CipherCloud veut chiffrer de bout en bout les données des applications Cloud

Créé il y a quatre ans, par l’ancien co-fondateur d’ArcSight, CipherCloud entend apporter les moyens de reprendre le contrôle des données dans le Cloud, en les chiffrant de bout en bout, avec un niveau de granularité très élevé.

Selon l’édition 2014 de l’étude de CipherCloud sur l’adoption du Cloud et les risques associés, rendue publique ce 3 février, il y aurait rien moins que 981 applications Cloud en utilisation dans les entreprises du Vieux Continent. Mais 86 % d’entre elles relèveraient de ce que l’on appelle le Shadow IT : des ressources informatiques utilisées sans l’assentiment de la DSI.

Pire : 70 % des applications Cloud américaines utilisées dans des organisations européennes ne bénéficieraient pas de certification Safe Harbor. Outre les données, c’est la conformité réglementaire de l’entreprise qui est là sujette à risque.

Reprendre le contrôle

S’il fallait encore s’en convaincre, l’adoption du Cloud est donc en marche, mais encore trop souvent à l’insu d’une DSI rafraîchie par le manque de contrôle sur les données. Et c’est justement à cela que CiperCloud entend répondre : « les clients veulent reprendre le contrôle de leurs données », souligne Paige Leidig, directeur marketing de la start-up.

CipherCloud a démarré ses activités publiques en février 2011, sous la direction de Pravin Kothari qui l’a fondé en 2010. Un ancien de la sécurité informatique : avant cela, il avait fondé Agiliance, un spécialiste de la gouvernance et de la gestion du risque et de la conformité (GRC), dont il a été directeur technique. Mais au préalable, il avait co-fondé ArcSight – et en avait été vice-président en charge de l’ingénierie. HP a racheté ce spécialiste de la détection d’intrusion en septembre 2010, pour 1,5 Md$.

Chiffrer de bout en bout

 

CipherCloud s’installe aujourd’hui en France. Paige Leidig explique que sa technologie repose sur une passerelle, un reverse proxy en fait, qui assure chiffrement AES-256, tokenisation, supervision de l’activité, prévention des fuites de données, et détection de logiciels malveillants. Le but est de permettre de découvrir les applications Cloud utilisées au sein de l’organisation, mais également, et surtout, de « protéger pleinement les données, en transit comme au repos », souligne Paige Leidig.

Mais là où certains ne proposent que le chiffrement de fichiers, pour des services comme Box ou Dropbox, CipherCloud assure le chiffrement des données jusqu’au champ de formulaire. Un Salesforce.com, par exemple, ne stockera ainsi, dans ses centres de calcul, aucune donnée en clair : tout ce qu’il verra passer sera des données chiffrées.

Pour le permettre, et ne pas perdre en fonctionnalités, CipherCloud « travaille étroitement avec des partenaires tels que Salesforce.com, Box, Google, Microsoft – pour Office 365 –, et Amazon – pour AWS – afin de s’assurer que toutes les fonctionnalités sont préservées ».

Indexer les données

Pour cela, la passerelle CipherCloud – une appliance virtuelle – peut être amenée à « récupérer les données chiffrées dans l’application Cloud, exécuter le traitement, puis transmettre les résultats à l’utilisateur », explique Paige Leidig. L’appliance prend donc à sa charge certains traitements censés avoir lieu dans l’infrastructure du fournisseur du service.

On retrouve une logique comparable dans le traitement des recherches : avant d’être envoyées au service Cloud chiffrés, les données sont indexées en local par la passerelle, qui embarque sont propre moteur de recherche supportant le langage naturel mais également les expressions régulières.

CipherCloud propose ses propres outils pour la gestion des clés de chiffrement et leur rotation. Mais un partenariat permet aussi de s’appuyer pour cela sur les outils de SafeNet. La solution de chiffrement peut également s’intégrer avec les services de PingIdentity pour la gestion des identités. Et outre les services Cloud majeurs, CipherCloud peut fonctionner avec d’autres applications, métiers et développées en interne, ou encore celles de Netsuite, ServiceNow, SuccessFactors et Yammer.

Dans l’Hexagone, CipherCloud revendique trois références, non nommées, dans les secteurs de l’assurance, des services financiers, et de l’industrie. La start-up a engagé les démarches nécessaires à l’obtention de la certification CSPN de l’Agence nationale pour la sécurité des systèmes d’information.

Pour approfondir sur Backup