Sécuriser le cloud, par le cloud

Dossier : Cloud, Data & IAMagazine N°773 Mars 2022
Par Christophe ESTEBANEZ

Christophe Este­banez, Man­ag­er Avant-Vente pour l’Europe du Sud (SE Man­ag­er Iberia and France) au sein de Net­skope, répond à nos ques­tions sur la sécu­rité et le cloud. Il revient notam­ment sur les enjeux relat­ifs à ce sujet et le posi­tion­nement de son entre­prise et son offre dans ce cadre. Entretien. 

L’accélération du développement du cloud soulève des problématiques de sécurité. Quels sont les principaux enjeux pour les entreprises ?

Depuis quelques années, nous assis­tons à une explo­sion du traf­ic à des­ti­na­tion des appli­ca­tions exe­cutées dans le cloud. Il s’agit essen­tielle­ment d’applications hébergées en mode SaaS, c’est-à-dire hors de l’infrastructure et de la respon­s­abil­ité de l’entreprise, chez des four­nisseurs de ser­vices comme Google ou Ama­zon. Pour une entre­prise de taille moyenne (de 500 à 2 000 per­son­nes), on recense env­i­ron 805 appli­ca­tions dans le cloud util­isées au quo­ti­di­en. On compte par­mi elles des appli­ca­tions dites man­agées, dont l’utilisation est régie par une rela­tion con­tractuelle entre l’entreprise et le four­nisseur, mais aus­si des appli­ca­tions dites non man­agées util­isées par les collaborateurs.

Ces appli­ca­tions non-man­agées sor­tent du périmètre de con­trôle de l’entreprise. En par­al­lèle, nous notons une hausse des men­aces sur ces vecteurs appli­cat­ifs dans le cloud. Ce risque est ren­for­cé par un change­ment de par­a­digme : les util­isa­teurs ne tra­vail­lent plus for­cé­ment depuis leur bureau, mais sont de plus en plus en sit­u­a­tion de nomadisme. En plus d’utiliser des appli­ca­tions qui ne sont pas for­cé­ment con­trôlées par leur entre­prise, ils peu­vent égale­ment se con­necter à par­tir de ter­minaux qui ne sont pas non plus con­trôlés par l’entreprise et cela n’importe où dans le monde (mai­son, lieu de vacances, en voyage…). 

Pour s’adapter à ce nouvel environnement, quels sont les prérequis pour les entreprises ? 

Plus que jamais, les entre­pris­es doivent met­tre en place des mécan­ismes, des moteurs de con­trôle et des poli­tiques de sécu­rité plus adap­tés. On entend ain­si de plus en plus par­ler de l’approche « any device, any where, any user » qui vise à sécuris­er avec per­ti­nence et effi­cac­ité les appli­ca­tions dans le cloud. Il y a aus­si le con­cept Zero Trust qui con­siste à ne plus se reporter à la notion de périmètre physique en matière de sécu­rité. Les fire­walls, les rou­teur et les infra­struc­tures physiques qui per­me­t­taient de maîtris­er et con­trôler le traf­ic appli­catif sont devenus obsolètes, car ce traf­ic passe doré­na­vant directe­ment entre l’utilisateur et le cloud. 

Les nou­veaux critères de sécu­rité sont aujourd’hui très dif­férents : qui est l’utilisateur, quel est le niveau de con­for­mité de son poste, est-ce qu’il dis­pose des droits pour utilis­er une appli­ca­tion don­née, est-ce que cette appli­ca­tion est util­isée de manière con­forme, peut-il télécharg­er un fichi­er et le partager…? 

La ges­tion des accès et des autori­sa­tions devient, en effet, extrême­ment impor­tante. Et au-delà d’avoir une bonne vis­i­bil­ité sur le traf­ic des appli­cat­ifs, les entre­pris­es doivent aus­si pou­voir avoir le con­trôle sur le com­porte­ment de l’utilisateur.

Qu’en est-il de la donnée ? Comment garantir sa sécurisation dans l’environnement cloud, notamment SaaS ?

La don­née représente le pat­ri­moine dig­i­tal de l’entreprise et sou­vent leur matière pre­mière. Il faut donc être en mesure de la lire, de la détecter et de la com­pren­dre. Au-delà des mécan­ismes clas­siques de déchiffre­ment et d’interception, l’entreprise doit aus­si déploy­er des mécan­ismes de détec­tion et de préven­tion de pertes et de fuites de la don­née (solu­tions DLP). 

Des mod­èles de don­nées per­son­nal­isés ou appliqués par défaut sont aus­si néces­saires pour détecter des don­nées sen­si­bles (numéro de carte ban­caire, numéro de sécu­rité sociale, numéro de télé­phone, adresse…) dans des doc­u­ments word, excel ou autre. Dans le cadre du con­trôle de la mobil­ité de cette typolo­gie don­née, l’idée est de pou­voir garan­tir qu’elles ne sont pas téléchargées puis ré-upload­ées sur des instances per­son­nelles par exemple. 

Il faut égale­ment s’assurer de la con­for­mité de la con­fig­u­ra­tion des appli­ca­tions SaaS, c’est-à-dire que les accès et les pos­si­bil­ités d’utilisation aient été cor­recte­ment con­fig­urés par les équipes infor­ma­tiques. On par­le alors de SSPM (SaaS Secu­ri­ty Pos­ture Man­age­ment) et de CSPM (Cloud Secu­ri­ty Pos­ture Man­age­ment) si on se réfère aux infra­struc­tures IaaS.

Dans cette continuité, quels sont les critères et les services qu’une solution SSE performante doit proposer ? 

Le SSE (Secu­ri­ty Ser­vice Edge) est un sous-ensem­ble du SASE (Secure Access Ser­vice Edge) qui per­met aux util­isa­teurs de se con­necter de manière sécurisée depuis n’importe où dans le monde de manière effi­cace et assez rapi­de­ment avec des liens réseaux, des mécan­ismes d’optimisation, de pri­or­ité de traf­ic… Le SSE représente un ensem­ble de ser­vices de sécu­rité hébergés dans le cloud et qu’il est très dif­fi­cile de con­trôler avec une inter­face client unifiée. La seule option est de sécuris­er le cloud par le cloud. Et c’est exacte­ment ce que Net­skope pro­pose au tra­vers de ser­vices qui sont embar­qués dans son SSE :

  • Le fil­trage d’URL ;
  • Le déchiffre­ment SSL pour déchiffr­er le traf­ic afin de l’inspecter ;
  • La Sand­Box pour exé­cuter des fichiers afin de s’assurer qu’ils ne sont pas dangereux ;
  • Le Cloud Access Secu­ri­ty Bro­ker / CASB pour inter­cepter le traf­ic vers les appli­ca­tions SaaS afin de s’assurer qu’elles sont cor­recte­ment utilisées ;
  • Le User and Enti­ty Behav­ior Ana­lyt­ics pour faire de l’analyse de comportement ;
  • Le Data Loss Pre­ven­tion / DLP pour détecter les types de don­nées avec un cer­tain formalisme ;
  • L’Intrusion Pre­ven­tion Sys­tem / IPS pour détecter les men­aces comme les mal­wares, les virus… ; 
  • Les API qui vont per­me­t­tre de se con­necter à Google, à Azure… mais aus­si à des appli­ca­tions SaaS afin de s’assurer que les paramètres de sécu­rité sont cor­recte­ment con­fig­urés, mais aus­si con­trôler les don­nées et fichiers déjà stock­ées dans le cloud ; 
  • Le Remote Brows­er Iso­la­tion / RBI qui per­met de nav­iguer sur une page web et d’avoir un ren­du vidéo de la nav­i­ga­tion. La page n’étant pas exé­cutée sur le poste, c’est le cloud qui prend tous les risques. 

Que proposez-vous à ce niveau ? 

Entre­prise dite cloud native, Net­skope a cette capac­ité à déploy­er l’ensemble de ces ser­vices de sécu­rité sans avoir d’impact sur la per­for­mance. Nous avons ain­si dévelop­pé un réseau mon­di­al, NewEdge, qui s’appuie sur une cinquan­taine de points de con­nex­ion locaux. Ce réseau, qui est au cœur de notre valeur ajoutée, est en con­tin­uelle expan­sion avec de nou­veaux déploiements régulièrement. 

En out­re, NewEdge est con­nec­té à tous les grands four­nisseurs de ser­vices SaaS dans le monde. Cela per­met d’avoir une latence extrême­ment faible entre l’utilisateur et l’application finale mal­gré la fil­tra­tion du traf­ic, mais aus­si une expéri­ence client opti­male. En effet, la sécu­rité ne doit pas impacter la per­for­mance et l’agilité de l’entreprise au niveau du déploiement et de l’utilisation de nou­velles appli­ca­tions, de la maîtrise des coûts et des risques.

Quelles pistes de réflexion pourriez-vous partager avec nos lecteurs ?

Les dirigeants doivent abor­der ce sujet en se con­cen­trant sur trois dimen­sions complémentaires :

  • Une bonne vis­i­bil­ité de la valeur dig­i­tale de leur entre­prise et de son exploita­tion afin notam­ment d’optimiser la prise de décision ;
  • L’implémentation de mécan­ismes de sécu­rité qui ne freinent pas l’agilité, la per­for­mance de l’entreprise et au ser­vice de l’expérience util­isa­teur. L’idée est aus­si de pou­voir mesur­er le ratio entre le risque pris et l’investissement réalisé ; 
  • La con­for­mité avec l’ensemble des règle­ments en vigueur (RGPD, héberge­ment des don­nées de santé…). 


En bref

Net­skope a été fondé en 2012 en Cal­i­fornie. Actuelle­ment plus de 30 % des entre­pris­es du For­tune 100 font con­fi­ance à Net­skope qui a dévelop­pé le plus gros cloud privé au monde per­me­t­tant d’assurer des per­for­mances supérieures au marché. Extrême­ment inno­vant, avec un focus sur la pro­tec­tion des don­nées, Net­skope est leader dans le Mag­ic Quad­rant dédié au Secu­ri­ty Ser­vice Edge (SSE), défi­ni par Gartner.


Poster un commentaire