Qu’est-ce qu’un Cloud Access Security Broker (CASB) et quel est son rôle ?

L’infrastructure IT des organisations est sans cesse redéfinie. Les différentes branches au sein d’une organisation achètent désormais elles-mêmes des services cloud – et le rôle des services IT est de préserver la sécurité des données dans ce nouvel environnement. « La solution consiste à s’appuyer sur un Cloud Access Security Broker (CASB), » affirme Tejas Lagad, directeur pour l’Asie de Nexus Group, société spécialisée dans les identités et la sécurité.

Jusqu’ici, la priorité des responsables IT était d’implémenter des systèmes auxquels les employés de l’organisation puissent avoir accès, et les experts en sécurité IT devaient s’assurer qu’aucune personne extérieure à l’organisation ne puisse accéder à ces systèmes.

Nouvelles exigences en termes de sécurité

Lagad : « Mais bientôt, il a été demandé aux responsables IT d’ouvrir leurs systèmes, afin de permettre aux employés de travailler à distance, et aux partenaires d’accéder à certaines ressources. Les experts en sécurité ont dû intervenir pour garantir que les bonnes personnes aient accès aux bonnes ressources, et que cet accès soit refusé à toute personne non autorisée. »

À présent, les équipes IT ont moins de contrôle sur les données de l’entreprise, ce qui entraîne de nouveaux changements en termes de sécurité.

Lagad : « Les différentes branches des organisations dématérialisent leurs activités et implémentent leurs propres systèmes, qu’ils achètent sous forme de services cloud. Le rôle des responsables IT est désormais de maintenir une plateforme permettant à ce que l’on appelle le « shadow IT » de se développer, tout en assurant la protection des données. »

Nécessité d’un point d’application des procédures de sécurité

Un broker d’accès cloud sécurisé (ou CASB, pour Cloud Access Security Broker) est une plateforme d’application des procédures de sécurité, implémentée entre les fournisseurs de services cloud et les utilisateurs.

Lagad : « Le CASB, qu’il soit déployé sur site ou dans le cloud, veille à l’application des procédures de sécurité de l’entreprise lors des accès aux ressources hébergées dans le cloud. »

L’accès est autorisé ou refusé selon un certain nombre de critères :

  • Qui est l’utilisateur, et quel est son rôle ?
  • Où est localisé l’utilisateur, et quel type de réseau utilise-t-il ?
  • De quel équipement l’utilisateur se sert-il (ordinateur de l’entreprise ou personnel, tablette ou téléphone mobile) ?
  • L’utilisateur est-il autorisé à accéder aux ressources dans ce créneau horaire ?

Lagad : « Le CASB simplifie également la vie des utilisateurs grâce au single sign-on (SSO). Cette fonctionnalité leur permet en effet de s’authentifier une seule fois pour accéder à tous les services cloud auxquels ils ont souscrit. »

Avantages d’un lieu de stockage unique des identités

Le SSO, qui s’appuie sur la fédération des identités, garantit l’accès à la demande des utilisateurs aux services cloud dès leur première utilisation de l’application cloud.

Lagad : « Le CASB permet de s’assurer que toutes les applis cloud exploitent un lieu de stockage unique des identités, par l’authentification directe des utilisateurs auprès de votre annuaire d’entreprise. »

Cela permet d’éliminer les comptes redondants, et d’appliquer efficacement les stratégies de mots de passe.

Lagad : « Et plus important encore du point de vue de la sécurité, cette approche garantit que l’accès des utilisateurs aux services cloud pourra être aisément supprimé, lorsque ceux-ci quitteront l’organisation ou changeront de rôle. En effet, la suppression ou la désactivation d’un compte dans votre annuaire d’entreprise, ou encore le changement du groupe d’appartenance de ce compte, supprime automatiquement son accès aux applis cloud. »

Différentes options d’authentification multi-facteurs

Un CASB de qualité doit offrir différentes options d’authentification à plusieurs facteurs, de façon à vous permettre de choisir les bonnes méthodes d’authentification selon les groupes d’utilisateurs. Il peut être également judicieux de renforcer l’authentification pour les applications sensibles.

Lagad : « Dans la plupart des cas, une appli d’authentification sécurisée et conviviale, avec des notifications de type ‘push’, reste la méthode d’authentification privilégiée. Elle présente plusieurs avantages, comme d’être économique et de libérer vos utilisateurs de la contrainte d’avoir à mémoriser des mots de passe. »

Le CASB doit également offrir une visibilité sur les applications auxquelles les utilisateurs accèdent, et sur la localisation de ceux-ci.

Lagad : « Cet aspect est essentiel pour contrôler le shadow IT et garantir la conformité des procédures. »

Sécuriser également les applications en interne

Même si l’adoption du cloud est en forte croissance, certaines applications restent hébergées en local.

Lagad : « Par conséquent, il est recommandé d’opter pour un CASB de type hybride. Cela signifie qu’il sera capable de sécuriser non seulement vos applications cloud mais également celles que vous continuez d’héberger dans votre data center. Cette approche permet de faciliter la transition pour vos utilisateurs, et de réduire les tâches administratives pour vos équipes IT. »

Il existe une variété de brokers d’accès cloud sécurisé sur le marché. L’un des plus plébiscités est la plateforme d’authentification Nexus Hybrid Access Gateway.

Pour découvrir comment la solution Nexus peut répondre à vos besoins ou à ceux de vos clients, n’hésitez pas à prendre contact avec Tejas Lagad ou un autre représentant de Nexus.