L’utilisation par les employés de services Cloud non validés par leur direction informatique représente un vrai casse-tête pour les entreprises souhaitant se conformer au nouveau règlement européen de protection des données. Joël Mollo, directeur Europe du Sud & Middle East, Skyhigh Networks, explique aux lecteurs de Solutions Numériques en quoi le Cloud Access Security Broker (CASB) peut être une solution, sorte de sas protecteur entre n’importe quel service cloud et l’utilisateur
Si pour certains, le Règlement Général de Protection des Données (RGPD) est un pavé lancé dans la mare, il faut bien reconnaître que bon nombre d’entreprises, sur la question de la sécurité des données personnelles n’en sont pas à leur début. La grande majorité d’entre elles ont d’ailleurs déjà investi en masse dans des équipements de sécurité et de filtrage. Mais la majeure partie de ces équipements ne tiennent pas totalement compte de la problématique du Shadow IT, c’est à dire l’usage par les employés de services Cloud non autorisés, généralement dépourvus de contrôles de sécurité robustes, à l’insu du département informatique.
Dans ce cas précis et parce que les sanctions prévues ne sont pas des bagatelles, les DSI ont besoin d’assistances calibrées tant les périmètres sont grands et que le GDPR ne fait pas de concession à ce sujet. Et bien entendu sans que cela ne créée de conflits majeurs ou d’interruption de travail.
Ce premier besoin tient en la visibilité et vision en transparence de tous les services d’information et de communication présents dans et en dehors de l’entreprise. C’est notamment ce que peuvent offrir les Cloud Access Security Brokers (CASB), sorte de sas protecteur entre n’importe quel service cloud et l’utilisateur en permettant de détecter ces services et de faire appliquer les politiques de sécurité de l’entreprise.
Véritable tout en un, les CASB offrent en substance 3 grandes caractéristiques :
Radiographie des services / Etat des lieux
Le déploiement de CASB permet en premier lieu, d’avoir une vue exhaustive de tous les services Cloud déclarés ou non, à condition de choisir un déploiement adapté. Point important, le CASB est autonome sur cette fonctionnalité et ne nécessite pas de SIEM. Le nombre de services, les utilisateurs et leurs usages sont alors référencés. La lutte contre le Shadow IT est donc assurée par ce biais, d’autant que les CASB vont plus loin en analysant les comportements des utilisateurs, la nature des services recherchés, la part des applications également grand public ou encore les usages les plus en vogue. Ces données au-delà d’offrir des éléments de cartographie des services, offrent aussi de la matière pour établir des stratégies de reconquête de l’IT par la DSI.
Traçabilité
Les CASB sont également pourvus de fonctionnalités d’IAM, pour régler les problèmes d’authentification et d’autorisation d’accès sur les services Cloud. En effet, assurer la politique de sécurité de l’entreprise cliente, c’est pouvoir l’appliquer en fonction de la gestion des habilitations de chacun des utilisateurs concernés, mais c’est également par exemple nécessaire à l’application de la politique de mots de passe.
Protection
Relativement aux données, les CASB offrent des fonctions de chiffrement. Cela est certes en phase avec les préconisations GDPR, mais il n’en reste pas moins une question délicate. Le chiffrement, déjà parce qu’il occupe un espace de stockage substantiel et parce qu’il complexifie l’usage des données, ne peut se faire sur la totalité des données. Le marquage des données sensibles est donc un préalable.
Pour être dans un esprit de GRDP compliant, les CASB sont aussi également pour les dernières générations d’entre eux enrichis de solutions de Data Loss Prevention (DLP). Dans la mesure où les compromissions de données sont ciblées par le GDPR, ce sont des solutions qui augmentent les capacités de réaction en cas d’attaque et ainsi de contrecarrer de possibles violations de données.
Cela n’enlève en rien la nécessité d’un travail commun du marketing, des commerciaux, des juristes, des métiers, des RSSI ou encore de la DSI et de la conjugaison de leur force, pour tirer expériences et leçons de la perte de contrôle de l’IT en entreprise. La nature a horreur du vide. Voilà une occasion peut-être de redéfinir la place et l’action de la DSI. Ce n’est pas tant une question de quantité de services que de qualité. Adopter de grandes directives soucieuses des politiques de sécurité, à l’attention des métiers, en laissant le choix des services Cloud ou le choix de la définition des fonctions sur des applications propriétaires, pourrait intégrer le cercle des solutions de compromis pour enrayer le Shadow IT, la perte de contrôle sécuritaire et juridique ou le spectre de sanctions du GDPR.
