Page d'accueil d'OpenText.
Sujets techniques

Qu'est-ce qu'un CBP (broker d'accès à la sécurité en nuage) ?

Illustration de matériel informatique, avec un ordinateur portable en particulier.

Aperçu

Un courtier de sécurité d'accès infonuagique (CASB, prononcé KAZ-bee) est un point d'application de politique sur place ou basé sur le nuage placé entre les consommateurs de services infonuagiques et les fournisseurs de services infonuagiques (CSP) pour surveiller l'activité liée au nuage et appliquer des règles de sécurité, de conformité et de gouvernance relatives à l'utilisation des ressources basées sur le cloud. Un CASB permet à une organisation d'étendre au nuage les mêmes types de contrôles qu'elle appliquerait à son infrastructure sur place, et peut combiner différents types d'application de politiques, tels que :

  • L'authentification par identifiants utilisateur permet de limiter l'accès aux seuls services infonuagiques approuvés.
  • Protection des données par chiffrement, tokenisation ou autres moyens afin que les renseignements sensibles ne soient pas exposés dans les services infonuagiques ou aux fournisseurs de services cloud.
  • Surveillance de l'activité des services infonuagiques afin que le comportement des utilisateurs et des entités puisse être enregistré, signalé et analysé pour détecter les schémas d'utilisation anormaux ou les identifiants compromis.
  • La prévention des pertes de données (DLP) afin que les informations sensibles ne puissent pas quitter le réseau de l'organisation, et la détection et la correction des logiciels malveillants afin que les informations sensibles ne puissent pas entrer dans le réseau de l'organisation.

L'objectif d'un CASB est donc d'améliorer la capacité d'une organisation à tirer parti des services infonuagiques de manière sûre et sécurisée. Un CASB peut être considéré comme un « nœud de sécurité » par lequel l'accès aux services infonuagiques d'une organisation est contrôlé. En tant que composante de l'infrastructure de sécurité d'une organisation, elle complète, plutôt qu'elle ne remplace, des technologies telles que les pare-feu d'entreprise et d'applications Web, l'IDaaS (IDentity as a Service) et les passerelles Web sécurisées (SWG).

L'importance croissante des CASB va de pair avec l'adoption plus large des services infonuagiques et des politiques BYOD (« Apportez votre propre appareil ») qui autorisent les ordinateurs portables personnels, les téléphones intelligents, les tablettes et autres appareils non gérés sur le réseau. L'utilisation des CASB pour contrôler tout ou partie des services infonuagiques d'une organisation se développe et l'on s'attend à ce que leur adoption par les grandes entreprises triple, passant de 20 % en 2018 à 60 % d'ici 2022 (Gartner, 2018). Au cours d'une période similaire, le marché de la sécurité infonuagique dans son ensemble devrait atteindre environ 112 milliards de dollars d'ici 2023 (Forrester, 2017).

Protéger les données dans un environnement informatique hybride tout en simplifiant la sécurité des charges de travail infonuagiques

OpenText™ Voltage™ SecureData Sentry contribue à réduire les risques de violation de données en déployant la sécurité des données de manière simple et transparente en quelques jours ; permet la conformité à la réglementation sur la protection de la vie privée pour les applications critiques des environnements informatiques hybrides.

En savoir plus

CASB (broker d'accès à la sécurité en nuage)

À l'origine, les CASB se concentraient sur la découverte des services inconnus utilisés par des individus ou des unités commerciales en dehors de ceux autorisés par le service informatique – mais à mesure que les organisations ont réalisé que la solution à ce problème s'orientait davantage vers une activation contrôlée plutôt que vers la suppression de ces services, les CASB ont commencé à offrir des ensembles de fonctionnalités autour de quatre piliers : la sécurité des données, la conformité, la protection contre les menaces et la capacité de base de visibilité.

Visibilité

De nombreuses organisations accélèrent déjà l'adoption formelle de l'infonuagique dans un large éventail de leurs unités opérationnelles. Cela pourrait mener à un nombre croissant d'employés gérant leurs propres identifiants de sécurité sur les ressources IaaS (Infrastructure as a Service), PaaS (Platform as a Service), SaaS (Software as a Service) et maintenant FaaS (Functions as a Service). Dans cet environnement, les CASB peuvent contribuer à combler les lacunes de sécurité créées par cette érosion de la gestion centralisée des identités et des accès (IAM) et à améliorer le contrôle de l'utilisation de ces services, en présentant une barrière appropriée sans pour autant entraver le déroulement normal des activités des employés, que ce soit sur place ou sur le terrain.

Cette consolidation des contrôles d'accès au nuage est utile quand on sait quels services infonuagiques sont utilisés, mais elle ne permet pas de lutter contre l'informatique parallèle. Ces services peuvent être utilisés pour contourner des lacunes perçues ou réelles dans l'infrastructure informatique officielle d'une organisation, ou ils peuvent simplement refléter les préférences des utilisateurs. Plutôt que d'être une activité à éradiquer, leur utilisation peut en réalité être essentielle à la productivité, à l'efficacité, à la satisfaction des employés, voire même comme source d'innovation, mais il est peu probable qu'elle soit conforme aux politiques de sécurité de l'organisation ou à d'autres exigences informatiques en matière de soutien, de fiabilité, de disponibilité, etc., et elle peut également être une source de logiciels malveillants susceptibles d'entraîner une fuite de données catastrophique.

Un CASB peut aider à mettre en lumière l'informatique parallèle d'une organisation, permettant non seulement de soutenir les pratiques de travail nécessaires tout en veillant à ce qu'elles ne compromettent pas la mission, mais aussi de révéler les véritables dépenses liées au nuage, ce qui permet d'améliorer le contrôle des coûts.

Sécurité des données

De nombreuses organisations migrent déjà leurs ressources informatiques de leurs propres centres de données vers de multiples nuages, notamment ceux offerts par Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform (GCP) et la vaste gamme d'applications en ligne disponibles sur le marché des fournisseurs SaaS. Les employés partagent déjà des données sensibles via ces services – Office 365, Salesforce, Amazon S3, Workday, etc. – dont beaucoup revendiquent une version ou une autre d'un modèle de responsabilité partagée qui fait peser la responsabilité de la sécurité des données sur le client.

Les inquiétudes concernant la sécurité du nuage lui-même sont toutefois largement infondées. L'infrastructure de la plupart des fournisseurs de services de communication, en particulier ceux qui offrent des services devenus courants, est indéniablement très sécurisée. Les préoccupations devraient plutôt porter sur la configuration correcte des contrôles de sécurité offerts par le fournisseur de services infonuagiques, ainsi que sur l'identification des contrôles requis qui ne sont pas disponibles. Un rapport récent a révélé que, en raison de ces configurations erronées ou manquantes, plus de 1,5 milliard de fichiers ont été exposés dans le nuage et les services liés au nuage tels que S3, rsync, SMB, FTP, les disques NAS et les serveurs Web (Digital Shadows, 2018). On prévoit que, jusqu'en 2023, au moins 99 % des défaillances de sécurité du nuage seront dues à des erreurs commises par les consommateurs de services infonuagiques plutôt que par les fournisseurs de services infonuagiques (Gartner, 2018). Bien que certains CASB offrent désormais des capacités de gestion de la posture de sécurité infonuagique (CSPM) pour évaluer et réduire les risques de configuration dans les offres IaaS, PaaS et SaaS grâce à des contrôles supplémentaires tels que le chiffrement, un CASB peut fournir à une organisation une assurance supplémentaire de sorte que, même en cas de mauvaises configurations, les données sensibles ne puissent pas être compromises. Une telle assurance s'avère particulièrement nécessaire lorsqu'un service infonuagique particulier n'offre pas une protection adéquate des données , ou lorsque cette protection est requise contre le fournisseur de services infonuagiques lui-même.

La plupart des CASB ont évolué à partir de l'une des deux postures initiales en matière de sécurité des données : soit une focalisation sur la prévention des pertes de données (DLP) et la détection des menaces, soit la fourniture de chiffrement ou de tokenisation pour traiter les questions de confidentialité et de résidence des données. Bien que ces positions initiales se soient par la suite étendues pour couvrir l'ensemble de ces fonctionnalités, on constate un abandon progressif de l'offre d'une sécurité robuste axée sur les données et d'une gestion des clés. Pour la plupart des CASB, aujourd'hui, la sécurité des données signifie principalement DLP, qui utilise divers mécanismes pour détecter les données sensibles au sein des services infonuagiques autorisés ou lorsqu'elles sont téléchargées sur des services infonuagiques – autorisés ou non autorisés – puis bloquer, supprimer, placer sous séquestre légal ou mettre en quarantaine le contenu signalé comme une violation potentielle de la politique. Cela prend généralement en charge les utilisateurs de services sur place et de services infonuagiques distants, que ce soit à partir d'applications mobiles, de navigateurs Web ou de clients de synchronisation de bureau. Mais la protection contre la perte de données (DLP) a ses limites dans des environnements où le partage de données au sein et entre les services infonuagiques est de plus en plus facile avant qu'une violation ne se produise. Toute organisation qui utilise le nuage pour stocker des données doit être consciente qu'un CASB pourrait ne pas être en mesure de détecter comment ni avec qui ces données sont partagées depuis le nuage, ni même qui les a partagées.

Des mécanismes de protection robustes axés sur les données peuvent remédier à ce risque de violation, mais bien que de nombreux CASB mettent en avant leur capacité à chiffrer ou à tokeniser les données destinées au nuage, ces fonctionnalités sont désormais généralement réservées à un petit nombre de services grand public, tels que Salesforce et ServiceNow. Les CASB qui ont commencé à ajouter ces fonctionnalités – motivés autant par le souci de satisfaire aux évaluations des analystes que par celui d’atteindre ou de maintenir une parité concurrentielle – ont découvert que la cryptographie est un domaine technique complexe. La mise en œuvre et la maintenance des systèmes cryptographiques nécessitent une expertise considérable en la matière, une expertise qui ne relève généralement pas des compétences de base des CASB. En conséquence, certains CASB ont retiré ces fonctionnalités ou ne les commercialisent plus activement, et certains masquent leur manque de capacité ou leur applicabilité restreinte par des affirmations générales de « sécurité des données » qui ne concernent que la DLP, le contrôle d'accès adaptatif (AAC) et autres.

De plus, bien que l'adoption de la loi américaine Clarifying Lawful Overseas Use of Data (CLOUD) et la compréhension croissante du Règlement général sur la protection des données (RGPD) de l'UE suggèrent fortement que le chiffrement et la gestion des clés deviennent des capacités essentielles (Gartner, 2019), leur adoption a suscité une certaine hésitation, car le chiffrement et la tokenisation appliqués en dehors d'une application SaaS peuvent affecter sa fonctionnalité ainsi que celle des services tiers intégrés. Les innovations continues en matière de cryptographie appliquée, offertes par certains fournisseurs comme OpenText Voltage, ont toutefois minimisé ces impacts sur la fonctionnalité, de sorte qu'il est maintenant pertinent d'évaluer ceux qui pourraient subsister par rapport au coût et au risque de déléguer la protection des données au niveau des champs et des fichiers au CSP, ou de ne pas l'appliquer du tout.

Conformité

L'avènement de lois plus strictes en matière de protection de la vie privée dans de nombreux secteurs et régions peut également avoir un impact sur les opérations. Les réglementations régionales telles que le RGPD, la loi californienne sur la protection de la vie privée des consommateurs (CCPA), la loi brésilienne sur la protection des données (LGPD) et le projet de loi indien sur la protection des données personnelles, ainsi que les réglementations sectorielles comme celles imposées par PCI DSS, SOX, HIPAA, HITECH, FINRA et FFIEC, créent un ensemble d'exigences de conformité dont la complexité pousse de nombreuses organisations à adopter la position mondiale la plus conservatrice : s'assurer que les données sensibles de l'entreprise et de ses clients soient toujours protégées, où qu'elles se trouvent, et dans la mesure du possible.

Un CASB doté de contrôles robustes de confidentialité des données sur plusieurs applications peut contribuer à atteindre cet objectif ; et grâce à la sensibilisation aux politiques et aux fonctionnalités de classification des données, les CASB peuvent contribuer à garantir la conformité aux lois sur la résidence des données et à comparer les configurations de sécurité aux exigences réglementaires constamment mises à jour.

Détection et prévention des menaces

Un CASB peut protéger l'organisation contre l'arsenal toujours plus vaste des logiciels malveillants, y compris leur introduction et leur propagation via les services de stockage infonuagique et leurs clients et applications de synchronisation associés. Un CASB peut utiliser des sources avancées de renseignements sur les menaces pour analyser et corriger les menaces en temps réel sur les ressources internes et externes ; identifier les comptes d’utilisateurs compromis grâce à la détection et à la prévention des accès non autorisés aux services infonuagiques et aux données ; et combiner des analyses statiques et dynamiques avec l’apprentissage automatique et les capacités UEBA (User Entity Behavior Analytics) pour identifier les activités anormales, les logiciels de rançon, les exfiltrations de données, etc.

Comment fonctionne un CASB ?

CASB peut être déployé comme proxy et/ou comme courtier API. Étant donné que certaines fonctionnalités CASB dépendent du modèle de déploiement, les CASB « multimodes » – ceux qui prennent en charge à la fois les modes proxy et API – offrent un plus large éventail de choix pour le contrôle des services cloud.

Les CASB déployés en mode proxy sont généralement axés sur la sécurité et peuvent être configurés comme des proxys inverses ou directs sur le chemin d'accès aux données, entre le consommateur de services infonuagiques et le CSP. Les CASB à proxy inverse ne nécessitent pas l'installation d'agents sur les terminaux et peuvent donc mieux convenir aux appareils non gérés (par exemple, BYOD) en évitant la nécessité de modifications de configuration, d'installations de certificats, etc. Ils ne contrôlent cependant pas l'utilisation non autorisée du nuage aussi bien que les CASB de type proxy direct, par lesquels transite tout le trafic provenant des points de terminaison gérés, y compris le trafic vers les services infonuagiques non autorisés : cela signifie que certains appareils non gérés peuvent passer entre les mailles du filet. Les CASB à proxy direct nécessitent donc souvent l'installation d'agents ou de clients VPN sur les terminaux. Lorsque les agents et les clients VPN sont mal configurés ou désactivés par erreur, le trafic sensible risque de ne pas être acheminé vers le CASB, contournant ainsi l'inspection.

Les CASB déployés en mode API se concentrent sur l'administration des applications SaaS (et de plus en plus IaaS et PaaS) via les API fournies par ces services, notamment l'inspection des données au repos, la télémétrie des journaux, le contrôle des politiques et d'autres fonctions de gestion. Ils fonctionnent bien avec les appareils non gérés, mais comme seuls les services cloud grand public offrent généralement une prise en charge API – et ce à divers degrés –, il est peu probable que les CASB basés uniquement sur les API couvrent toutes les fonctionnalités de sécurité requises. Bien qu'il soit possible que les fournisseurs SaaS et autres fournisseurs de services infonuagiques améliorent leurs API pour combler cet écart, en attendant, les CASB basés uniquement sur les API ne fournissent pas de capacités suffisamment robustes pour répondre aux exigences d'évolutivité et de disponibilité. De plus, lorsque les fournisseurs de services infonuagiques (CSP) limitent les réponses aux requêtes API en raison du volume croissant de données échangées entre les utilisateurs et les services infonuagiques, les CASB en mode API subissent des dégradations de performances ingérables. Le mode proxy demeure donc une capacité essentielle.

Les CASB peuvent être exécutés dans un centre de données d'entreprise, dans un déploiement hybride impliquant à la fois le centre de données et le cloud, ou exclusivement dans le cloud. Les organisations axées sur la protection des données, ou soumises à des réglementations en matière de confidentialité ou à des considérations de souveraineté des données, ont tendance à privilégier les solutions sur place pour conserver un contrôle total sur leur infrastructure de sécurité. De plus, la délégation de responsabilité et l'exigence de confiance envers un tiers qu'imposent les CASB exclusivement cloud via le modèle « Apportez votre propre clé » (BYOK) peuvent contrevenir aux politiques internes ou externes, et cette situation problématique s'étend naturellement aux services de sécurité offerts par les CSP eux-mêmes qui peuvent également exiger de mettre sur liste blanche les adresses IP du CASB.

Le Voltage Secure Data Sentry est-il un CASB ?

Voltage SecureData Sentry est un courtier de sécurité spécialisé dans la protection des données, non seulement pour les services infonuagiques, mais aussi pour les applications sur site. Il ne s'agit donc pas d'un CASB traditionnel, car il ne cherche pas à fournir d'autres fonctionnalités à travers les quatre piliers. Sentry coexiste plutôt avec les CASB spécialisés dans la fourniture de ces fonctionnalités complémentaires, tout en prenant en charge le gros du travail cryptographique pour ajouter des mécanismes de protection robustes axés sur les données, applicables aux services SaaS et autres services infonuagiques, ainsi qu'aux applications commerciales et développées en interne sur les réseaux internes.

Voltage SecureData est une solution innovante et conforme aux normes, qui a fait l'objet de vérifications indépendantes de sa sécurité par des organismes cryptographiques indépendants et reconnus internationalement. Elle est reconnue pour la sécurité des données les plus sensibles au monde par de nombreuses organisations internationales de premier plan, tant dans le secteur public que privé, et dans de multiples industries.

Le chiffrement préservant le format (FPE), qui garantit que la protection est appliquée au niveau du champ d'une manière qui ne rompt pas les schémas de base de données existants ou les limitations de type ou de taille des champs SaaS, est combiné avec un système de gestion de clés sans état qui évite des charges supplémentaires aux administrateurs de sécurité. La tokenisation sécurisée sans état (SST) garantit que les champs numériques contenant des numéros de carte de crédit ou des numéros de sécurité sociale sont protégés sans la surcharge de gestion ou de performance d'une base de données de jetons, tout en permettant à certaines parties du champ de rester en clair, telles que les six premiers ou les quatre derniers chiffres, pour prendre en charge le routage ou la vérification du client. Le hachage préservant le format (FPH) garantit l'intégrité référentielle des données pour l'analyse et d'autres cas d'utilisation tout en se conformant aux réglementations telles que le droit à l'effacement du RGPD. De plus, grâce à des innovations supplémentaires, telles que des index locaux sécurisés prenant en charge les termes de recherche partiels et génériques, et un formatage sécurisé des adresses électroniques pour le relais SMTP, Sentry préserve les fonctionnalités des applications qui sont affectées par les solutions concurrentes.

Les organisations peuvent déployer Sentry sur place et/ou dans le cloud. Sentry communique avec l'infrastructure réseau compatible ICAP (Internet Content Adaptation Protocol), telle que les proxys HTTP et les équilibreurs de charge, pour appliquer des politiques de sécurité aux données transitant vers et depuis le nuage, et il intercepte les appels d'API JDBC (Java Database Connectivity) et ODBC (Open Database Connectivity) pour appliquer des politiques de sécurité aux données transitant vers et depuis la base de données. Quel que soit son lieu de déploiement, l'entreprise conserve un contrôle total sur l'infrastructure, sans avoir besoin de partager les clés de chiffrement ou les coffres-forts de jetons avec qui que ce soit, et le mode d'inspection de Sentry garantit que les politiques de sécurité peuvent être ciblées sur les champs de données et les pièces jointes contenant des renseignements sensibles.

Courtier de sécurité d'accès au nuage

Commencez dès aujourd'hui.

En savoir plus

Produits connexes

OpenText™ Data Privacy & Protection Foundation

Protégez les données de grande valeur tout en les rendant utilisables pour l'informatique hybride.

Confidentialité et protection des données

Sécuriser les données, réduire les risques, améliorer la conformité et contrôler l'accès.

Voir tous les produits connexes

Comment pouvons-nous vous aider?

Notes de bas de page