Qu’est-ce qu’un Cloud Access Security Broker (CASB) ? Un CASB (Cloud Access Security Broker) définit un point de visibilité et de contrôle qui sécurise les applications cloud, en fournissant des services de protection des données et de protection contre les menaces afin d’empêcher la fuite de données sensibles, de bloquer les malwares et autres menaces, de déceler et de contrôler l’informatique fantôme, et enfin de garantir la conformité. Se situant entre les utilisateurs d’applications cloud et les services cloud eux-mêmes, les CASB peuvent surveiller le trafic et l’activité des utilisateurs, bloquer automatiquement les menaces et les partages risqués, et appliquer des politiques de sécurité telles que l’authentification et les alertes.

Pourquoi un CASB est-il nécessaire aujourd’hui ?

Avec l’adoption croissante du cloud, les CASB sont devenus intéressants pour la sécurité des entreprises du fait de leurs diverses fonctions de cybersécurité, de contrôle d’accès et de protection des données. Ils vous permettent de reprendre le contrôle des données de l’entreprise, en mouvement ou au repos, dans les plateformes et applications cloud. Les CASB sont désormais essentiels car :

• La croissance des plateformes et des applications cloud (par exemple, Microsoft 365, Salesforce) a considérablement réduit l’efficacité des outils de sécurité réseau traditionnels, tels que les pare-feu des data centers.
• Les équipes informatiques ne disposent plus du contrôle qu’elles avaient autrefois. Presque tout le monde peut choisir et utiliser une nouvelle application cloud, et le service informatique ne peut pas gérer manuellement les contrôles d’accès granulaires des utilisateurs à cette échelle.
• Ils peuvent appliquer une politique pour assurer le contrôle de l’informatique fantôme, la protection contre la perte de données dans le cloud (DLP), la gestion de la posture de sécurité du SaaS (SSPM) et la protection contre les menaces avancées.

Les quatre piliers du CASB

Une solution CASB efficace est construite en tenant compte de quatre caractéristiques fondamentales :

1. Visibilité

Le télétravail et le BYOD (appareils personnels utilisés à des fins professionnelles) augmentent le besoin des entreprises de savoir ce qui se passe dans leurs environnements cloud. Les appareils non gérés abondent, et sans une bonne visibilité sur vos déploiements, vous courez le risque de permettre un accès non souhaité. Un CASB discerne l’utilisation des applications cloud de votre entreprise, crée des rapports sur les dépenses consacrées au cloud et effectue des évaluations des risques pour vous permettre de décider si une application doit être bloquée.

2. Conformité

Les services de cloud computing exigent le respect d’une quantité démesurée de réglementations de conformité pour pouvoir fonctionner au niveau de l’entreprise. Cette exigence est particulièrement vraie dans le secteur public, ainsi que dans le secteur des services financiers et le secteur de la santé. Avec un CASB, vous pouvez identifier les principaux facteurs de risque de votre secteur et définir des politiques strictes de protection des données pour assurer et maintenir la conformité au sein de votre entreprise.

3. Sécurité des données

Le volume des données mondiales double tous les deux ans. Face à cette augmentation exponentielle des données, les acteurs malveillants se montrent plus ingénieux que jamais. La combinaison d’un CASB et du Cloud DLP vous permet non seulement de détecter les risques potentiels liés aux données, mais aussi de les arrêter. Qui plus est, vous disposez d’une visibilité sur le contenu sensible qui transite vers ou depuis le cloud ou entre les clouds, ce qui vous donne les meilleures chances d’identifier les incidents, d’appliquer une politique appropriée et, surtout, de garder les données en sécurité.

4. Protection contre les menaces

Les menaces et les programmes malveillants liés au cloud sont omniprésents dans l’écosystème informatique actuel et, dans la plupart des cas, les ressources cloud sont les plus vulnérables. Un CASB vous donne la puissance de l’analyse du comportement et du renseignement sur les menaces pour suralimenter votre sécurité cloud. Grâce à ces capacités avancées, vous pouvez rapidement identifier et remédier aux activités suspectes, maintenir la sécurité des applications et des données dans le cloud et renforcer la posture globale de sécurité cloud de votre entreprise.

Comment fonctionnent les CASB ?

Les solutions CASB peuvent prendre la forme d’un matériel ou d’un logiciel sur site, mais elles sont généralement fournies sous forme de service cloud pour une meilleure évolutivité, des coûts réduits et une plus grande facilité de gestion. Quel que soit leur forme, les CASB peuvent être configurés pour utiliser un proxy (proxy direct ou proxy inverse), des API ou les deux (ce que l’on appelle le « multimode », nous y reviendrons un peu plus loin).

Proxy

Les CASB doivent fonctionner sur le chemin des données, de sorte que le CASB idéal est fondé sur une architecture de proxy cloud. Les proxy directs sont plus couramment utilisés avec les CASB, garantissant la confidentialité et la sécurité des utilisateurs du côté du client. Les proxys inverses, en revanche, se trouvent sur les serveurs Internet et sont sujets à une dégradation des performances et à des erreurs de requête.

Un proxy direct intercepte les demandes de services cloud sur le chemin de leur destination. En fonction de votre politique, le CASB applique ensuite des fonctions telles que le mappage des informations d’identification et l’authentification unique (SSO), le profilage de la posture de l’appareil, la journalisation, les alertes, la détection des programmes malveillants, le chiffrement et la tokenisation.

API

Alors qu’un proxy inline intercepte les données en mouvement, vous devez disposer d’une sécurité hors bande pour les données au repos dans le cloud, ce que les fournisseurs de CASB proposent par le biais d’intégrations avec les interfaces de programmation d’applications (API) des fournisseurs de services cloud.

Que dit Gartner à propos du CASB ?

Gartner a défini le CASB pour la première fois en 2012, et les entreprises l’utilisaient principalement pour contrôler l’informatique fantôme. Les CASB ont évolué depuis, dépassant la simple sécurisation des applications SaaS, pour devenir applicables à l’ensemble des modèles de livraison de plateformes (PaaS) et d’infrastructures en tant que service (IaaS) dans divers nouveaux cas d’utilisation.

Au fil du temps, les capacités et les avantages des CASB ont commencé à se superposer davantage aux capacités des passerelles Web sécurisées (SWG). C’est en partie pour cette raison que Gartner a défini un nouveau terme en 2019 : SASE (Secure Access Service Edge), un cadre de services fournis dans le cloud qui offre « des capacités WAN complètes avec des fonctions de sécurité réseau complètes (telles que SWG, CASB, FWaaS et ZTNA) pour prendre en charge les besoins dynamiques d’accès sécurisé des entreprises digitales ».

En 2021, Gartner a approfondi ce point en identifiant la tranche de SASE centrée sur la sécurité en tant que le SSE (Security Service Edge). Cette évoution reflète les efforts croissants déployés dans le monde entier pour rationaliser les piles de sécurité complexes et disjointes, Gartner prévoyant que 30 % des entreprises auront adopté les capacités de SWG, CASB, ZTNA et de pare-feu en tant que service (FWaaS) d’un même fournisseur d’ici 2024.

Qu’est-ce qu’un CASB multimode ?

En mode proxy, les CASB assurent l’application de politiques inline qui arrêtent les fuites de données et les malwares en temps réel. Ils peuvent également s’intégrer à des API pour analyser le contenu des applications SaaS, ce qui leur permet de déceler et de réagir aux modèles de données sensibles, ainsi qu’aux menaces telles que les ransomwares. Plus récemment, les intégrations API ont servi à la gestion de la posture de sécurité SaaS (SSPM), par laquelle les CASB corrigent les erreurs de configuration des applications.

Les CASB qui proposent à la fois les modes proxy et API sont appelés CASB multimodes. Au-delà de la sécurisation des SaaS, ils peuvent protéger les IaaS tels que Microsoft Azure et AWS S3. Et plutôt que de déployer un CASB comme un autre produit ponctuel, vous pouvez le déployer dans le cadre d’une plateforme SSE pour garantir une sécurité cohérente, de meilleures performances et une administration regroupée.

Principaux cas d’utilisation de CASB

1. Identifier et contrôler l’informatique fantôme

Lorsque vos utilisateurs stockent et partagent des fichiers et des données d’entreprise dans des applications cloud non approuvées, la sécurité de vos données est impactée. Pour contrer ce phénomène, vous devez comprendre et sécuriser l’utilisation du cloud au sein de votre entreprise.

Zscaler CASB identifie automatiquement l’informatique fantôme, dévoilant les applications à risque que visitent vos utilisateurs. Des politiques automatisées et facilement configurables permettent ensuite d’appliquer diverses mesures (par exemple, autoriser ou bloquer, empêcher le téléchargement, restreindre l’utilisation) à des applications individuelles ou à des catégories d’applications.

2. Sécuriser les entités SaaS non professionnelles

Les utilisateurs peuvent utiliser simultanément des instances autorisées et non autorisées d’applications telles que Google Drive. Répondre par une approche universelle, c’est-à-dire autoriser ou bloquer entièrement l’application, peut encourager les partages inappropriés ou nuire à la productivité.

Zscaler CASB peut faire la distinction entre vos entités SaaS autorisées et les instances non autorisées appartenant à des tiers, en appliquant à chacun d’eux une politique appropriée. Les contrôles préconfigurés de la location SaaS permettent une remédiation automatisée et en temps réel.

3. Contrôler le partage risqué de fichiers

Les applications cloud permettent un partage et une collaboration sans précédent. Par conséquent, vos équipes de sécurité doivent savoir qui partage quoi dans les applications autorisées, pour éviter que des individus malveillants ne s’emparent de vos données.

La gestion de la collaboration est une fonctionnalité essentielle de tout CASB de premier plan. Zscaler CASB parcourt rapidement et de manière récurrente les fichiers de vos entités SaaS afin d’identifier les données sensibles, de vérifier les utilisateurs avec lesquels les fichiers sont partagés et de réagir automatiquement aux partages à risque si nécessaire.

4. Remédier aux erreurs de configurations SaaS

Lors du déploiement et de la gestion d’une application cloud, une configuration précise est essentielle pour garantir le bon fonctionnement et la sécurité de l’application. Les erreurs de configuration nuisent à votre hygiène de sécurité et peuvent rapidement exposer des données sensibles.

Zscaler SSPM s’intègre à vos entités SaaS par le biais d’une API afin de rechercher les erreurs configurations susceptibles de compromettre la conformité réglementaire. Il s’agit d’un composant de Zscaler Workload Posture aux côtés des solutions CSPM et CIEM.

5. Prévenir les fuites de données

Outre les erreurs de configuration des ressources cloud susceptibles de générer des violations et des fuites de données, vous devez identifier et contrôler les modèles de données sensibles dans le cloud. Un grand nombre de ces données sont réglementées par des cadres tels que HIPAA, PCI DSS, RGPD, et bien d’autres.

Zero Trust Exchange, notre plateforme de sécurité cloud native, fournit une protection unifiée des données avec des capacités cloud de DLP et CASB. Elle garantit que les applications cloud sont correctement configurées pour empêcher la perte de données et les situations de non-conformité, en s’appuyant sur des techniques avancées de classification des données, telles que la correspondance exacte de données (EDM) et la correspondance indexée des documents (IDM) pour identifier et sécuriser les données sensibles où qu’elles aillent.

6. Prévenir les attaques réussies

Une fois qu’un fichier infecté a contourné la sécurité de votre entreprise et atteint l’une de vos applications cloud autorisées, il peut rapidement se propager aux applications et aux appareils connectés d’autres utilisateurs. C’est pourquoi vous devez disposer d’un moyen de vous défendre contre les menaces en temps réel, tant au moment du chargement qu’au repos.

Zscaler CASB contrecarre les avancées des programmes malveillants grâce à des fonctionnalités de protection contre les menaces avancées (ATP), notamment :

• un proxy en temps réel pour empêcher le chargement de fichiers malveillants sur le cloud ;
• une analyse hors bande pour identifier les fichiers au repos et corriger les menaces ;
• le cloud sandboxing pour identifier même les malwares de type zero-day ;
• une isolation du navigateur cloud, sans agent, pour sécuriser l’accès à partir de terminaux non gérés.

Zscaler CASB

Zscaler fournit un CASB multimode en tant que service avec SWG, ZTNA, et plus encore dans le cadre de notre plateforme globale Zscaler Zero Trust Exchange™ afin de vous permettre de supprimer les produits ponctuels, de réduire la complexité informatique et d’inspecter le trafic en un seul passage. Les administrateurs n’ont qu’à configurer une politique automatisée pour garantir une sécurité cohérente sur tous les canaux de données dans le cloud.

Sécurité inline pour les données cloud en mouvement

Le proxy direct de haute performance et l’inspection SSL procurent une protection critique en temps réel :

• La détection de l’informatique fantôme et le contrôle des applications cloud identifient et sécurisent les applications non approuvées, sans nécessiter de journaux des périphériques réseau.
• Les mesures de DLP empêchent le chargement de données sensibles vers des applications approuvées et non approuvées.
• La protection contre les menaces avancées arrête les programmes malveillants connus et inconnus en temps réel grâce au sandboxing cloud optimisé par l’apprentissage automatique.
• Cloud Browser Isolation (isolation du navigateur cloud) diffuse les sessions en pixels pour le BYOD (appareil personnel utilisé à des fins professionnelles) afin d’éviter les fuites de données sans proxy inverse.

Sécurité hors bande pour les données au repos

L’analyse basée sur les API des applications SaaS, des plateformes cloud et de leur contenu renforce automatiquement votre sécurité :

• Des dictionnaires de DLP prédéfinis et personnalisables identifient les données sensibles dans les applications SaaS et les clouds publics.
• La fonctionnalité de gestion de la collaboration recherche dans les applications les partages de fichiers à risque et les révoque conformément à la politique.
• Le cloud sandboxing analyse les données au repos afin d’identifier les malwares de type zero-day et les ransomwares, et d’agir contre ces derniers.
• SSPM, CSPM et CIEM évaluent les configurations et les autorisations SaaS et IaaS afin de remédier automatiquement aux problèmes.