Une solution particulièrement courante pour l’utilisation sécurisée des services de Cloud est l’utilisation d’un Cloud Access Security Broker (CASB) ou, en français, une passerelle d’accès Cloud sécurisée. Un CASB est un logiciel conçu spécifiquement pour contrôler et protéger l’accès au Cloud. Cette nouvelle solution de sécurité Cloud est placée entre le service de Cloud et l’utilisateur du Cloud, et contrôle leur communication : c’est donc une passerelle de sécurité Cloud externe. Un CASB possède aussi de nombreuses autres fonctions : il sert d’outil de surveillance et de gestion dans le Cloud, il informe sur les processus irréguliers et détermine l’action à exécuter en cas de message de sécurité. Un CASB est un nouveau groupe de logiciels conçus spécifiquement pour les flux de travail en Cloud des entreprises.
Un CASB offre une vaste gamme de services pour assurer la sécurité dans le Cloud : il peut être utilisé pour contrôler l’authentification des utilisateurs, chiffrer le trafic de données, bloquer le trafic de données non désiré, identifier les logiciels malveillants, activer les alertes en cas d’actions suspectes ou bien intégrer des exigences d’accès supplémentaires. Cette dernière condition serait notamment qu’un CASB doit identifier et autoriser le dispositif par lequel un employé souhaite accéder au Cloud. Ces mesures de sécurité sont définies à l’avance et ensuite appliquées par le CASB. Beaucoup de CASB travaillent avec d’autres solutions de sécurité, comme celles pour le chiffrement, l’authentification multifactorielle, l’IAM (identity and Access Management ou gestion des identités et des accès : GIA) ou SIEM (Security information and Event Management).
Grâce à ces services, un CASB répond très largement aux exigences de sécurité actuelles des entreprises. L’institut d’étude Gatrner prédit que 85 % des entreprises sécuriseront leur accès au Cloud via un service CASB d’ici 2020. Il n’est donc pas surprenant que certains des jeunes services de CASB aient déjà été achetés par de grandes entreprises de l’informatique : le service Elastica, par exemple, a été acquis par Blue Coat Systems (qui fait partie de Symantec) et Adallom par Microsoft. Cela illustre bien le potentiel de cette industrie et montre l’actualité de la question de la sécurité des Cloud.
Les services de CASB tels que CensorNet, Bitglass, Netskope ou CipherCloud doivent être bien intégrés dans l’infrastructure existante de l’entreprise afin de fonctionner correctement. Cela signifie qu’ils doivent être connectés à la gestion des utilisateurs de l’entreprise et en même temps profondément intégrés dans les Clouds qu’ils sont censés protégés. De nombreux CASB prennent déjà en charge les services de Cloud comme Microsoft 365, OneDrive, Box, Google Apps ou Salesforce. Mais ils sont aussi capables de mettre en œuvre des services qu’ils ne connaissent pas.
Il existe différentes façons d’intégrer un CASB dans un réseau d’entreprise. Le logiciel CASB est soit basé sur le Cloud, soit exploité localement. Il est intégré dans l’infrastructure informatique de l’entreprise en tant que passerelle centrale ou en tant qu’application API. Ces deux variantes ont des avantages et des inconvénients : si le CASB est implémenté en tant que passerelle (Gateway), il est situé directement entre l’utilisateur et le service Cloud. Il est donc activé dans le flux de données et peut bloquer directement les actions indésirables. Cependant, l’un des inconvénients de cette variante est que la performance du Cloud peut être altérée à mesure que la charge de travail augmente. Si une entreprise comporte beaucoup d’employés, les solutions basées sur l’API sont appropriées. Dans ce cas, le CASB n’est pas en communication directe avec les utilisateurs du Cloud. Bien que le CASB ne puisse pas intervenir directement dans ces actions, il n’a aucun impact sur les performances du Cloud.