rvlsoft - Fotolia
Chiffrement : Dropbox mise sur ses API et ses partenaires
Patrick Heim, directeur confiance et sécurité de Dropbox, revient, à l’occasion d’un entretien, sur l’approche retenue par le service pour offrir aux entreprise le contrôle qu’elles souhaitent sur leurs données.
LeMagIT : Depuis quelque temps déjà, Box permet aux entreprises qui le souhaite de gérer leurs propres clés de chiffrement pour les données au repos sur ses serveurs. Envisagez-vous de suivre la même voie ?
Patrick Heim : Si vous chiffrez vos données, c’est parce que vous voulez les protéger. C’est une évidence. Mais si vous ne faites cela que dans le contexte de Dropbox, avec cet unique fournisseur de service Cloud, vous n’apportez qu’une réponse partielle. Les données restent stockées en clair sur le poste de travail.
Nous avons donc réfléchi au sujet avec la perspective d’un architecte de sécurité. Et nous avons conclu [qu’une telle approche] ajoute beaucoup de complexité, potentiellement des coûts additionnels, tout en affectant l’utilisabilité, et sans résoudre le problème dans sa globalité.
Dès lors, nous avons préféré nous tourner vers le marché à la recherche de fournisseurs de solutions complètes, offrant chiffrement et gestion des droits, des éditeurs comme Vera ou encore l’allemand BoxCryptor.
Nous estimons qu’il est plus pertinent, pour ces clients qui se préoccupent vraiment des clés de chiffrement, de répondre à ces attentes à l’échelle de leur entreprise et au niveau du document, et où qu’il se trouve. Nous avons donc travaillé avec ces éditeurs pour leur fournir des API leur permettant de s’intégrer avec Dropbox. Plusieurs éditeurs l’ont fait, comme Sookasa, par exemple, récemment racheté par Barracuda Networks et l’un de nos premiers partenaires dans ce domaine.
LeMagIT : Les plateformes de sécurisation des accès Cloud (CASB) n’ont-elles pas là un rôle à jouer ?
Patrick Heim : Je pense que nous devons distinguer les CASB suivant la manière dont sont implémentées leurs fonctionnalités. Certains s’appuient purement sur le réseau et inspectent le trafic en cassant SSL en man-in-the-middle. D’autres s’appuient sur des API pour s’intégrer avec les fournisseurs de services Cloud. Et l’on voit aussi des approches hybrides [comme chez CipherCloud, NDLR].
De notre point de vue, l’approche basée sur le réseau n’est pas la meilleure. Nous avons donc développé des partenariats avec les éditeurs de CASB et leur proposons une API.
Nous travaillons notamment étroitement avec CloudLock [récemment racheté par Cisco, NDLR]. Certaines fonctionnalités de sa solution plaisent beaucoup : suivi des usages, des accès aux partages, etc. Je pense que tout cela est essentiel et bien réalisé avec l’API. S’appuyer sur le réseau pour observer les fichiers, potentiellement chiffrer et déchiffrer des champs de formulaires ou des fichiers, je ne suis sûr de ce que cela peut avoir comme futur.
LeMagIT : Quid de la convergence annoncée entre CASB, IDaaS et EMM ? Microsoft – entre autres – apparaît avancer dans cette direction.
Patrick Heim : Ils ont acheté des entreprises, dont Adallom qui proposait un CASB hybride. Ils constituent clairement un acteur dans le domaine de l’identité, avec Azure Active Directory. Microsoft est aussi l’un de nos partenaires et Azure AD est un fournisseur d’identité avec lequel nous pouvons nous intégrer. Nous disposons aussi de connecteurs Active Directory natifs pour nos clients.
Au-delà, pour revenir à votre question, la manière dont le marché va évoluer ne m’apparaît pas très claire. Toutefois, je pense que certains éditeurs ont une approche trop restreinte, ne couvrant qu’un seul domaine. Un client entreprise veut-il vraiment avoir des produits multiples qu’il doit intégrer, et en particulier du côté réseau ? Enchaîner tous ces produits est très laid d’un point de vue d’architecture. Je pense donc qu’il y a matière à consolidation.
Il suffisait de regarder RSA Conference cette année : je crois qu’il y avait de l’ordre de 1500 startups de sécurité. C’est un indicateur d’un marché sur-financé par les investisseurs. Et je pense que nous allons assister à une consolidation significative, avec des entreprises proposant des fonctionnalités techniques fortes, mais avec des perspectives de marché trop limitées pour être viables, rachetées et intégrées.