L’utilisation de services cloud sur le lieu de travail augmente de manière exponentielle. En 2016, les entreprises utilisaient en moyenne 1 427 services cloud, soit 23,7 % de plus que l’année précédente. En fait, l’usage actuel du cloud est près de trois fois supérieur à ce qu’il était il y a quatre ans.
Malgré la prévalence croissante des programmes informatiques « cloud first », la plupart des applications cloud dont se servent les entreprises entrent dans la catégorie du Shadow IT, un phénomène qui présente un risque pour les données sensibles. Dans ce contexte, le Shadow IT désigne l’usage par les employés de services cloud non autorisés, généralement dépourvus de contrôles de sécurité robustes, à l’insu du département informatique. Sur plus de 20 000 services cloud utilisés aujourd’hui, moins de 8,1 % répondent aux exigences de sécurité et de confidentialité des données des entreprises.
Les entreprises sous-estiment bien souvent l’ampleur des services cloud cachés auxquels les employés font appel. D’après les données recueillies par Skyhigh auprès de plus de 30 millions d’utilisateurs à travers le monde, le Shadow IT est 10 fois plus étendu que ne l’imaginent les départements informatiques. Les entreprises peuvent atténuer les risques liés au Shadow IT en misant sur des solutions CASB (Cloud Access Security Broker) afin de bénéficier d’une visibilité et d’un contrôle accrus sur les services SaaS cachés, tout en maintenant la productivité des employés. Voici les cinq principales façons dont une solution CASB aide les entreprises à contrôler l’utilisation de services cloud cachés.
1) Identifier les services cloud utilisés
Pour appréhender et éviter l’usage de services cloud potentiellement à haut risque, la première étape consiste à déterminer l’étendue du Shadow IT dans l’entreprise. Les solutions CASB collectent les logs des pare-feu et des proxies et analysent leur contenu, ce qui aide le département informatique à identifier les services cloud utilisés par l’ensemble des employés et des unités opérationnelles, et à savoir lesquels ne répondent pas aux exigences de sécurité.
Pour détecter les services cloud, les solutions CASB recueillent les données de log des pare-feu réseau et des proxies Web. Les outils SIEM simplifient le processus en permettant aux solutions CASB de compiler les logs provenant d’un canal spécifique plutôt que de sources multiples. Les solutions CASB s’intègrent facilement avec la technologie SIEM via un connecteur sur site, les données des logs étant tokenisées avant leur transfert vers la plate-forme afin de protéger les informations d’identification, comme les adresses IP et les noms d’utilisateur.
2) Évaluer le risque associé aux services cloud
Les solutions CASB s’appuient sur les logs de pare-feu et de proxies pour détecter l’utilisation de services cloud, car ils renferment un registre à jour et détaillé de tous les services cloud. La plupart des solutions CASB permettent également aux entreprises d’évaluer le danger associé à n’importe quel service cloud en fournissant des scores de risque établis à partir de plus de 50 attributs et plus de 260 sous-attributs (service revendiquant la propriété des données transférées, service partageant des données client avec des tiers sans autorisation, cryptage des données stockées au repos, etc.). Le recours à un registre contenant des renseignements à jour sur le cloud accélère considérablement l’évaluation qu’effectuent les équipes de sécurité informatique avant d’autoriser les services cloud.
La question de la propriété des données transférées vers le cloud constitue un critère essentiel d’évaluation du risque d’exposition des informations sensibles. Par exemple, certains services de conversion au format PDF revendiquent la propriété de chaque fichier téléchargé sur leur plate-forme. Un employé qui n’a pas conscience des dangers associés au service qu’il utilise pour gagner en productivité met en péril les données sensibles de l’entreprise.
L’analyse d’évaluation du risque est une composante fondamentale des solutions CASB dans la mesure où elle identifie les avantages et les risques liés à chaque service cloud.
3) Appliquer des règles de gouvernance du cloud
Une fois chaque service cloud évalué, les équipes informatiques peuvent se servir des scores de risque fournis par la solution CASB pour définir des règles acceptables de gouvernance du cloud. La solution CASB s’intègre ensuite avec le pare-feu ou la passerelle Web sécurisée de l’entreprise pour appliquer les règles. Cette fonction est cruciale pour gérer le Sadow IT au sein de l’entreprise. Elle permet de blacklister les services potentiellement dangereux et de promouvoir ceux qui peuvent s’avérer utiles, une approche qui limite les vulnérabilités des données et améliore la productivité des employés.
Les utilisateurs de solutions CASB classent généralement les services cloud dans trois grandes catégories : 1) les services autorisés par le département informatique, parmi lesquels des outils utiles, exploitables par toute l’entreprise et dotés de puissantes fonctions de sécurité, 2) les services tolérés, utilisables par les employés, mais qui n’offrent pas les applications de sécurité ni l’efficacité des services autorisés, et les 3) services interdits qui sont dépourvus du moindre mécanisme de sécurité de base ou présentent des clauses dangereuses pour l’entreprise.
4) Détecter l’exfiltration de données et les fuites au niveau du proxy
Avec une solution CASB, les entreprises peuvent analyser leur réseau afin de détecter tout malware susceptible d’utiliser le cloud comme vecteur d’exfiltration de données, telles que des informations sensibles exposées via un compte Twitter privé. Si la mise en place de règles de gouvernance des services cloud cachés empêche le transfert de données sensibles vers des services non autorisés, prévenir l’exfiltration de données vers des services cloud tolérés ou autorisés est tout aussi indispensable à une sécurité efficace du cloud. Les solutions CASB sont également en mesure d’identifier les menaces potentielles grâce à une protection basée sur l’apprentissage machine, un moyen d’empêcher les pirates et les malwares de se servir du cloud en tant que vecteur d’attaque.
L’application de règles de gouvernance du cloud via un pare-feu de nouvelle génération (NGFW) ou une passerelle Web sécurisée comporte plusieurs limitations qui entraînent des lacunes au niveau de la couverture. Premièrement, les adresses IP et les domaines utilisés par les services cloud changent constamment, et les bases de données employées par ces solutions ne tiennent pas un registre complet ni à jour des services cloud. Deuxièmement, les règles de gouvernance cloud appliquées sur les dispositifs de sortie ne sont pas toujours normalisées à l’échelle mondiale, d’où des disparités en termes de couverture. Enfin, les exceptions définies pour un individu ou un service spécifique peuvent très vite s’étendre et permettre à toute une équipe d’accéder à une catégorie entière de services cloud. Les CASB détectent ces lacunes et s’intègrent avec les solutions de sortie pour les combler.
5) Bénéficier d’une visibilité granulaire et d’un contrôle au niveau de l’activité
Avec une solution CASB, les entreprises bénéficient d’une meilleure visibilité sur les activités des utilisateurs dans le cloud. Elles peuvent en outre appliquer des contrôles granulaires au niveau de l’utilisateur, de l’activité et des données. Contrairement aux cas d’utilisation précédents, qui tirent parti de l’intégration avec les pare-feu et proxies, celui-ci s’appuie sur le proxy de transfert de la solution CASB. Le mode proxy de transfert a recours à la technique SSL « Man In The Middle » pour vérifier le trafic cloud et déterminer lequel peut être transféré aux employés. Cette solution offre un niveau de personnalisation supplémentaire puisqu’elle permet de choisir à un micro-niveau les référentiels d’un service utilisables ou non par les employés.
La solution CASB est non seulement capable d’identifier, d’évaluer et de gouverner les services cloud, mais aussi de limiter l’exfiltration de données et d’appliquer des règles reposant sur des critères très précis. Grâce à l’approche CASB multidimensionnelle, les entreprises peuvent exploiter une grande diversité de services cloud en toute confiance.
________
Joël Mollo est Directeur Europe du Sud & Middle East, Skyhigh Networks