Qu'est-ce qu'un CASB ? | Cloud access security broker

Un Cloud access security broker (CASB), ou « courtier de sécurité d'accès au cloud », propose un certain nombre de services pour protéger les entreprises qui utilisent le cloud computing contre les atteintes à la protection des données et les cyberattaques.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir le courtier de sécurité d'accès au cloud (CASB)
  • Apprendre ce que font les CASB
  • Explorer les quatre piliers du CASB

Contenu associé


Vous souhaitez continuer à enrichir vos connaissances ?

Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !

Consultez la politique de confidentialité de Cloudflare pour en savoir plus sur la manière dont nous collectons et traitons vos données personnelles.

Copier le lien de l'article

Qu'est-ce qu'un courtier de sécurité d'accès au cloud (CASB) ?

CASB

Un courtier en sécurité d'accès au cloud, ou CASB, est un type de solution de sécurité qui protège les services hébergés dans le cloud. Les CASB permettent de protéger les applications logiciel en tant que service (SaaS, Software-as-a-Service) ainsi que les infrastructures en tant que service (IaaS, instrastructure-as-a-service) et les plateformes en tant que service (PaaS, platform-as-a-service), contre les cyberattaques et les fuites de données. En général, les fournisseurs de CASB proposent leurs services sous forme de logiciels hébergés dans le cloud, bien que certains CASB proposent également des logiciels ou des appareils matériels sur site.

Un certain nombre de technologies de sécurité différentes entrent dans le champ d'application du CASB, et un CASB propose généralement ces technologies dans une offre groupée. Parmi ces technologies, citons l'identification de l'informatique fantôme (Shadow IT), le contrôle des accès, et la prévention de perte des données (DLP), entre autres.

Pensez à un CASB comme à une société de sécurité physique qui offre un certain nombre de services (surveillance, patrouille à pied, vérification d'identité, etc.) pour assurer la sécurité d'une installation, plutôt qu'un seul agent de sécurité. De la même manière, les CASB offrent une variété de services plutôt qu'un seul, ce qui simplifie le processus de protection des données cloud.

Quels sont les 4 piliers de la sécurité par CASB ?

caractéristiques de la casb

Gartner, un cabinet d'analyse notoire définit quatre « piliers » pour les courtiers de sécurité d'accès au cloud (CASB) :

  1. Visibilité : les solutions CASB permettent de découvrir les systèmes et procédés « shadow IT », en particulier les services cloud, qui ne sont pas officiellement documentés et qui peuvent introduire des risques de sécurité inconnus.
  2. Sécurité des données : les CASB empêchent les données confidentielles de quitter les systèmes contrôlés par l'entreprise et contribuent à protéger l'intégrité de ces données. Cette protection s'avère particulièrement pertinente à l'heure où les outils d'intelligence artificielle prolifèrent et où les collaborateurs risquent de tenter d'y importer des données protégées. Les technologies importantes dans ce domaine sont le contrôle des accès et la prévention des pertes de données (DLP).
  3. Protection contre les menaces : Les CASB bloquent les menaces et les attaques externes, en plus d'empêcher les fuites de données. La détection des logiciels malveillants, la mise en bac à sable, l'inspection des paquets, le filtrage des URL et l'isolation du navigateur peuvent contribuer à bloquer les cyberattaques.
  4. Conformité : comme le cloud est très dispersé et qu'il n'est pas sous le contrôle d'une entreprise, il peut être difficile pour les entreprises opérant sur le cloud de satisfaire à des exigences réglementaires strictes tels que le SOC 2, HIPAA ou le RGPD. Dans certains secteurs et régions, les entreprises qui ne se conforment pas aux règles risquent des pénalités et des amendes. En mettant en œuvre de solides contrôles de sécurité, les CASB aident les entreprises qui stockent des données et exécutent des processus commerciaux sur le cloud à se conformer aux réglementations.

Quelles sont les capacités de sécurité offertes par les CASB ?

La plupart des solutions CASB proposent une partie ou la totalité des technologies de sécurité suivantes :

  • Vérification d'identité : la vérification d'identité garantit qu'un utilisateur est bien celui qu'il prétend être en vérifiant plusieurs facteurs d'identité, tels qu'un mot de passe ou la possession d'un jeton physique
  • Contrôle d'accès : Le contrôle de ce que les utilisateurs peuvent voir et faire dans les applications contrôlées par une entreprise
  • Découverte informatique fantôme : la découverte informatique fantôme ou Shadow IT discovery, identifie les systèmes et services que les employés internes utilisent à des fins commerciales sans autorisation appropriée
  • Protection contre la perte de données (DLP) : arrête les fuites de données et empêche les données de quitter les plateformes appartenant à l'entreprise
  • Filtrage d'URL : bloque les sites Web utilisés par les attaques par phishing ou les attaques de logiciels malveillants
  • Inspection des paquets : l'inspection des données entrantes ou sortantes au niveau du réseau pour détecter toute activité malveillante
  • Sandboxing : exécution de programmes et de code dans un environnement isolé pour déterminer s'il sont malveillants
  • Isolation du navigateur : exécute les navigateurs des utilisateurs sur un serveur distant plutôt que sur les appareils des utilisateurs, en protégeant les appareils contre le code potentiellement malveillant susceptible d'être exécuté dans le navigateur
  • Détection anti-logiciels malveillants : appelée aussi détection anti-malware, elle identifie les logiciels malveillants

Cette liste n'est pas exhaustive, car les CASB peuvent offrir un certain nombre d'autres produits de sécurité en plus de ceux énumérés ci-dessus. Certaines de ces technologies sont également incluses dans d'autres types de produits de sécurité. Par exemple, de nombreux pare-feux offrent une inspection des paquets et de nombreux produits de sécurité de point d'extrémité offrent un logiciel anti-malware. Les CASB, en revanche, conditionnent ces technologies spécifiquement pour le cloud computing.

Pour fournir une gamme complète de services CASB, de nombreux CASB majeurs ont à un moment donné acquis un produit ou une entreprise qu'ils regroupent avec leurs autres produits existants. Ils peuvent également s'associer avec des sociétés externes pour offrir des services supplémentaires.

CASB et DLP

Si la DLP a gagné en importance à mesure que les cadres réglementaires sur les données (tels que le RGPD) exerçaient une pression sur les organisations pour qu'elles préservent la confidentialité et évitent les fuites de données, les produits DLP traditionnels présentent des faiblesses lorsqu'il s'agit de sécuriser le paysage moderne des données. Les services DLP autonomes sont difficiles à mettre en œuvre en tant que couche supplémentaire pour les services cloud. L'intégration du DLP dans les solutions CASB résout une partie de ces difficultés et permet aux entreprises de protéger leurs données tout en garantissant la conformité.

Quels sont les avantages des CASB ?

Dans l'informatique cloud, les données sont stockées à distance et accessibles sur l'Internet. Par conséquent, les entreprises qui utilisent le cloud computing ont un contrôle limité sur l'endroit où les données sont stockées et sur la manière dont les utilisateurs y accèdent. Les utilisateurs peuvent accéder aux données et aux applications du cloud computing sur n'importe quel appareil connecté à Internet et depuis n'importe quel réseau, et pas seulement le réseau interne géré par l'entreprise. Par exemple, un utilisateur peut se connecter à une application SaaS gérée par l'entreprise à partir d'un réseau non sécurisé sur son appareil personnel, ce qui n'est généralement pas possible pour les applications qui fonctionnent sur des ordinateurs et des serveurs sur site (à moins d'utiliser le site remote desktop).

L'utilisation du cloud rend également plus difficile la garantie de la confidentialité et de la sécurité des données, tout comme il est plus difficile d'empêcher des inconnus d'écouter aux portes lorsqu'on converse dans un lieu public plutôt que dans une pièce privée.

Pour protéger pleinement les données dans le cloud, les entreprises utilisent généralement des services de sécurité qui sont également basés sur le cloud. Parfois, elles obtiennent ces services auprès de différents fournisseurs : elles utilisent une plateforme pour le DLP, une pour l'identité, une pour l'anti-malware, etc. Mais cette approche de la sécurité dans le cloud crée également des défis : plusieurs contrats doivent être négociés séparément, les politiques de sécurité doivent être configurées de nombreuses fois, la mise en œuvre et la gestion de multiples plateformes sont complexes pour l'informatique, etc.

Les CASB constituent une solution de sécurité réseau à ces problèmes. L'achat de ces mesures de sécurité auprès d'un seul courtier en sécurité du cloud au lieu de plusieurs fournisseurs différents signifie :

  1. Toutes les technologies impliquées fonctionnent bien ensemble.
  2. Gestion simplifiée des outils de sécurité du cloud ; les équipes informatiques peuvent travailler avec un seul fournisseur, au lieu d'une demi-douzaine de fournisseurs. En outre, de nombreux CASB permettent à leurs clients de gérer tous les services de sécurité du cloud à partir d'un seul tableau de bord.

Quels sont les défis liés à l'utilisation d'un CASB ?

Évolutivité : les CASB doivent gérer un grand nombre de données et de multiples plateformes et applications cloud. Les entreprises doivent s'assurer que leur fournisseur de CASB est capable d'évoluer avec elles au fur et à mesure de leur développement.

Atténuation : tous les CASB n'offrent pas la possibilité d'arrêter les menaces de sécurité une fois qu'elles sont identifiées. Selon la situation, un CASB sans capacités d'atténuation peut être d'une utilité limitée pour une entreprise.

Intégration : les entreprises doivent s'assurer que leur CASB s'intégrera à tous leurs systèmes et infrastructures. Sans une intégration complète, le CASB n'aura pas une visibilité totale sur les TI non autorisées et les menaces potentielles pour la sécurité.

Confidentialité des données : le fournisseur de CASB assure-t-il la confidentialité des données ou n'est-il qu'une partie externe de plus qui touche des données sensibles ? Si le CASB déplace les données de ses clients vers le cloud, quel est le degré de sécurité et de confidentialité de ces données ? Ces questions sont particulièrement importantes pour les organisations qui sont soumises à des réglementations strictes en matière de confidentialité des données.

Qui a besoin d'un CASB ?

La plupart des entreprises qui s'appuient partiellement ou entièrement sur le cloud peuvent bénéficier d'une collaboration avec un fournisseur de CASB. Les entreprises qui s'efforcent de contenir la croissance du shadow IT - une préoccupation majeure pour de nombreuses entreprises aujourd'hui, peuvent particulièrement bénéficier des services CASB.

Comment les CASB s'intègrent-ils à SASE ?

Secure access service edge, ou SASE, est un modèle d'infrastructure réseau basé sur le cloud qui regroupe les services de mise en réseau et de sécurité chez un seul fournisseur de services, ce qui permet aux entreprises de sécuriser et de gérer plus facilement l'accès au réseau sur tous les appareils connectés. De la même manière que les CASB regroupent divers services de sécurité, SASE regroupe SD-WAN (parmi d'autres capacités réseau) avec les CASB, passerelles web sécurisées (SWG), Zero Trust Network Access (ZTNA), firewall-as-a-service (FWaaS), et d'autres fonctions de sécurité réseau. Les solutions SASE sont construites à partir d'un réseau global unique.

Cloudflare propose-t-il une offre CASB ?

Cloudflare One réunit les fonctionnalités CASB, DLP, Zero Trust, SWG et d'isolement de navigateur dans une plateforme unique. Ces services sont fournis à partir du réseau Cloudflare, au plus près des utilisateurs finaux, et peuvent se placer en amont de réseaux sur site, cloud, et hybrides. En savoir plus sur Cloudflare One.