et externes de fichiers, ainsi que la prévention des pertes de données (DLP), sont des composantes essentielles d'une solution CASB. Par exemple, les CASB vous permettent de définir et d'appliquer des politiques de sécurité des données afin d'autoriser les utilisateurs à accéder uniquement à certaines catégories de données en fonction de leurs privilèges. Dans la plupart des solutions CASB, le DLP fonctionne en mode natif et est également intégré aux solutions de protection des données de l'entreprise.
4. Conformité pour le cloud : Les CASB peuvent être d'une grande aide lorsqu'il s'agit de prouver que vous exercez une gouvernance appropriée sur les services en cloud. Grâce à la visibilité, à la remédiation automatisée, à la création et à l'application de politiques et à des capacités de reporting, les CASB vous permettent de rester en conformité avec les réglementations sectorielles et gouvernementales. Il s'agit notamment de mandats régionaux, comme le Règlement général sur la protection des données (RGPD) de l'Union européenne, et de normes et règles sectorielles, comme la loi sur la portabilité et la responsabilité de l'assurance maladie (HIPAA).

Le Cloud Access Security Broker fournit les ressources de sécurité nécessaires à la sécurité des données dans le cloud. Un CASB dispose des passerelles web, des pare-feu, de la politique et de la gouvernance, ainsi que des contrôles d'accès dont une entreprise a besoin pour protéger ses données. Une entreprise qui ne dispose pas des ressources nécessaires pour la sécurité peut tirer parti des offres de CASB afin que la sécurité puisse être intégrée à l'infrastructure de provisionnement. Les fournisseurs de CASB excellent dans la simplicité de l'application de la cybersécurité. Cependant, ils sont bénéfiques dans plusieurs scénarios qui concernent probablement votre organisation.

Voici quelques cas d'utilisation du CASB :

• Applications exécutées sur des appareils personnels : Si l'organisation a une politique de “bring-your-own-device” (BYOD), un CASB protège les appareils personnels des logiciels malveillants sans interférer avec la confidentialité des données des employés. Les données de l'entreprise sont protégées tandis que celles des employés restent intactes.
• Prévention des pertes de données : Un CASB identifie les données sensibles et applique des politiques d'autorisation afin que les utilisateurs soient “autorisés”, “bloqués” ou “limités” aux informations de l'entreprise. Il peut également chiffrer les données au repos (par exemple, stockées dans le cloud) ou en transit (par exemple, transférées sur Internet).
• Bloquer les logiciels malveillants et les ransomwares : Les logiciels malveillants et les ransomwares constituent des menaces importantes pour la sécurité des données, mais un CASB bloque l'installation de ces applications sur l'environnement. Il arrête également le flux de logiciels malveillants entre le cloud et le réseau sur site à l'aide de proxies et de fonctions de quarantaine en temps réel.
• Surveiller et traiter les comportements suspects des utilisateurs : Les attributs statiques des utilisateurs ne sont plus un moyen efficace de détecter les activités malveillantes. Au lieu de cela, un CASB utilise des repères et des données de trafic continu pour détecter les attaquants et bloquer l'accès aux fichiers malveillants.
• Chiffrement : Un CASB utilise le chiffrement pour les données au repos et les données en transit afin de rester conforme et de sécuriser les données.
• Validation des utilisateurs authentifiés : La gestion de l'accès aux identités et la collaboration intégrée avec Active Directory sont des avantages importants de l'utilisation d'un CASB par rapport à votre propre solution. En utilisant un CASB, les administrateurs peuvent mettre en place une fonctionnalité d'authentification unique, gérer l'authentification multifactorielle et intégrer les solutions actuelles (par exemple, Okta) à l'environnement cloud de l'organisation.
• Identifier les erreurs de configuration : Une simple mauvaise configuration dans le cloud peut entraîner une grave violation de données, mais un CASB surveille et découvre les configurations d'infrastructure à risque et alerte les administrateurs. En fait, certaines erreurs de configuration peuvent être corrigées automatiquement.
• Arrêter l'informatique parallèle et les applications non autorisées : L'ingestion des journaux et la surveillance des appareils et applications non autorisés empêchent les organisations d'être victimes d'une violation de données à partir d'ordinateurs portables et de smartphones perdus ou lorsqu'un attaquant tente de s'authentifier depuis un endroit suspect.

Proofpoint CASB offre une visibilité granulaire de vos données, des contrôles d'accès et de toutes les menaces en cours. Il fournit une vue d'ensemble de la façon dont vos données sont utilisées et donne aux administrateurs un aperçu des risques qui pourraient créer un incident de violation de données. Les administrateurs peuvent voir les tentatives d'authentification suspectes, les alertes de prévention des pertes de données et les tableaux de bord qui fournissent des détails sur votre sécurité.

Chaque fournisseur a ses propres offres, mais vous devez trouver un fournisseur qui propose des contrôles de sécurité qui s'intègrent bien à l'infrastructure actuelle. Lorsque vous faites le tour du marché, il est important de prendre en compte et de rechercher les prix, les avantages, les fonctionnalités et les services approuvés.

Trouvez un fournisseur qui répond aux besoins spécifiques de votre organisation, sans oublier qu’il existe quelques incontournables en matière de CASB. Le fournisseur que vous avez choisi doit inclure les quatre piliers dans son offre et disposer des capacités suivantes :

• Découverte d'applications en cloud : Trouvez les applications inutilisées ou périmées auxquelles les utilisateurs ont encore accès.
• Gouvernance des risques et des données : Configuration des règles d'accès et d'autorisation.
• Surveillance de l'activité : Obtenez une visibilité et des informations sur la façon dont les données sont accessibles et utilisées.
• Prévention des menaces : Détectez et atténuez automatiquement les menaces.
• Sécurité des données : Utilisez la prévention des pertes de données pour bloquer les attaquants et alerter les administrateurs.
• Analyse de l'activité : Fournit une visualisation qui aide les administrateurs à prendre des décisions pour mieux protéger les données.
• Contrôle des points d’accès : Gérez les points d’accès mobiles et surveillez leur utilisation de l'accès aux données.
• Option de remédiation : Corrigez les problèmes après qu'ils se soient produits afin que les données puissent être restaurées.
• Considérations relatives au déploiement : Prenez en charge le déploiement basé sur l'API et l'automatisation des transferts de données et du provisionnement.
• Infrastructure de distribution : Réduire la latence et atténuer les attaques par déni de service distribué (DDoS).
• Protection contre les logiciels malveillants et le phishing : le CASB doit identifier les risques liés aux logiciels malveillants, les empêcher d'accéder à l'infrastructure et aux données, et alerter les administrateurs.
• Gestion des comptes : Les administrateurs doivent pouvoir configurer le CASB pour arrêter les tentatives d'authentification et d'autorisation suspectes.
• Découverte des données et applications sensibles : Le CASB que vous avez choisi doit analyser et découvrir les données sensibles, effectuer des évaluations des risques et gérer l'accès aux applications et aux données.
• Tenir compte des performances : L'intégration du CASB ne doit pas interférer avec les performances du réseau ou la productivité des utilisateurs.
• Certifications nécessaires : Certains secteurs exigent que les fournisseurs et les services de cloud computing possèdent des certifications spécifiques, notamment FERPA, COPPA, CSP et plus encore.
• Un bon support client : Les administrateurs ont généralement besoin de l'aide du CASB pour diverses raisons. Le fournisseur doit donc proposer une assistance, même s'il s'agit d'un coût supplémentaire pour des incidents spécifiques.