Cloud Access Security Broker : Pourquoi votre entreprise en a besoin ?

Introduit par Gartner en 2012, le Cloud Access Security Broker (CASB) est conçu pour répondre à l'adoption croissante des applications SaaS. 

Dès l’origine, les CASB incluent plusieurs fonctionnalités :  

• Authentification et autorisation des utilisateurs  
• Gestion des identifiants pour les données stockées dans le cloud  
• Profilage des appareils pour déterminer leur contexte  
• Chiffrement des données  
• Journalisation des activités et alertes en cas d’anomalies  

Mais, définir les CASB sous cet angle uniquement ne paraît pas suffisant. En effet, vous pouvez vous dire que vous disposez déjà d’outils remplissant les mêmes fonctions. 

Alors, pourquoi adopter un Cloud Access Security Broker ? Contexte, fonctionnement, avantages et particularités : nous vous expliquons tout dans cet article. C’est parti !

Dans un monde où tout migre vers le cloud, les entreprises externalisent leurs services. Et dans ce contexte, les pare-feu traditionnels offrent une protection amoindrie.

Pourquoi ? Parce que rediriger tout votre trafic via un firewall centralisé vers un centre de données engendre son lot d'inefficacité (coût, réseau, qualité de l’expérience utilisateur).

Alors, la plupart des organisations se reposent sur les éléments de sécurité natifs des plateformes cloud qu’elles utilisent. Ces services sont satisfaisants, mais peuvent s’avérer insuffisants à long terme.

Par ailleurs, cette nouvelle réalité introduit des risques uniques qu’il faut anticiper et maîtriser : 

• Manque de visibilité : Savoir qui accède, partage, ou déplace des données devient difficile à surveiller.
• Sécurité fragmentée : Chaque plateforme cloud a ses propres outils, souvent incohérents d’une application à l’autre.
• Risques majeurs : Une faille chez un fournisseur cloud pourrait avoir des impacts majeurs sur votre entreprise.
• Mélange des activités : Vos utilisateurs jonglent entre outils personnels et professionnels, augmentant les risques de fuite de données.

Le CASB, en offrant un accès direct au cloud, améliore cette dynamique tout en renforçant la conformité et la gouvernance des données.

Gartner le définit comme un "point d'application de la politique de sécurité sur site ou dans le cloud placés entre les utilisateurs et les fournisseurs de services cloud”. En comparaison des pare-feux habituels, le Cloud Access Security Broker (CASB) opère spécifiquement dans des environnements cloud.

Comment cela se passe-t-il ? Il combine les règles de sécurité de l'entreprise et les applique lors des accès aux ressources cloud. Il consolide, pour cela, plusieurs types de politiques de sécurité, qu'elles soient sur site ou dans le cloud.

Mais son rôle ne s'arrête pas là. Un Cloud Access Security Broker participe aussi à la prévention d’abus éventuels. Il autorise pour cela vos utilisateurs à accéder aux services cloud tout en contrôlant leurs pratiques.

Il évalue également les environnements cloud en attribuant des scores de risque. Il facilite ainsi la personnalisation des politiques pour chaque service utilisé.

Pour sécuriser les environnements cloud, le CASB s'adapte au contexte des utilisateurs. Il va pour cela s'appuyer sur des analyses comportementales.

Comment ? Il détecte et bloque les activités suspectes en trois étapes : 

• Découverte : Identification des applications cloud utilisées et des employés impliqués.
• Classification : Évaluation des risques liés aux applications et aux données associées.
• Remédiation : Application des politiques de sécurité en fonction des risques identifiés.

Par exemple, si un employé se connecte via un Wi-Fi non sécurisé, le CASB peut restreindre ses permissions, puis les rétablir lorsqu’il rejoint un réseau plus sûr.

En identifiant les applications autorisées et non autorisées, le CASB réduit également le shadow IT. De plus, il génère des journaux d’interactions essentiels à la conformité réglementaire, permettant de tracer qui accède aux données et pourquoi.

Pour assurer cette protection, le Cloud Access Security Broker repose sur 4 fonctionnalités qui sont : 

C’est important dans un contexte où employés et partenaires utilisent leurs propres terminaux. Comme ces appareils ne sont pas gérés par l’entreprise, un CASB utilise un proxy inversé pour sécuriser les connexions cloud et empêcher, par exemple, le téléchargement d’informations sensibles.

Ce mécanisme offre une sécurité renforcée en empêchant le téléchargement d’informations sensibles sur des appareils non corporatifs. Il permet également d’analyser les flux entre le cloud et les appareils pour détecter et bloquer tout logiciel malveillant.

La protection des données est l’un des objectifs fondamentaux d’un Cloud Access Security Broker. Il identifie et sécurise les informations sensibles grâce à différentes techniques.

Il peut faire appel par exemple à la pseudonymisation. Il va, dans ce cas, remplacer une date de naissance complète par une année de naissance tout en préservant son utilité pour l’analyse.

Il peut également : 

• Contrôler l’accès aux données
• Limiter leur modification, suppression ou téléchargement en fonction des autorisations et du contexte
• Chiffrer les informations tout en conservant les capacités analytiques

Le risque de compromission des identifiants est réel dans le Cloud. Pour y répondre, le Cloud Access Security Broker gère les permissions et la sécurité des connexions.

Il personnalise aussi les politiques selon le comportement de l’utilisateur (localisation, appareil, etc.) et peut exiger des authentifications supplémentaires.

Il détecte aussi les activités anormales, telles que des téléchargements massifs ou des accès inhabituels.

Le CASB aide à respecter les exigences légales en automatisant les contrôles et en auditant les activités cloud. Grâce à des modèles préétablis, il facilite la mise en œuvre de politiques conformes au RGPD ou à d’autres cadres normatifs.

Un Cloud Access Security Broker permet aussi d’identifier les applications non approuvées utilisées par les employés. Il évalue leur risque et offre des solutions pour les gérer. Il génère des rapports précis sur les activités cloud de votre entreprise.

Les Cloud Access Security Brokers peuvent être déployés selon deux modèles : 

Les CASB en ligne protègent les données en transit grâce à des proxys de transfert ou inverses.

Dans une architecture CASB avec proxy direct, le trafic sortant est intercepté, analysé en profondeur, puis filtré ou bloqué selon les politiques de sécurité définies. Son élément central est un serveur passerelle, installé localement. Il agit comme intermédiaire entre le réseau interne et Internet.

Ce serveur joue le rôle d’intermédiaire entre le réseau interne et l’Internet, assurant plusieurs fonctions clés : 

• Inspection approfondie des paquets (DPI) : Analyse granulaire du trafic HTTPS pour détecter des données sensibles, des vulnérabilités et des violations des règles de sécurité.
• Gestion des certificats SSL/TLS : Déchiffrement, inspection et rechiffrement des données pour contrôler le trafic crypté, nécessitant une gestion rigoureuse des certificats.
• Filtrage et blocage : Application des politiques de sécurité, incluant le blocage d’URLs malveillantes, la restriction de certaines applications cloud et la prévention des pertes de données (DLP).

La configuration et la supervision du serveur passerelle se font via la console du Cloud Access Security Broker. Les configurations peuvent être déployées automatiquement ou manuellement au travers de GPO (Group Policy Objects).

L’architecture CASB par proxy inversé s’applique à des applications cloud spécifiques plutôt qu’à l’ensemble du réseau. Il s’agit d'intercepter et rediriger le trafic entrant via un serveur proxy inversé, en s’appuyant sur un fournisseur d’identité et un système d’authentification unique (SSO). Cette solution est réservée aux comptes cloud professionnels avec authentification configurée.

Le serveur proxy analyse les requêtes des utilisateurs et applique des politiques de sécurité telles que la prévention des pertes de données (DLP), les contrôles d’accès et la détection des menaces avant de transmettre les demandes aux applications cloud. L’intégration avec le SSO assure une authentification fluide et centralisée.

Le CASB par proxy inversé fonctionne en 3 étapes : 

• Interception et redirection des requêtes : les demandes d’accès des utilisateurs sont interceptées par le Cloud Reverse Proxy Server. Au lieu de communiquer directement avec les fournisseurs cloud, ces requêtes passent par le proxy.

• Authentification et contrôle d’accès : une fois interceptées, les requêtes sont validées via le SSO. Le Proxy Server applique ensuite les règles d’accès définies, autorisant uniquement les utilisateurs disposant des droits nécessaires.

• Application des politiques et audit : le proxy applique en temps réel les mesures de sécurité et enregistre les activités pour assurer la conformité et l’analyse des incidents.

Que l’accès s’effectue depuis un appareil géré ou non, ou via un réseau interne ou distant, le CASB par proxy inversé contrôle les connexions et applique les politiques de sécurité établies.

L’architecture repose principalement sur deux éléments : le Cloud Access Security Broker lui-même et les APIs. En effet, dans ce cas, le CASB est directement connecté aux interfaces de programmation (APIs) des fournisseurs de services cloud. Ensuite, le CASB analyse en continu les demandes API effectuées par les utilisateurs, que ce soit pour accéder à des données ou pour les manipuler.

En plus de surveiller les flux actifs, cette méthode permet d'inspecter les fichiers et données stockées dans le cloud via des scans réguliers. Ces analyses garantissent le respect des politiques de sécurité, la détection de menaces, et la gestion des informations sensibles.

L’analyse par API est particulièrement adaptée dans les scénarios suivants : 

• Analyse des données au repos :  Identifier et sécuriser les données stockées dans les environnements cloud.
• Contrôle de l’accès et du partage :  Empêcher les utilisateurs de partager des informations sensibles de manière non sécurisée.
• Détection des données sensibles :  Identifier des informations comme les PII (informations personnellement identifiables), données client ou brevets pour prévenir leur exfiltration.

Plus facile à mettre en place, ce modèle est idéal si vous recherchez une protection exhaustive de vos données sensibles et une expérience utilisateur de qualité.

Certaines entreprises optent pour des CASB hybrides, combinant les deux approches. Par exemple, elles utilisent un modèle API pour les applications d’entreprise comme Salesforce et Microsoft 365.

En revanche, elles réservent le modèle proxy aux services plus risqués comme Dropbox ou Gmail. Cette flexibilité permet de maximiser à la fois la sécurité et l’expérience utilisateur.

Inventé en 2019, Gartner définit le Secure Access Service Edge (SASE) comme la “convergence des services réseau et de sécurité, consommés en mode « as a service » à partir du cloud”.

L’organisme le définit également comme la capacité des utilisateurs à accéder à leurs ressources depuis n’importe quel appareil, emplacement ou réseau.

Il combine diverses solutions, dont le Cloud Access Security Broker, dans une offre unifiée de services de sécurité : 

• Security as a Service (SecaaS) : pare-feu cloud (FWaaS), passerelles web sécurisées (SWG), Cloud Access Security Broker (CASB), Zero Trust Networking (ZTNA), prévention de la perte de données (DLP), etc.

Mais aussi des solutions de réseau : 

• Network as a Service (NaaS) : SD-WAN, transport, optimisation WAN, NaaS, CDN, etc.

Les CASB complètent parfaitement une architecture SASE en offrant une couche de sécurité supplémentaire aux services cloud. Ils comblent les lacunes des outils natifs des fournisseurs et offrent une solution centralisée pour gérer les risques et protéger les données.

Un des avantages des Cloud Access Security Brokers réside dans leur compréhension intuitive. Effectivement, les CASB sont plus faciles à expliquer à une équipe de direction que d’autres outils de sécurité tels que les passerelles Web sécurisées.  

De plus, ils apportent des bénéfices concrets. D’abord, ils empêchent l’envoi de données sensibles vers des services cloud non approuvés. Ensuite, leur interactivité en fait un outil dynamique. Les règles et politiques intégrées dans l’outil évoluent constamment pour répondre aux besoins de votre entreprise. Cela implique du travail, mais cet ajustement continu garantit une adaptation optimale.

En plus de la sécurité, un CASB simplifie la gouvernance IT. Il automatise les processus de sécurité et réduit ainsi les charges administratives. Vos équipes IT peuvent se concentrer sur des tâches plus stratégiques. 

Enfin, le CASB favorise une meilleure collaboration au sein de vos équipes en assurant une sécurité continue. Et cela même pour vos travailleurs distants.

Plusieurs critères sont à prendre en compte pour sélectionner le Cloud Access Security Broker adapté pour votre entreprise.

• Tout d’abord, vérifiez sa compatibilité avec vos applications cloud existantes. Plus l’intégration sera fluide, plus son adoption sera rapide. Assurez-vous aussi de son évolutivité. La solution doit s'adapter à la croissance de votre entreprise.
• Ensuite, évaluez ses capacités en matière de chiffrement et de gestion des politiques. Contrôlez son intégration facile avec vos politiques internes et externes pour garantir conformité et sécurité.
• Un bon CASB doit offrir des fonctionnalités avancées et personnalisables telles que l’analyse comportementale, la gestion granulaire des accès, la protection contre les malwares ou le double mode (en ligne et API) .
• Enfin, examinez les coûts. Certains CASB proposent des modèles d’abonnement flexibles, tandis que d’autres exigent des investissements initiaux plus élevés.

Et pourquoi ne pas comparer également les recommandations d’experts et les avis d’utilisateurs pour éclairer votre choix.

Le concept de Cloud Access Security Broker (CASB) est né avec l’essor du cloud computing. Il répond à la nécessité pour les entreprises d’acquérir une sécurité uniforme dans divers environnements cloud.

Si leur coût a longtemps freiné leur adoption, les évolutions récentes les rendent accessibles à un plus large éventail d'organisations.

Alors, pourquoi attendre ? Intégrer un CASB à votre stratégie de sécurité dès aujourd'hui pour protéger vos données et optimiser vos opérations cloud. Nos experts vous conseillent !

contactez-nous !