Un Cloud access security broker (CASB), ou « courtier de sécurité d'accès au cloud », propose un certain nombre de services pour protéger les entreprises qui utilisent le cloud computing contre les atteintes à la protection des données et les cyberattaques.
Cet article s'articule autour des points suivants :
Contenu associé
Sécurité Zero Trust
Contrôle des accès
Qu'est-ce que l'lAM ?
Protection contre la perte de données (DLP)
Filtrage d'URL
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Un courtier en sécurité d'accès au cloud, ou CASB, est un type de solution de sécurité qui protège les services hébergés dans le cloud. Les CASB permettent de protéger les applications logiciel en tant que service (SaaS, Software-as-a-Service) ainsi que les infrastructures en tant que service (IaaS, instrastructure-as-a-service) et les plateformes en tant que service (PaaS, platform-as-a-service), contre les cyberattaques et les fuites de données. En général, les fournisseurs de CASB proposent leurs services sous forme de logiciels hébergés dans le cloud, bien que certains CASB proposent également des logiciels ou des appareils matériels sur site.
Un certain nombre de technologies de sécurité différentes entrent dans le champ d'application du CASB, et un CASB propose généralement ces technologies dans une offre groupée. Parmi ces technologies, citons l'identification de l'informatique fantôme (Shadow IT), le contrôle des accès, et la prévention de perte des données (DLP), entre autres.
Pensez à un CASB comme à une société de sécurité physique qui offre un certain nombre de services (surveillance, patrouille à pied, vérification d'identité, etc.) pour assurer la sécurité d'une installation, plutôt qu'un seul agent de sécurité. De la même manière, les CASB offrent une variété de services plutôt qu'un seul, ce qui simplifie le processus de protection des données cloud.
Gartner, un cabinet d'analyse notoire définit quatre « piliers » pour les courtiers de sécurité d'accès au cloud (CASB) :
La plupart des solutions CASB proposent une partie ou la totalité des technologies de sécurité suivantes :
Cette liste n'est pas exhaustive, car les CASB peuvent offrir un certain nombre d'autres produits de sécurité en plus de ceux énumérés ci-dessus. Certaines de ces technologies sont également incluses dans d'autres types de produits de sécurité. Par exemple, de nombreux pare-feux offrent une inspection des paquets et de nombreux produits de sécurité de point d'extrémité offrent un logiciel anti-malware. Les CASB, en revanche, conditionnent ces technologies spécifiquement pour le cloud computing.
Pour fournir une gamme complète de services CASB, de nombreux CASB majeurs ont à un moment donné acquis un produit ou une entreprise qu'ils regroupent avec leurs autres produits existants. Ils peuvent également s'associer avec des sociétés externes pour offrir des services supplémentaires.
Si la DLP a gagné en importance à mesure que les cadres réglementaires sur les données (tels que le RGPD) exerçaient une pression sur les organisations pour qu'elles préservent la confidentialité et évitent les fuites de données, les produits DLP traditionnels présentent des faiblesses lorsqu'il s'agit de sécuriser le paysage moderne des données. Les services DLP autonomes sont difficiles à mettre en œuvre en tant que couche supplémentaire pour les services cloud. L'intégration du DLP dans les solutions CASB résout une partie de ces difficultés et permet aux entreprises de protéger leurs données tout en garantissant la conformité.
Dans l'informatique cloud, les données sont stockées à distance et accessibles sur l'Internet. Par conséquent, les entreprises qui utilisent le cloud computing ont un contrôle limité sur l'endroit où les données sont stockées et sur la manière dont les utilisateurs y accèdent. Les utilisateurs peuvent accéder aux données et aux applications du cloud computing sur n'importe quel appareil connecté à Internet et depuis n'importe quel réseau, et pas seulement le réseau interne géré par l'entreprise. Par exemple, un utilisateur peut se connecter à une application SaaS gérée par l'entreprise à partir d'un réseau non sécurisé sur son appareil personnel, ce qui n'est généralement pas possible pour les applications qui fonctionnent sur des ordinateurs et des serveurs sur site (à moins d'utiliser le site remote desktop).
L'utilisation du cloud rend également plus difficile la garantie de la confidentialité et de la sécurité des données, tout comme il est plus difficile d'empêcher des inconnus d'écouter aux portes lorsqu'on converse dans un lieu public plutôt que dans une pièce privée.
Pour protéger pleinement les données dans le cloud, les entreprises utilisent généralement des services de sécurité qui sont également basés sur le cloud. Parfois, elles obtiennent ces services auprès de différents fournisseurs : elles utilisent une plateforme pour le DLP, une pour l'identité, une pour l'anti-malware, etc. Mais cette approche de la sécurité dans le cloud crée également des défis : plusieurs contrats doivent être négociés séparément, les politiques de sécurité doivent être configurées de nombreuses fois, la mise en œuvre et la gestion de multiples plateformes sont complexes pour l'informatique, etc.
Les CASB constituent une solution de sécurité réseau à ces problèmes. L'achat de ces mesures de sécurité auprès d'un seul courtier en sécurité du cloud au lieu de plusieurs fournisseurs différents signifie :
Évolutivité : les CASB doivent gérer un grand nombre de données et de multiples plateformes et applications cloud. Les entreprises doivent s'assurer que leur fournisseur de CASB est capable d'évoluer avec elles au fur et à mesure de leur développement.
Atténuation : tous les CASB n'offrent pas la possibilité d'arrêter les menaces de sécurité une fois qu'elles sont identifiées. Selon la situation, un CASB sans capacités d'atténuation peut être d'une utilité limitée pour une entreprise.
Intégration : les entreprises doivent s'assurer que leur CASB s'intégrera à tous leurs systèmes et infrastructures. Sans une intégration complète, le CASB n'aura pas une visibilité totale sur les TI non autorisées et les menaces potentielles pour la sécurité.
Confidentialité des données : le fournisseur de CASB assure-t-il la confidentialité des données ou n'est-il qu'une partie externe de plus qui touche des données sensibles ? Si le CASB déplace les données de ses clients vers le cloud, quel est le degré de sécurité et de confidentialité de ces données ? Ces questions sont particulièrement importantes pour les organisations qui sont soumises à des réglementations strictes en matière de confidentialité des données.
La plupart des entreprises qui s'appuient partiellement ou entièrement sur le cloud peuvent bénéficier d'une collaboration avec un fournisseur de CASB. Les entreprises qui s'efforcent de contenir la croissance du shadow IT - une préoccupation majeure pour de nombreuses entreprises aujourd'hui, peuvent particulièrement bénéficier des services CASB.
Secure access service edge, ou SASE, est un modèle d'infrastructure réseau basé sur le cloud qui regroupe les services de mise en réseau et de sécurité chez un seul fournisseur de services, ce qui permet aux entreprises de sécuriser et de gérer plus facilement l'accès au réseau sur tous les appareils connectés. De la même manière que les CASB regroupent divers services de sécurité, SASE regroupe SD-WAN (parmi d'autres capacités réseau) avec les CASB, passerelles web sécurisées (SWG), Zero Trust Network Access (ZTNA), firewall-as-a-service (FWaaS), et d'autres fonctions de sécurité réseau. Les solutions SASE sont construites à partir d'un réseau global unique.
Cloudflare One réunit les fonctionnalités CASB, DLP, Zero Trust, SWG et d'isolement de navigateur dans une plateforme unique. Ces services sont fournis à partir du réseau Cloudflare, au plus près des utilisateurs finaux, et peuvent se placer en amont de réseaux sur site, cloud, et hybrides. En savoir plus sur Cloudflare One.