Le CASB, la solution au Shadow IT ?

Technologies de Sécurité
Le CASB, la solution au Shadow IT ?

Les services Cloud sont en plein essor. Les gains en ROI ne sont plus à démontrer et les DSI externalisent massivement. En conséquence, les applications SaaS se multiplient… et pas uniquement pour des usages professionnels ! Les DSI n’ont que peu de retours sur la consommation explosive par leurs utilisateurs des applications en ligne, accédées en direct ou via API. Là où les DSI estiment à 30-40 le nombre d’applications « Cloud » consommées au travers de leur SI, la moyenne se situe en réalité autour des 1697 applications. Le maximum étant à 5945 selon l’étude réalisée par le CESIN et Symantec.

 

Il en résulte une perte de visibilité et de maitrise des usages. Quelle bande passante est consommée par mes utilisateurs et par service web ? Quels sont les risques pour mes données ? Quelles sont les licences réellement nécessaires ? Autant de problématiques que ces nouvelles pratiques soulèvent et qu’une sécurité périmétrique traditionnelle ne couvre que très partiellement.

L’étude liste les 5 types d’application SaaS les plus utilisés. Par ordre décroissant, et sans grande surprise, nous retrouvons les moteurs de recherches, les réseaux sociaux, les applications de partage de fichiers, les applications de partage de vidéos et les applications de messagerie. De ces catégories, les plus gros consommateurs en bande passante sont Google, Facebook, Onedrive, YouTube et Outlook, soit trois des GAFAM (Google, Apple, Facebook, Amazon, Microsoft), quelle surprise...

Si nous faisons un focus sur les services de partages de fichiers, viennent naturellement en tête les applications telles que OneDrive, Google Doc ou DropBox. Mais nombre d’autres services sont disponibles et accessibles depuis un navigateur : OpenTrust, Evernote, hubiC, pCloud, etc. Une seule de ces applications, non challengée par les équipes sécurités pourrait compromettre des données (perte, vol, altération). On parle alors du fameux Shadow IT : la mise en place d’un système d’information sans approbation ou connaissance de la DSI.

Difficile aujourd’hui pour les DSI de connaître exhaustivement les applications SaaS circulant au travers de leur système d’information et d’en récupérer la maitrise. D’autant plus que le modèle serverless se démocratise avec des géants tels que GCP, AWS ou Azure amenant un bouleversement dans notre façon de consommer du service et par dépendance de le sécuriser.

 

En réponse à ces problématiques, depuis quelques années, de nouvelles solutions ont vu le jour, se positionnant entre le legacy d’une entreprise et les applications SaaS : le CASB (Cloud Access Security Broker).

Un CASB se veut en mesure de répondre à 5 besoins sécurités :

  • Identifier et protéger le shadow IT  
  • Protéger les données (classification des données, identification des utilisateurs de données à risque et des risques d’exposition de données sensibles)

  • Accompagner à la mise en conformité selon des standards et régulations (RGPD, etc.)

  • Détecter les menaces et y remédier (activité ou agent malveillant)

  • Interconnecter les flux entre le Legacy et les données cloud (interconnexion des annuaires, authentification, etc.)

Selon de nombreux analystes, le CASB va devenir un indispensable. Le Gartner (Gartner, Market Guide for Cloud Access Security Brokers ) estime à 85% les grandes entreprises qui en 2020 utiliseront un CASB. Les grands éditeurs l’ont bien compris. Aussi, de nombreux rachats de solutions CASB viennent alimenter l’actualité ces derniers mois. Pour ne citer que quelques exemples : Symantec acquière Elastica, CISCO acquière Cloudlock, Forcepoint acquière Skyfence, McAfee acquière Skyhigh, Palo Alto Networks acquière CirroSecure, etc.

 

Le CASB esquisse la promesse d’une réponse aux problématiques de sécurité insufflées par l’essors du SaaS. Cependant, la définition des fonctionnalités portées par ces solutions n’est pas fixée. Aussi, chaque éditeur vient pousser des fonctionnalités selon ses savoir-faire. Comme d’habitude, il est nécessaire de prendre du recul pour retenir la technologie qui sera la plus adaptée aux besoins. Le choix sera guidé par les risques à couvrir, les applications Cloud officiellement validées par l’organisation, l’effort d’intégration et de maintenance de la solution dans le temps.

Le CASB ne réglera pas l’intégralité des problématiques associées à la sécurité du Cloud. Il va simplifier et automatiser une certaine partie, notamment pour arrêter le jeu du « chat et de la souris » entre utilisateurs gourmands de SaaS et DSI. Le temps économisé pourra être consacrer à la sensibilisation ou à l’animation du processus de sélection et de validation des solutions externalisées. Et pour les plus ambitieux, les sujets complémentaires ne manquent pas, comme l’Identity-as-a-service et le chiffrement dans le Cloud. Et ça n’est que le début de la liste, nous n’avons pas encore abordé l’épineux problème du durcissement des plateformes IaaS et PaaS…

 

Arthur Harmange , Technologie , Advens