Chez Axa IM, le CASB se fait facilitateur de la transformation numérique
La passerelle de CipherCloud permet l’adoption sécurisée d’un service de gestion de la relation client en mode Cloud, y compris dans un contexte réglementaire particulièrement strict.
Axa Investment Manager (IM) – que son RSSI Arnaud Tanguy décrit modestement comme une grosse PME qui gère 700 Md€ d’actifs –, évolue dans un environnement très réglementé. En particulier, à Singapour, le recours au Cloud pour ses activités est, à priori, interdit. Mais cela ne l’a pas empêché de migrer son système de gestion de la relation client vers un service en mode SaaS, et cela grâce à la passerelle d’accès Cloud sécurisé de CipherCloud, comme l’expliquait Arnaud Tanguy lors d’un atelier organisé aux Assises de la Sécurité. De fait, celle-ci a permis à Axa IM de garantir au régulateur la sécurité et la confidentialité de ses données.
Les promesses de la transformation numérique
Axa IM opérait déjà une plateforme de CRM en interne, où les données étaient d’ailleurs chiffrées. Mais le passage au Cloud ouvrait de nouvelles perspectives, en matière de maîtrise de coûts comme d’accessibilité et d’ouverture à la mobilité, notamment. Avec des risques bien sûr, comme celui de l’exposition des données à un tiers. Et Arnaud Tanguy de souligner là que les possibilités de test et d’audit s’avèrent relativement limitées chez les prestataires de services Cloud.
Entre moderniser la plateforme exploitée en interne ou passer au Cloud, c’est l’idée d’une passerelle d’accès Cloud sécurisé (CASB) qui a fait pencher la balance. Et pas au niveau des équipes de sécurité ou de gestion des risques, mais directement à celui de la direction, avec la garantie que les données seront chiffrées avant de quitter l’infrastructure locale pour les serveurs de l’éditeur de service et ne seront donc accessibles qu’aux équipes d’Axa IM.
Des contraintes fortes
Plusieurs exigences ont dès lors été formulées et ont conditionné le choix du CASB. Tout d’abord, il fallait qu’Axa IM garde le contrôle du chiffrement, jusqu’aux clés utilisées, et cela en interne pour limiter le risque d’interception au sein de l’infrastructure du service Cloud.
Mais l’entreprise souhaitait également la garantie d’une expérience utilisateur non dégradée, en assurant que le « fortin » déployé ne créerait pas de goulot d’étranglement susceptible de pénaliser robustesse et disponibilité. Le tout sans priver les utilisateurs de fonctionnalités requises par les métiers.
Et accessoirement, la solution de CASB retenue devait s’avérer compatible avec d’autres services que le CRM pour lequel elle avait initialement été retenue.
CipherCloud s’est avéré répondre à ces exigences, avec notamment son recours à des API fournies par les opérateurs de services Cloud. La couverture fonctionnelle a atteint 97 %, avec en particulier le support de fonctions essentielles telles que la recherche et le tri. Selon Arnaud Tanguy, les 3 % restant relèvent en fait plus de limitations du CRM que du CASB, comme notamment la prévisualisation. Mais il ne s’agit pas de points considérés comme critiques par les métiers.
Une granularité élevée
Le CASB retenu offre des réglages à la granularité élevée, jusqu’à permettre le chiffrement des intitulés de champs plutôt que leurs valeurs afin de préserver certaines fonctions sans risquer de compromettre la confidentialité des informations.
Et justement, c’est un point critique dans un tel projet : identifier ce qui doit être chiffré et ce qui peut ne pas l’être, en fonction des impératifs réglementaires, notamment, mais également des besoins de reporting, par exemple, ou encore de tri.
Et si Arnaud Tanguy juge le déploiement rapide, il ne manque pas de souligner certains points qui requièrent une stricte anticipation. En particulier, il convient de ne pas sous-estimer les délais induits par la collecte et le déchiffrement des données existantes puis leur rechiffrement avant injection dans le nouvel outil de CRM.
Des points à ne pas négliger
Les coûts associés à l’infrastructure sous-jacente ne sont pas non plus à négliger pour une passerelle qui appelée à se transformer en point de passage obligé – avec les gains que cela représente en termes de maîtrise des accès distants – ou des ressources chargées de l’opérer au quotidien. La maintenance doit également être prise en compte. Car comme le souligne le RSSI d’Axa IM, les services Cloud et leurs API sont appelés à évoluer dans le temps, ce qui implique de mettre à jour la passerelle d’accès sécurisé.
Et l’on relèvera au passage que CipherCloud a notamment mis à jour son offre au printemps dernier pour intégrer de nouveaux services.