Qu'est-ce qu'un CASB (Cloud Access Security Broker, Agent de sécurité des accès au Cloud) ?

Activation sécurisée de services du Cloud pour les particuliers et les entreprises

Selon Gartner, un CASB (Agent de sécurité des accès au Cloud) est un point d'application de la stratégie de sécurité (sur site ou dans le Cloud) qui intervient entre les utilisateurs et les fournisseurs de services Cloud. Il combine et associe les stratégies de sécurité d'entreprise lorsque des utilisateurs accèdent à des ressources dans le Cloud.

 

Les entreprises font de plus en plus souvent appel aux CASB pour gérer les risques liés aux services Cloud, appliquer des stratégies de sécurité et se mettre en conformité avec les réglementations en vigueur, même lorsque les services Cloud concernés se trouvent au-delà de leur périmètre et hors de leur contrôle direct.

 

Si vous avez l'intention d'utiliser un CASB pour renforcer votre confiance en ce qui concerne l'utilisation de services cloud dans votre entreprise, envisagez d'adopter une approche granulaire en matière d'application des politiques et de protection des données. Autrement dit, pensez scalpel plutôt que marteau-piqueur pour votre sécurité cloud.

Netskope reste en tête du Magic Quadrant 2019 de Gartner (MQ) sur le marché du CASB

Pour la troisième année consécutive, Gartner a désigné Netskope comme Leader dans le Magic Quadrant, catégorie « Cloud Access Security Brokers », sur la base de l'exhaustivité de son approche et de sa capacité d'exécution. La plateforme Netskope Security Cloud a été reconnue par Gartner comme ayant l'approche la plus complète.

Les quatre piliers des CASB

Visibilité

Les entreprises ont besoin de visibilité et de contrôle sur l'ensemble des services cloud, managés ou non. Au lieu d'adopter une approche qui oscille entre « Autoriser » et « Bloquer » tous les services cloud, le CASB doit permettre au département informatique d'autoriser les services utiles tout en contrôlant l'accès aux activités et aux données de ces services. Cela peut permettre d'offrir un accès complet à une suite autorisée comme Microsoft Office 365 aux utilisateurs des périphériques de l'entreprise, tout en autorisant l'accès aux e-mails uniquement sur le Web pour les utilisateurs de périphériques non gérés. Cette approche peut aussi permettre d'appliquer une stratégie de type « Aucun partage hors de l'entreprise » pour l'ensemble d'une catégorie de services non autorisés. Même si la sécurité cloud est l'objectif principal d'un CASB, il offre aussi l'avantage de vous aider à contrôler vos dépenses liées au cloud. Le CASB vous aide à identifier tous les services cloud utilisés, à créer des rapports sur les dépenses liées au cloud, et à éviter les fonctions et les licences redondantes. Un CASB peut fournir de précieuses informations financières et commerciales, tout en vous apportant une protection.

Conformité

À mesure que les entreprises déplacent leurs données et leurs systèmes vers le cloud, elles doivent s'assurer qu'elles sont conformes aux nombreuses réglementations conçues pour assurer la sécurité et la confidentialité des données personnelles ou d'entreprise.Et avec l'augmentation de l'utilisation des données, les réglementations évoluent constamment. Les CASB (Agents de sécurité des accès au cloud) vous aident à garantir la conformité dans le cloud, que votre entreprise soit un établissement de santé préoccupé par la conformité HIPAA ou HITECH, une société de vente au détail soumise aux réglementations PCI, ou une entreprise financière qui doit être conforme aux textes FFIEC et FINRA. Un CASB contribue à protéger votre entreprise de toute fuite de données, en respectant les réglementations sur les données établies par votre secteur.

Sécurité des données

Pour une précision optimale, le système utilise des mécanismes de détection de DLP Cloud très évolués, comme le fingerprinting de document. Ces mécanismes sont combinés à une réduction de la surface de détection grâce au contexte (utilisateur, emplacement, activité, etc.). Lorsqu'un contenu sensible est découvert dans le cloud ou à destination du cloud, le CASB permet au département informatique de bloquer efficacement les violations présumées sur leurs systèmes locaux en vue d'une analyse plus approfondie. Des recherches approfondies sur les menaces observées permettent à votre entreprise d'identifier et de neutraliser les activités malveillantes avant qu'elles ne prennent de l'ampleur. Agissant comme un gardien, le CASB simplifie ce processus. Spécialistes des besoins informatiques et des pratiques commerciales, les CASB ont toutes les compétences pour renforcer la sécurité d'une entreprise.

Protection contre les menaces

Les entreprises doivent s'assurer que leurs employés n'introduisent ni ne propagent aucun logiciel malveillant ou menace cloud via des vecteurs tels que les services de stockage dans le cloud, ou les clients et services de synchronisation associés. En d'autres termes, les entreprises doivent être en mesure d'analyser et de corriger les menaces sur les réseaux internes et externes, en temps réel, dès qu'un employé tente de partager ou d'importer un fichier infecté. L'entreprise doit également être en capacité de détecter et d'interdire tout accès non autorisé à des données et services dans le cloud, afin d'identifier les comptes compromis.

Un CASB peut protéger une entreprise contre une multitude de menaces cloud et de malwares. Pour votre entreprise, il est essentiel d'éviter les menaces en conjuguant des analyses statiques et dynamiques des malwares afin d'obtenir des informations détaillées. Certaines menaces peuvent provenir des services cloud – ou se propager par eux. Une protection appropriée contre les menaces constitue votre bouclier.

Les entreprises ont besoin de visibilité et de contrôle sur l'ensemble des services cloud, managés ou non. Au lieu d'adopter une approche qui oscille entre « Autoriser » et « Bloquer » tous les services cloud, le CASB doit permettre au département informatique d'autoriser les services utiles tout en contrôlant l'accès aux activités et aux données de ces services. Cela peut permettre d'offrir un accès complet à une suite autorisée comme Microsoft Office 365 aux utilisateurs des périphériques de l'entreprise, tout en autorisant l'accès aux e-mails uniquement sur le Web pour les utilisateurs de périphériques non gérés. Cette approche peut aussi permettre d'appliquer une stratégie de type « Aucun partage hors de l'entreprise » pour l'ensemble d'une catégorie de services non autorisés. Même si la sécurité cloud est l'objectif principal d'un CASB, il offre aussi l'avantage de vous aider à contrôler vos dépenses liées au cloud. Le CASB vous aide à identifier tous les services cloud utilisés, à créer des rapports sur les dépenses liées au cloud, et à éviter les fonctions et les licences redondantes. Un CASB peut fournir de précieuses informations financières et commerciales, tout en vous apportant une protection.

×

À mesure que les entreprises déplacent leurs données et leurs systèmes vers le cloud, elles doivent s'assurer qu'elles sont conformes aux nombreuses réglementations conçues pour assurer la sécurité et la confidentialité des données personnelles ou d'entreprise.Et avec l'augmentation de l'utilisation des données, les réglementations évoluent constamment. Les CASB (Agents de sécurité des accès au cloud) vous aident à garantir la conformité dans le cloud, que votre entreprise soit un établissement de santé préoccupé par la conformité HIPAA ou HITECH, une société de vente au détail soumise aux réglementations PCI, ou une entreprise financière qui doit être conforme aux textes FFIEC et FINRA. Un CASB contribue à protéger votre entreprise de toute fuite de données, en respectant les réglementations sur les données établies par votre secteur.

×

Pour une précision optimale, le système utilise des mécanismes de détection de DLP Cloud très évolués, comme le fingerprinting de document. Ces mécanismes sont combinés à une réduction de la surface de détection grâce au contexte (utilisateur, emplacement, activité, etc.). Lorsqu'un contenu sensible est découvert dans le cloud ou à destination du cloud, le CASB permet au département informatique de bloquer efficacement les violations présumées sur leurs systèmes locaux en vue d'une analyse plus approfondie. Des recherches approfondies sur les menaces observées permettent à votre entreprise d'identifier et de neutraliser les activités malveillantes avant qu'elles ne prennent de l'ampleur. Agissant comme un gardien, le CASB simplifie ce processus. Spécialistes des besoins informatiques et des pratiques commerciales, les CASB ont toutes les compétences pour renforcer la sécurité d'une entreprise.

×

Les entreprises doivent s'assurer que leurs employés n'introduisent ni ne propagent aucun logiciel malveillant ou menace cloud via des vecteurs tels que les services de stockage dans le cloud, ou les clients et services de synchronisation associés. En d'autres termes, les entreprises doivent être en mesure d'analyser et de corriger les menaces sur les réseaux internes et externes, en temps réel, dès qu'un employé tente de partager ou d'importer un fichier infecté. L'entreprise doit également être en capacité de détecter et d'interdire tout accès non autorisé à des données et services dans le cloud, afin d'identifier les comptes compromis.

Un CASB peut protéger une entreprise contre une multitude de menaces cloud et de malwares. Pour votre entreprise, il est essentiel d'éviter les menaces en conjuguant des analyses statiques et dynamiques des malwares afin d'obtenir des informations détaillées. Certaines menaces peuvent provenir des services cloud – ou se propager par eux. Une protection appropriée contre les menaces constitue votre bouclier.

×

Principales catégories de scénarios d'utilisation de CASB

01

Gouvernance de l'utilisation

Bien connus pour être efficaces dans la découverte de comportements non autorisés (Shadow IT), les CASB s'illustrent aussi dans d'autres aspects sécurité de l'entreprise. Un CASB peut régir l'utilisation que votre entreprise fait du cloud au moyen d'une visibilité minutieuse et de contrôles détaillés. Plutôt que d'adopter une approche « grossière » en bloquant les services, contrôlez leur utilisation en fonction de l'identité, du service, de l'activité, de l'application et des données. Définissez des règles selon la catégorie du service ou selon le risque, et sélectionnez des actions (bloquer, alerter, contourner, chiffrer, mettre en quarantaine ou conseiller) relatives à l'application de ces règles. Ensuite, pour assurer une surveillance en interne, informez votre équipe informatique des actions que vous avez prises par rapport à une règle en place.

02

Sécurisation des données

Protégez-vous et évitez la perte de données sensibles dans tous les services cloud de votre environnement, et pas seulement ceux que vous autorisez. Tirez parti des fonctions avancées de DLP (Protection contre les pertes de données) d'entreprise pour découvrir et protéger les données sensibles dans les services cloud, ainsi que celles qui transitent vers et depuis tous les services cloud, autorisés ou non, que l'utilisateur se trouve sur site ou à distance, qu'il utilise un périphérique mobile ou qu'il accède au système via un navigateur Web, une appli mobile ou un client de synchronisation. Luttez contre la perte de données à l'aide du chiffrement, des jetons ou de l'interdiction de transférer des contenus.

03

Protection contre les menaces

Bloquez les menaces du cloud comme les malwares et les ransomwares. Commencez avec une visibilité complète de tous les services cloud, même ceux qui utilisent des connexions cryptées SSL. Utilisez la détection d'anomalies, ainsi que des informations sur les menaces pour savoir notamment lequel de vos utilisateurs emploie un compte infecté. Ajoutez ensuite des niveaux de détection antimalware statique et dynamique, plus l'apprentissage machine pour détecter les ransomwares. Enfin, blindez le reste de votre infrastructure de sécurité en appliquant vos résultats, grâce à des intégrations et à des workflows prêts à l'emploi. Parce que les menaces vont continuer à innover dans leur approche, votre fournisseur CASB doit en faire de même.

Checklist du CASB

Votre entreprise évalue les CASB (Agent de sécurité des accès au Cloud) en vue d'activer en toute sécurité des services Cloud autorisés ou non. Cette liste de contrôle fournit des exemples spécifiques basés sur des scénarios d'utilisation, qui vous aideront à différencier les CASB que vous évaluez.

Puis-je contrôler les activités dans les applications cloud (gérées ou non) au lieu d'avoir à bloquer complètement certains services ?

Réponse : Plutôt que d'attaquer le service « au marteau-piqueur » en le bloquant, intervenez du bout du scalpel sur une activité, comme « Partager ». Vous pouvez agir au niveau de la catégorie, pour tous les services de stockage dans le cloud, par exemple. Cela vous permet d'autoriser les services (de ne pas les bloquer) tout en limitant les risques.

Puis-je appliquer mes stratégies concernant les données sensibles sur le trafic vers et depuis les services de Cloud ? Puis-je réduire les faux positifs en recherchant uniquement les transactions de Cloud qui m'intéressent ?

Réponse : Au lieu de rechercher et de sécuriser le contenu uniquement dans votre service autorisé, faites-le dans l'ensemble des services autorisés et non autorisés, que le contenu soit au repos ou en transit. Minimisez en outre les faux positifs et augmentez la précision en réduisant la surface sensible grâce au contexte. Utilisez des filtres pour gérer les transactions cloud qui vous intéressent, en supprimant des utilisateurs, des services, des catégories, des emplacements et des activités des éléments inspectés. Enfin, appliquez des politiques.

Puis-je appliquer des stratégies basées sur des groupes Microsoft Active Directory ou des unités organisationnelles ?

Réponse : Au lieu d'importer ou d'entrer manuellement les données utilisateur, appliquez des politiques qui intègrent des groupes issus du répertoire de votre entreprise, par exemple Microsoft Active Directory.

Puis-je détecter les anomalies des activités cloud, comme les téléchargements ou les partages excessifs dans tous les services, ou bien savoir si des utilisateurs envoient des extensions ou des fichiers qui ont été renommés ?

Réponse : Au lieu de détecter les anomalies uniquement dans les services autorisés ou à un niveau général comme les accès, détectez les anomalies sur la base des activités dans l'ensemble des services, autorisés ou non.

Puis-je surveiller et intégrer dans des rapports les activités des services réglementés, comme les services Finances et Comptabilité, à des fins de mise en conformité ?

Réponse : Au lieu de garder les services réglementés sur site, migrez-les vers le cloud tout en garantissant la conformité aux réglementations, notamment Sarbanes-Oxley. Créez des rapports des accès et des modifications de données dans les systèmes de rapport cloud.

Puis-je appliquer des stratégies à distance, y compris sur mobile et dans les clients de synchronisation ?

Réponse : Au lieu d'exclure la surveillance et le contrôle sur site de votre modèle de sécurité du cloud, appliquez vos politiques quel que soit l'endroit où vos utilisateurs se trouvent et le périphérique qu'ils utilisent.

Puis-je atténuer les risques que représentent les utilisateurs dont le compte est infecté ?

Réponse : Identifiez les utilisateurs qui accèdent à vos services avec des informations d'identification de compte compromises, et protégez-vous de leurs activités.

Puis-je détecter et corriger les menaces et les malwares dans mes services du Cloud ?

Réponse : Identifiez et bloquez les menaces et les malwares qui transitent vers ou depuis tous vos services cloud, ou qui y résident.

Apportez-vous une valeur ajoutée à mes investissements existants en me permettant d'intégrer votre produit à des solutions sur site comme les outils DLP, SIEM, Sandbox de malwares ou EDR ?

Réponse : Au lieu de déployer la sécurité cloud dans un silo, rentabilisez vos investissements existants en faisant appel à un CASB.

Est-ce que vous offrez en priorité les options de déploiement qui répondent à mes besoins, notamment la conservation de toutes mes données sur site ? Ce produit est-il un investissement d'avenir ?

Réponse : Au lieu d'être forcé de choisir le modèle de déploiement d'un fournisseur de CASB, choisissez le déploiement qui répond le mieux à vos besoins, maintenant et à l'avenir.

CASB MQ 2019 de Gartner : La traversée du miroir

Le nouveau rapport CASB MQ 2019 de Gartner a été publié, et Netskope se réjouit d'avoir été nommé Leader pour la troisième année consécutive.

Netskope est arrivé en tête du classement pour le critère « complétude de vision ». Cette nomination atteste de la performance de notre technologie de pointe, notre architecture intégrée, la configuration unifiée de notre console et de nos politiques, l'élargissement de notre offre et la vision à long terme de notre entreprise.

Appel d'offres CASB – Modèle

Prêt à évaluer les fournisseurs de solutions CASB ? Téléchargez notre modèle d'appel d'offres CASB, qui comprend des questions sur l'ensemble des fonctions qu'assurent les CASB.

Ressources

Demander une démo

Contactez un représentant Netskope pour voir une démo en direct: