Sécuriser le cloud, par le cloud

Dossier : Cloud, Data & IAMagazine N°773 Mars 2022
Par Christophe ESTEBANEZ

Chris­tophe Este­ba­nez, Mana­ger Avant-Vente pour l’Europe du Sud (SE Mana­ger Ibe­ria and France) au sein de Nets­kope, répond à nos ques­tions sur la sécu­ri­té et le cloud. Il revient notam­ment sur les enjeux rela­tifs à ce sujet et le posi­tion­ne­ment de son entre­prise et son offre dans ce cadre. Entretien. 

L’accélération du développement du cloud soulève des problématiques de sécurité. Quels sont les principaux enjeux pour les entreprises ?

Depuis quelques années, nous assis­tons à une explo­sion du tra­fic à des­ti­na­tion des appli­ca­tions exe­cu­tées dans le cloud. Il s’agit essen­tiel­le­ment d’applications héber­gées en mode SaaS, c’est-à-dire hors de l’infrastructure et de la res­pon­sa­bi­li­té de l’entreprise, chez des four­nis­seurs de ser­vices comme Google ou Ama­zon. Pour une entre­prise de taille moyenne (de 500 à 2 000 per­sonnes), on recense envi­ron 805 appli­ca­tions dans le cloud uti­li­sées au quo­ti­dien. On compte par­mi elles des appli­ca­tions dites mana­gées, dont l’utilisation est régie par une rela­tion contrac­tuelle entre l’entreprise et le four­nis­seur, mais aus­si des appli­ca­tions dites non mana­gées uti­li­sées par les collaborateurs.

Ces appli­ca­tions non-mana­gées sortent du péri­mètre de contrôle de l’entreprise. En paral­lèle, nous notons une hausse des menaces sur ces vec­teurs appli­ca­tifs dans le cloud. Ce risque est ren­for­cé par un chan­ge­ment de para­digme : les uti­li­sa­teurs ne tra­vaillent plus for­cé­ment depuis leur bureau, mais sont de plus en plus en situa­tion de noma­disme. En plus d’utiliser des appli­ca­tions qui ne sont pas for­cé­ment contrô­lées par leur entre­prise, ils peuvent éga­le­ment se connec­ter à par­tir de ter­mi­naux qui ne sont pas non plus contrô­lés par l’entreprise et cela n’importe où dans le monde (mai­son, lieu de vacances, en voyage…). 

Pour s’adapter à ce nouvel environnement, quels sont les prérequis pour les entreprises ? 

Plus que jamais, les entre­prises doivent mettre en place des méca­nismes, des moteurs de contrôle et des poli­tiques de sécu­ri­té plus adap­tés. On entend ain­si de plus en plus par­ler de l’approche « any device, any where, any user » qui vise à sécu­ri­ser avec per­ti­nence et effi­ca­ci­té les appli­ca­tions dans le cloud. Il y a aus­si le concept Zero Trust qui consiste à ne plus se repor­ter à la notion de péri­mètre phy­sique en matière de sécu­ri­té. Les fire­walls, les rou­teur et les infra­struc­tures phy­siques qui per­met­taient de maî­tri­ser et contrô­ler le tra­fic appli­ca­tif sont deve­nus obso­lètes, car ce tra­fic passe doré­na­vant direc­te­ment entre l’utilisateur et le cloud. 

Les nou­veaux cri­tères de sécu­ri­té sont aujourd’hui très dif­fé­rents : qui est l’utilisateur, quel est le niveau de confor­mi­té de son poste, est-ce qu’il dis­pose des droits pour uti­li­ser une appli­ca­tion don­née, est-ce que cette appli­ca­tion est uti­li­sée de manière conforme, peut-il télé­char­ger un fichier et le partager…? 

La ges­tion des accès et des auto­ri­sa­tions devient, en effet, extrê­me­ment impor­tante. Et au-delà d’avoir une bonne visi­bi­li­té sur le tra­fic des appli­ca­tifs, les entre­prises doivent aus­si pou­voir avoir le contrôle sur le com­por­te­ment de l’utilisateur.

Qu’en est-il de la donnée ? Comment garantir sa sécurisation dans l’environnement cloud, notamment SaaS ?

La don­née repré­sente le patri­moine digi­tal de l’entreprise et sou­vent leur matière pre­mière. Il faut donc être en mesure de la lire, de la détec­ter et de la com­prendre. Au-delà des méca­nismes clas­siques de déchif­fre­ment et d’interception, l’entreprise doit aus­si déployer des méca­nismes de détec­tion et de pré­ven­tion de pertes et de fuites de la don­née (solu­tions DLP). 

Des modèles de don­nées per­son­na­li­sés ou appli­qués par défaut sont aus­si néces­saires pour détec­ter des don­nées sen­sibles (numé­ro de carte ban­caire, numé­ro de sécu­ri­té sociale, numé­ro de télé­phone, adresse…) dans des docu­ments word, excel ou autre. Dans le cadre du contrôle de la mobi­li­té de cette typo­lo­gie don­née, l’idée est de pou­voir garan­tir qu’elles ne sont pas télé­char­gées puis ré-uploa­dées sur des ins­tances per­son­nelles par exemple. 

Il faut éga­le­ment s’assurer de la confor­mi­té de la confi­gu­ra­tion des appli­ca­tions SaaS, c’est-à-dire que les accès et les pos­si­bi­li­tés d’utilisation aient été cor­rec­te­ment confi­gu­rés par les équipes infor­ma­tiques. On parle alors de SSPM (SaaS Secu­ri­ty Pos­ture Mana­ge­ment) et de CSPM (Cloud Secu­ri­ty Pos­ture Mana­ge­ment) si on se réfère aux infra­struc­tures IaaS.

Dans cette continuité, quels sont les critères et les services qu’une solution SSE performante doit proposer ? 

Le SSE (Secu­ri­ty Ser­vice Edge) est un sous-ensemble du SASE (Secure Access Ser­vice Edge) qui per­met aux uti­li­sa­teurs de se connec­ter de manière sécu­ri­sée depuis n’importe où dans le monde de manière effi­cace et assez rapi­de­ment avec des liens réseaux, des méca­nismes d’optimisation, de prio­ri­té de tra­fic… Le SSE repré­sente un ensemble de ser­vices de sécu­ri­té héber­gés dans le cloud et qu’il est très dif­fi­cile de contrô­ler avec une inter­face client uni­fiée. La seule option est de sécu­ri­ser le cloud par le cloud. Et c’est exac­te­ment ce que Nets­kope pro­pose au tra­vers de ser­vices qui sont embar­qués dans son SSE :

  • Le fil­trage d’URL ;
  • Le déchif­fre­ment SSL pour déchif­frer le tra­fic afin de l’inspecter ;
  • La Sand­Box pour exé­cu­ter des fichiers afin de s’assurer qu’ils ne sont pas dangereux ;
  • Le Cloud Access Secu­ri­ty Bro­ker / CASB pour inter­cep­ter le tra­fic vers les appli­ca­tions SaaS afin de s’assurer qu’elles sont cor­rec­te­ment utilisées ;
  • Le User and Enti­ty Beha­vior Ana­ly­tics pour faire de l’analyse de comportement ;
  • Le Data Loss Pre­ven­tion / DLP pour détec­ter les types de don­nées avec un cer­tain formalisme ;
  • L’Intrusion Pre­ven­tion Sys­tem / IPS pour détec­ter les menaces comme les mal­wares, les virus… ; 
  • Les API qui vont per­mettre de se connec­ter à Google, à Azure… mais aus­si à des appli­ca­tions SaaS afin de s’assurer que les para­mètres de sécu­ri­té sont cor­rec­te­ment confi­gu­rés, mais aus­si contrô­ler les don­nées et fichiers déjà sto­ckées dans le cloud ; 
  • Le Remote Brow­ser Iso­la­tion / RBI qui per­met de navi­guer sur une page web et d’avoir un ren­du vidéo de la navi­ga­tion. La page n’étant pas exé­cu­tée sur le poste, c’est le cloud qui prend tous les risques. 

Que proposez-vous à ce niveau ? 

Entre­prise dite cloud native, Nets­kope a cette capa­ci­té à déployer l’ensemble de ces ser­vices de sécu­ri­té sans avoir d’impact sur la per­for­mance. Nous avons ain­si déve­lop­pé un réseau mon­dial, NewEdge, qui s’appuie sur une cin­quan­taine de points de connexion locaux. Ce réseau, qui est au cœur de notre valeur ajou­tée, est en conti­nuelle expan­sion avec de nou­veaux déploie­ments régulièrement. 

En outre, NewEdge est connec­té à tous les grands four­nis­seurs de ser­vices SaaS dans le monde. Cela per­met d’avoir une latence extrê­me­ment faible entre l’utilisateur et l’application finale mal­gré la fil­tra­tion du tra­fic, mais aus­si une expé­rience client opti­male. En effet, la sécu­ri­té ne doit pas impac­ter la per­for­mance et l’agilité de l’entreprise au niveau du déploie­ment et de l’utilisation de nou­velles appli­ca­tions, de la maî­trise des coûts et des risques.

Quelles pistes de réflexion pourriez-vous partager avec nos lecteurs ?

Les diri­geants doivent abor­der ce sujet en se concen­trant sur trois dimen­sions complémentaires :

  • Une bonne visi­bi­li­té de la valeur digi­tale de leur entre­prise et de son exploi­ta­tion afin notam­ment d’optimiser la prise de décision ;
  • L’implémentation de méca­nismes de sécu­ri­té qui ne freinent pas l’agilité, la per­for­mance de l’entreprise et au ser­vice de l’expérience uti­li­sa­teur. L’idée est aus­si de pou­voir mesu­rer le ratio entre le risque pris et l’investissement réalisé ; 
  • La confor­mi­té avec l’ensemble des règle­ments en vigueur (RGPD, héber­ge­ment des don­nées de santé…). 


En bref

Nets­kope a été fon­dé en 2012 en Cali­for­nie. Actuel­le­ment plus de 30 % des entre­prises du For­tune 100 font confiance à Nets­kope qui a déve­lop­pé le plus gros cloud pri­vé au monde per­met­tant d’assurer des per­for­mances supé­rieures au mar­ché. Extrê­me­ment inno­vant, avec un focus sur la pro­tec­tion des don­nées, Nets­kope est lea­der dans le Magic Qua­drant dédié au Secu­ri­ty Ser­vice Edge (SSE), défi­ni par Gartner.


Poster un commentaire