Pour sécuriser les applications en mode Cloud, RSA mise sur les partenariats
Pour Tom Corn, directeur de la stratégie de RSA, le Cloud est un élément de transformation majeur des systèmes d’information modernes.
Pour Tom Corn, directeur de la stratégie de RSA, le Cloud est un élément de transformation majeur des systèmes d’information modernes. Dans ce contexte, sécuriser les environnements suppose, selon lui, de déterminer le risque à la volée et d’assurer une vérification de la confiance en continu, entre le terminal d’accès et l’utilisateur, d’une part, et les services d’autre part. Ce qui induit une approche hybride et étendue au nuage de la gestion des identités et des accès. Mais, pour cela, il faut s’appuyer sur un écosystème - «personne ne peut le faire seul.» D’où l’établissement de partenariats avec des acteurs tels que VMware, Citrix, Juniper, Appcelerator, Feedhenry, ou encore Zscaler. C’est ce dernier qui a fait l’objet d’une attention tout particulière de RSA lors de la conférence du même nom, la semaine dernière, à San Francisco.
RSA joue là la carte de l’intégration entre ses solutions d’authentification et la passerelle Web sécurisée de Zscaler. Les outils de RSA déterminent un niveau de risque associé au contexte d’accès, tandis que la passerelle va autoriser ou pas l’accès aux services en fonction du niveau de risque déterminé au préalable, ou encore demander un effort d’authentification supplémentaire : «lorsque le contexte est le même que d’habitude, le risque est considéré comme faible, par exemple. Mais depuis un nouveau portable, un endroit inconnu... une nouvelle étape d’authentification, basée sur un ‘défi’ - ce qui correspond à quelques questions - pourra être demandée.» Quant aux interactions avec le Web, tout est basé sur les règles de filtrage définies dans la solution Zscaler. Mais les règles de sécurité, de fréquence du contrôle du niveau de risque, etc. peuvent être personnalisés par l’entreprise. «Et si quelque chose change en cours de route dans l’environnement de l’utilisateur, il retourne à l’authentification et à la vérification d’identité.» Et si le contrôle peut ne se faire qu’à l’ouverture de session, les outils de Zscaler peuvent être configurés pour que le contrôle soit fait au lancement de chaque requête HTTP pour une granularité plus fine mais aussi, peut-être, une sécurité un peu plus intrusive.