De plus en plus de progiciels basculent dans le Cloud et ne sont plus disponibles qu’en mode SaaS. Une évolution qui pose la question de la protection de ces données bien souvent critiques, désormais hébergées chez un tiers. Les solutions de CASB (Cloud Access Security Broker) et de DLP (Data Loss Prevention) viennent à la rescousse.
Avec un taux de croissance annuel de l’ordre de 30 % selon Synergy Research Group, le SaaS est appelé à devenir le mode de consommation des applications d’entreprise très largement dominant à l’avenir. Certaines applications de CRM, GRH ne sont plus disponibles que dans le Cloud et, demain, ce sera sans nul doute le cas de toutes les applications critiques, ERP compris. Sécuriser l’activité des collaborateurs sur ces applications SaaS devient un impératif et la problématique n’est pas aussi triviale qu’il n’y paraît.
Sécuriser ce qui échappe à la DSI
Si les éditeurs sont responsables de la protection des données stockées dans leurs applications, rien n’empêche un commercial de faire une copie de la base client avant de partir chez un concurrent, ou un pirate qui s’est emparé d’un login/password, de rapatrier autant de données qu’il le peut.
Depuis quelques années, les solutions de CASB (Cloud Access Security Broker) cherchent à contrer ce type de fuites de données. Frédéric Saulet, Regional Sales Director chez Netskope, souligne le rôle du CASB chez les clients de l’éditeur : « Notre CASB vise à sécuriser toutes ces applications Cloud qu’utilisent les collaborateurs à longueur de journée. Il s’agit de Microsoft 365 ou G Suite, de Salesforce, mais aussi beaucoup d’applications Web inconnues de la DSI. » L’éditeur a ainsi observé chez ses clients et prospects qu’une immense majorité des applications SaaS utilisées par les collaborateurs échappent complètement au contrôle de leur DSI. « Les DSI nous demandent de surveiller les 4 ou 5 applications SaaS de l’entreprise, or en réalité la moyenne d’applications SaaS utilisées par leurs collaborateurs est de 2 400 applications ! Cela signifie que moins de 1% de ces usages sont réellement contrôlés par l’entreprise. » A l’image des autres éditeurs, Netskope a recensé pas moins de 40 000 applications Cloud et a calculé pour chacune d’elles un score de confiance, le seuil en deçà duquel l’entreprise peut interdire l’accès à cette application. Néanmoins, Frédéric Saulet ajoute que le rôle d’un CASB n’est pas nécessairement d’autoriser ou bloquer les usages du Cloud : « Notre approche n’est pas de bloquer systématiquement les utilisateurs lorsque ceux-ci veulent par exemple partager une donnée sur WeTransfer à la place du Onedrive, nous allons non pas le bloquer, mais lui demander de justifier son choix. Cette démarche qui se veut avant tout pédagogique est très efficace puisque dans plus de 99 % des cas l’utilisateur choisit finalement l’outil « corporate » proposé par son entreprise. »
Les CASB de type « in-line », des proxy physiquement placés entre les utilisateurs et les services SaaS, doivent évoluer. D’une part, les télétravailleurs qui accèdent en direct à leurs applications sans passer par le VPN d’entreprise pour des raisons de performance passent sous le radar du CASB in-line. D’autre part, les éditeurs déconseillent l’usage de ce type de CASB qui ralentit énormément les interactions des utilisateurs et détériore l’expérience utilisateur. De plus en plus, les CASB sont de type « at-Rest », localisés dans le Cloud et mettant en oeuvre les API de chaque éditeur SaaS pour surveiller les données manipulées par les utilisateurs. Oracle a opté pour cette approche avec Oracle CASB Cloud Service disponible en mode Saas, sans installation, au sein de l’offre Cloud de l’éditeur.
Les outils DLP intégrés aux CASB
Autre évolution naturelle des CASB, la convergence avec les outils de DLP (Data Loss Prevention) et les algorithmes comportementaux avec l’UEBA (User and Entity Behavior Analytics). En générant un profil d’utilisation pour chaque utilisateur, la solution détecte une éventuelle compromission du compte sans générer un déluge de faux positifs dès que l’utilisateur fait quelque chose de nouveau. « Le nerf de la guerre en cybersécurité est de savoir quel volume de faux positifs va générer la solution et comment ceux-ci seront-ils traités par les analystes du SOC », argumente Damien Rilliard, EMEA Cloud Security et System Management BDM chez Oracle. « Nous répondons à cette problématique via l’UEBA mais aussi avec les politiques de sécurité que nous définissons nous-mêmes pour nos solutions telles qu’ERP Cloud, Sales Cloud et HCM Cloud. L’entreprise peut venir ajouter ou adapter les propres règles du CASB en fonction de sa propre politique de sécurité. »
Outre des briques CASB et DLP plus efficaces, la tendance de fond est d’aller vers une intégration de plus en plus étroite entre ces outils et les autres briques de cybersécurité, notamment liées au contrôle d’accès. Pour Kevin Sheu, Senior Vice President Marketing de l’éditeur Bitglass, les solutions de CASB et DLP sont appelées à converger vers les architectures SASE. « Ce qui est important aujourd’hui, c’est que le CASB soit en capacité d’interagir avec les autres fonctions de sécurité de l’entreprise, notamment avec les Secure Web Gateway (SWG). Nous supportons les infrastructures de nos clients où qu’elles se trouvent et le niveau de sécurité est ajusté automatiquement selon l’endroit où se trouve le collaborateur. C’est l’atout d’une architecture SASE automatisée. » L’architecture SASE elle-même conduit à une convergence des solutions et, pour le responsable, ce type d’approche doit permettre aux entreprises non plus de combattre le phénomène du BYOD mais bien de l’intégrer à leur stratégie de protection.
Des offres tout en un intégrées
Cette intégration des briques CASB et DLP aux plateformes d’accès SWG fait pleinement partie de la stratégie du leader de ce marché, Zscaler. explique Ivan Rogissart, Sales Engineer Director pour l’Europe du sud chez Zscaler : « Avant de songer au CASB et au DLP, l’entreprise doit s’assurer de la sécurisation des accès de ses collaborateurs. Cela passe par la SWG, par la mise en oeuvre d’un firewall Cloud capable de gérer la voix sur UDP mise en oeuvre par Microsoft Teams ou gérer les ports non standards. »
La mise en place d’architectures Zero Trust puis l’alignement vers le modèle SASE va pousser les entreprises à opter soit pour des offres de sécurité Cloud tout en un intégrées, ce sur quoi mise Zscaler, mais aussi privilégier les interactions entre briques de sécurité via le SOAR, un mouvement de fond qui va bien au-delà de la seule protection des données dans le SaaS.
