peshkova - Fotolia

Cloud Act & Patriot Act : comment les CASB peuvent aider

Si les passerelles d’accès cloud sécurisé sont principalement utilisées pour contrôler les usages des collaborateurs, certaines peuvent aider à protéger les données confiées aux applications SaaS des yeux indiscrets.

Les grandes entreprises françaises semblent s’inquiéter de plus en plus de l’impact du droit américain sur leurs outils cloud. Alors que le Cloud Act et le Patriot Act posent des questions de confidentialité, quels éléments de réponse peuvent apporter les passerelles de sécurisation des accès cloud (CASB) ?

Traditionnellement, leurs éditeurs avancent essentiellement la question de la découverte du Shadow IT, comprendre : l’utilisation de services cloud à l’insu des DSI. Le cabinet Gartner le soulignait d’ailleurs, dans l’édition de décembre 2017 de son quadrant magique sur les CASB : le principal cas d’usage en reste le gain de visibilité. Mais le potentiel de ces produits ne s’arrête pas à cela. Ils tendent à apporter des réponses en matière de prévention des fuites de données (DLP) ou encore de contrôle d’accès. Mais aussi de confidentialité, avec le chiffrement, jusqu’au niveau du champ unitaire d’un enregistrement ou d’un formulaire, ou encore la tokenisation.

L’an passé, Gartner soulignait ainsi l’impact potentiel des implications du RGPD sur le marché des CASB. En mars 2017, Vincent Laurens, alors vice-président de Sogeti Luxembourg et directeur de sa « practice cybersécurité », soulignait d’ailleurs l’avance, en matière de préparation au RGPD, que pouvait conférer le recours à des services cloud combiné à la mise en œuvre de CASB.

Au-delà de la découverte du Shadow IT

Certains l’ont compris tôt, comme Axa IM. A l’automne 2016, son RSSI témoignait ainsi, lors des Assises de la Sécurité, du déploiement de la passerelle de CipherCloud, afin de garantir au régulateur la sécurité et la confidentialité de ses données.

Pour mémoire, CipherCloud a démarré ses activités publiques en 2011 en proposant, initialement, une passerelle physique, embarquant un reverse proxy chargé d’assurer tokenisation et chiffrement AES-256, notamment. Le but était simple : protéger pleinement les données, en transit comme au repos.

Un Salesforce.com, par exemple, ne stockera ainsi, dans ses centres de calcul, aucune donnée en clair : tout ce qu’il verra passer sera des données chiffrées. Pour le permettre, et ne pas perdre en fonctionnalités, CipherCloud indiquait travailler étroitement avec des partenaires tels que Salesforce.com, Box, Google, Microsoft – pour Office 365 –, et Amazon – pour AWS – afin de s’assurer que toutes les fonctionnalités sont préservées.

Mais pour cela, la passerelle peut être amenée à récupérer les données chiffrées dans l’application cloud, exécuter le traitement en local, puis transmettre les résultats à l’utilisateur. L’appliance prend donc à sa charge certains traitements censés avoir lieu dans l’infrastructure du fournisseur de service. Cela vaut aussi pour les recherches, avec l’indexation en local des données.

API ou reverse-proxy

Cette approche permet à un CASB de fonctionner avec un large éventail de services cloud, pour peu qu’ils soient connus du développeur de la passerelle, et supportés. Mais ce n’est pas la seule. Au fil des années, les éditeurs d’applications SaaS et les fournisseurs de services d’IaaS ont également commencé à proposer des API pour faciliter l’intégration avec les CASB. Mais en la matière, tous les CASB ne se valent pas.

Celui de Cisco, obtenu avec le rachat de CloudLock, ne supporte ainsi que l’intégration par API, à l’instar d’Aperture de Palo Alto Networks, ou encore de la passerelle de Saviynt, tandis que celle de CensorNet ne fonctionne qu’en reverse-proxy. Une approche que l’on retrouve chez Centraya et Eperi, deux acteurs européens moins connus.

Comme CipherCloud, Netskope supporte les deux modes de fonctionnement. Cela vaut également pour le CASB d’Oracle, issu du rachat de Palerra, ou encore pour celui de McAfee, issu de l’acquisition de Skyhigh Networks, ainsi que celui de Symantec. Ce dernier trouve son origine chez Perspecsys et Elastica, rachetés par Blue Coat avant que ce dernier ne tombe dans l’escarcelle de Symantec. Mais dans le domaine des CASB multimodes, il faut également compter avec ceux de Forcepoint – venu de Skyfence – et de Bitglass.

Des capacités de chiffrement inégales

Ce dernier propose des fonctions de chiffrement – sous la bannière Harbor – qui supportent la recherche et le tri. Un composant de navigateur permet supporter la protection temps réel des données là où il pourrait y avoir contournement du reverse-proxy. Les clés peuvent être gérées via le service ad hoc d’Amazon, ou une solution spécifique comme un serveur KMIP.

Ciphercloud propose des outils de gestion et de rotation des clés de chiffrement, mais il insiste : le client reste toujours maître de ces clés. Et l’on retrouve la même chose chez Netskope, McAfee, Symantec, Centraya ou encore Eperi. Mais les CASB de Forcepoint, de CensorNet, d’Oracle, de Saviynt et de Palo Alto n’offrent pas, à ce jour, de capacités de chiffrement des données stockées dans les applications SaaS.

Pour approfondir sur Sécurité du Cloud, SASE