1 juin 2018

Petit dej’ sécurité #2 : Projets CASB : entre complexité de mise œuvre et bénéfices de la sécurité

BSSI-CASB

Jeudi 17 mai, BSSI a lancé son deuxième « petit dej sécurité ». Fort du succès de l’Acte 1 autour de la thématique du RGPD organisé fin 2017, ce nouveau rendez-vous fut dédié au CASB (Cloud Access Security Brokers).

C’est donc une quinzaine de clients qui, ce jour-là, nous ont rejoint pour échanger sur la complexité de mise en œuvre d’une solution CASB et les bénéfices concrets que ces solutions peuvent apporter en matière de sécurité.

Analyse de marché des CASB par Thomas Filimon (BSSI)

La matinée débute par une rapide analyse du marché des CASB. On en profite dans un premier temps pour rappeler que parmi les principales briques numériques, le Cloud influence à 39% les stratégies cybersécurité (devant la mobilité, les réseaux sociaux, etc.).

Cette vision macro se poursuit par un rappel de la définition du Gartner et les 4 piliers d’une plate-forme CASB :

  • Visibilité: quelles sont les applications Cloud utilisées ? Qui les utilise ? Quelles données transitent et où ?
  • Compliance: identifie les données sensibles dans le cloud, renforce la politique de prévention de fuite de données pour assurer les exigences de compliance
  • Data Security: renforce la sécurisation « Data Centric » par le chiffrement, la tokenization, le contrôle d’accès, la gestion des droits et privilèges
  • Threat protection pour les applications Cloud: détecte les menaces de malware dans les fichiers stockés dans les applications Cloud

Le socle étant posé, on évoque ensuite les principaux acteurs et offreurs présents sur le marché.

Côté leaders, on retrouve Skyhigh (McAfee), Netskope et Symantec (par les rachats successifs d’Elastica et Blue Coat). CipherCloud et Cisco (Cloudlock) se place dans les challengers, tandis que d’autres « grands » comme Oracle, Microsoft ou Palo Alto reste pour le moment des acteurs de niche n’offrant pas encore l’étendue de services des premiers acteurs cités.

On précisera également que les accords de partenariats se multiplient entre fournisseurs d’équipements de sécurité et éditeurs (comme Zscaler avec Skyhigh).

La dernière partie de ce benchmark sera consacrée à la tarification des solutions. Chacune d’entre elles présente un coût par utilisateur et par an et par composant spécifique. On comprendra ainsi aisément qu’un tel modèle nécessite une grande maîtrise des achats et qu’il est impératif d’avoir une cellule achat bien avertie.

Bilan : on retiendra qu’actuellement :

  • Très peu d’implémentation de solutions ont été réalisées
  • Une multiplicité des acteurs/offreurs qui proposent des solutions packagées de sécurisation Cloud, mais que celles-ci ne sont pas encore réellement abouties
  • De réels bénéfices en matière de sécurité : notamment la cartographie des usages des applications cloud utilisées par les collaborateurs d’une entreprise.

Pour des raisons de confidentialité, les noms et les sociétés de nos intervenants ne seront pas communiqués dans ce billet.

REX SOCIETE1

La matinée se poursuit avec le témoignage de du RSSI de la SOCIETE1 qui revient sur une étude de faisabilité CASB.

Il nous partage son contexte technique très hétérogène entre solutions de Cloud public (Salesforce, AWS, Azure, Office 365) Cloud privé en IaaS (SAP), hybride (sites web) et On Premise (serveurs de fichiers, DCs DNS, DHCP, etc.). Les usages sont également nombreux et de natures différentes avec trois types de périphérique : ordinateur portable (Windows 7, antivirus, filtrage URL, client VPN, pas d’intune), smartphone (iOs, Intune) et tablette (sans protection).

Le constat principal est qu’il n’échappe pas au contexte global de menaces d’incidents de sécurité (phishing, ransomware, etc.), à l’accroissement des incidents de ceux-ci liés à des fuites de données involontaires par l’utilisation de services d’échanges de fichiers sur Internet (shadow IT) et à la non-maîtrise des terminaux personnels connectés au système d’information (BYOD). Les effectifs de la DSI étant réduits, il est indispensable de mettre en place des mesures de sécurité sans moyen humain supplémentaire.

Dans ce contexte, ils se sont tournés vers les solutions CASB afin d’améliorer le niveau de sécurité du système d’information. Celles-ci présentent des avantages non négligeables comme un déploiement rapide (peu de budget), supportant des OS anciens (Windows 7), options multilingues répondant à la spécificité des 17 sites de l’entreprise à travers le monde et permettant une administration à distance des ressources (relais informatiques limités selon les zones, pas de gestion des postes de travail et des terminaux mobiles).

Des tests ont donc été effectués avec deux types de CASB, en mode proxy et en mode API. Le contexte économique (rachats et intégration en cours) a limité le choix à deux acteurs. Il a été constaté chez ces deux acteurs que les « API » ajoutent la fonction « Proxy ».

De manière plus globale, les promesses sur le papier sont à tester sur les preuves de concept (POC) et les évaluations budgétaires ont été faites selon différents scénarios d’utilisation pour maîtriser les coûts. Reste désormais à présenter les résultats de cette étude à la direction pour validation. Un POC Smartphone sera réalisé en priorité, intégrant des fonctionnalités simples. Un second viendra par la suite, intégrant les PC portables.

Ces premiers résultats d’étude semblent apporter des éléments de réponses pour répondre aux problématiques de visibilité d’accès, protection des données, conformité aux politiques et règles internes, protection contre la fuite de données (DLP) et de nouvelles menaces.

Il n’en reste pas moins que les solutions CASB ne sont pas des solutions magiques ou moutons à 5 pattes, mais peuvent permettre de réduire et maîtriser certains risques non acceptables pour l’entreprise.

REX SOCIETE2

La parole est donnée ensuite au RSSI de la SOCIETE2, revenant sur les résultats d’évaluations des CASB menées à la fin de l’année 2016.

Il a recensé une progression notable de l’utilisation de services Cloud (Slack, Trello, Axshare, etc.) et une réelle difficulté à identifier les usages, les volumétries et les risques avec les solutions actuelles.

La priorité de l’entreprise est de réduire les risques liés au Cloud : dépendance à des fournisseurs uniques, l’atteinte à la confidentialité des données, les risques réglementaires et défauts de preuve et la réversibilité coûteuse et complexe.

L’objectif du projet est d’ouvrir plus largement les accès aux services cloud tout en garantissant un certain niveau de maîtrise.

L’évaluation des solutions CASB du marché, objectif de l’intervention du jour, s’intègre donc dans un projet Cloud plus général à savoir :

  • L’analyse de l’utilisation des services cloud au sein du SI
  • La définition d’une stratégie de sécurité relative aux usages Cloud
  • L’évaluation et la comparaison des solutions CASB du marché

C’est d’abord par le biais d’un partenaire externe lui conseillant d’opter pour ce type de solutions qu’une étude a été lancé pour analyser les solutions CASB.

Quatre acteurs ont donc été retenus dans un premier temps : Elastica (Symantec Bluecoat), Netskope, Skyhigh (McAfee), Skyfence (Forcepoint). Chacun d’entre eux fut rencontré par SOCIETE2 et le partenaire. Une grille d’évaluation fut définie, les solutions confrontées et un classement établi au regard du contexte et des besoins de l’entreprise.

Il a rapidement été constaté qu’en termes d’architecture et d’intégration, le mode proxy était le plus adapté à leur contexte. Le mode API est cependant complémentaire en offrant un niveau de granularité supérieur (selon le service Cloud).

Par ailleurs la redirection des utilisateurs vers le CASB reste le challenge principal compte tenu de l’environnement ouvert de leur système d’information. Ce n’est donc pas sur l’architecture ou l’intégration que la différence s’est faite.

Sur le plan technique en revanche, Netskope proposait le plus grand nombre de fonctionnalités, mais l’ergonomie était critiquable. Elastica et Skyhigh présentaient de grandes similitudes avec une vision orientée « visibilité » pour SkyHigh, et « sécurité/conformité » pour Elastica.

Skyfence était légèrement en retrait notamment sur les garanties en termes de protection des données et d’intégration.

Le RSSI de SOCIETE2 insiste cependant sur la nécessité de relativiser les différences techniques dans la mesure ou les solutions évoluent extrêmement rapidement.

Le choix s’est donc porté sur la solution Skyhigh disposant d’une présence accrue et d’une très bonne réactivité.

En un mois d’activité analysé, 1376 services distincts (87 GB) et 3500 IPs uniques (1,3 TB) ont été relevés.

Premiers bilans

  • Une forte utilisation des services SaaS
    • 1 Cloud pour 3 utilisateurs en moyenne
    • Nombre d’utilisateurs très élevé
  • Des usages peu surprenants du fait des usages connus en interne (collaboration, partage de fichiers, finance, etc.).
  • Des volumes de données envoyés assez limités, mais liés à un petit nombre d’utilisateurs
  • Un nombre de sites à risques assez élevé
    • Nombreux services « outils » (transformation de PDF, traitement d’images, etc.) présentant des risques forts pour les données
    • Nombreux usages de Cloud « perso » : dropbox, seagate, Mega, iCloud…

Point de vue, à la suite de cette étude

Le marché est en pleine consolidation avec des solutions qui doivent gagner en maturité (solutions jeunes avec peu d’implémentations en France, valable également pour les intégrateurs).

Les prix publics sont encore très élevés avec une approche OPEX, mais il existe des possibilités de négociations importantes pour les « early adopters ».

Il reste par ailleurs indispensable de bénéficier d’une grande réactivité du support, véritable facteur clé de succès. La présence locale de chaque éditeur doit être prise en considération dans le choix et peut participer à la réussite de l’intégration. Un bémol sur la relation avec Skyhigh qui s’était montré très réactif dans les premiers mois d’accompagnement et l’a beaucoup moins été par la suite.

Dans le contexte, l’apport en termes de visibilité a été jugé limité dans la mesure où la solution n’apportait pas beaucoup de valeur ajoutée par rapport au SOC interne. Il aurait été nécessaire pour aller plus loin de casser les flux SSL ce qui qui n’était à l’époque ni possible, ni souhaitable. Par ailleurs, la partie API/contrôle n’a pas été testée, mais pose un problème : support limité des solutions SaaS pour les fonctions avancées, déchiffrement SSL impératif pour le contrôle en temps réel de tous les services.

Malgré de belles perspectives et de vraies réponses, le projet d’implémentation CASB a été mis en stand-by du fait de contraintes économiques intervenues à cette époque (rachats et intégration de société). Il n’en reste pas moins que le sujet reste d’actualité et que l’évolution de l’offre sera suivie de près.

Synthèse technique par BSSI

Un retour est fait sur les fonctionnalités et limites des différents modes de fonctionnement du CASB :

  • Découvertes de logs:

Fonctionnalités

  • Fournit une base d’utilisation d’applications cloud
  • Ne nécessite pas d’action au niveau utilisateur
  • Permet une vue sur les applications utilisées en interne ou le shadow IT

Limites

  • Passif, la détection se réalise après les évènements
  • Fonctionne uniquement pour les clients au sein du réseau d’entreprise
  • Anonymisation des logs avant envoi à réaliser
  • API :

Fonctionnalités

  • S’adapte aux applications de l’entreprise
  • Nécessite aucune action au niveau utilisateur
  • S’intègre avec les applications cloud
  • Contrôle les données une fois l’action terminée

Limites

  • Fonctionne uniquement avec les applications de l’entreprise
  • Le CASB doit s’adapter à chaque mise à jour des applications cloud
  • Le CASB gère un pool d’applications
  • Ne permet pas de voir le shadow IT
  • Reverse proxy :

Fonctionnalités

  • Contrôle les données à la volée
  • Fournit une vue sur les applications de l‘entreprise
  • Fonctionne avec une redirection vers le CASB

Limites

  • La gestion de certificats est parfois complexe
  • Impacte les utilisateurs plus fortement, à moins d’utiliser un IdP
  • Ne permet pas de voir le shadow IT
  • Forward proxy :

Fonctionnalités

  • Contrôle les données à la volée
  • Fournit une vue sur toutes les applications utilisées, internes ou le shadow IT
  • Fonctionne en mode agent

Limites

  • La séparation entre les applications professionnelles et personnelles est délicate
  • Le déploiement de l’agent peut être contraignant à gérer
  • L’architecture peut provoquer des SPOF

Le schéma ci-dessous résume les apports et difficultés de chacun des modes évoqués précédemment :

BSSI-CASB2

 

Pour compléter cette vision les deux types d’installation sont évoqués : on- premise et cloud :

  • Les solutions on-premises répondent à des besoins d’architectures souveraines et permettent le chiffrement des données et la tokenization avant l’envoi vers le cloud, mais ont l’inconvénient d’ajouter de la latence.
  • Les solutions « cloud based » quant à elles, intègrent tous les bénéfices des services cloud, mais ne garantissent pas la latence qui peut, être très faible comme très élevée à cause des tenants des différents services cloud.

Conclusion

On retiendra que le marché des solutions CASB est en pleine expansion et que l’offre s’affine avec le temps offrant de plus en plus de solutions de sécurisation Cloud à différents niveaux (visibilité, compliance, data security, threat protection, etc.).

Il n’en reste pas moins que les déploiements restent semblent-ils encore très complexes et nécessitent un véritable accompagnement par des partenaires experts et qualifiés.

Nul doute que ce sujet risque fortement d’atterrir sur le bureau de la DSI (et du RSSI) si ce n’est pas déjà le cas. Une récente étude du Gartner (novembre 2017) indique que « si elles ne sont que moins de 5% à ce jour, 85% des grandes entreprises disposeront d’un CASB dans leurs infrastructures en 2020 ».

Thomas Filimon

Thomas FILIMON : Consultant BSSI

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *