Le Cloud Access Security Provider, de son acronyme CASB à prononcer “casbi”, est une des nouvelles marottes des fournisseurs. Comme son nom l’indique, ce service vise à encadrer et sécuriser les accès aux services Cloud, par la fourniture d’un ensemble de services, gérés par une seule interface et maintenus par un seul éditeur.
Mais revenons un instant sur les raisons qui justifient cette gamme de services : le Shadow IT et la confiance.
Shadow IT et confiance, les éléments fondateurs pour l’émergence des CASB
Les besoins métiers évoluent très rapidement, et de nouvelles technologies deviennent de plus en plus accessibles aux utilisateurs finaux grâce au Cloud.
Les directions métiers, devant le manque de réactivité et de communication des DSI, se sont accaparées des outils innovants en faisant courir un risque à l’entreprise, en escamotant complètement le processus IT classique. C’est alors que le Shadow IT se développe. Pourtant, la majorité des équipes est prête à arrêter ces usages si la DSI lui propose des solutions.
Le CASB peut alors se révéler précieux pour identifier les services utilisés et les sécuriser par une réintégration dans le SI de l’entreprise et la politique de sécurité associée. Ses outils de surveillance du réseau peuvent également permettre de détecter les futurs cas de Shadow IT.
Cet encadrement du Shadow IT ne doit cependant pas se faire sous l’angle répressif, car cela ne ferait qu’amplifier l’utilisation de ces outils : interdire ces outils va, dans un premier temps, réduire leur utilisation, avant de favoriser des voies de contournement tant que le besoin initial n’est pas satisfait…ou sécurisé. La confiance reste indispensable !
Quel cas d’usage pour les CASB ?
Le point essentiel du CASB est qu’il s’agit d’un ensemble de services qui ont vocation à assister les entreprises dans leur démarche de prise de confiance envers le Cloud.
On retrouve donc un portefeuille de services à déployer selon les besoins : analyse de trafic pour identifier les services clés à sécuriser, firewall pour bloquer les connexions frauduleuses, SSO pour gérer les accès avec les comptes utilisateurs,…
Ainsi, dans le cas du Shadow IT, on retrouve les outils qui permettent de renouer le lien avec les opérationnels tout en permettant de sécuriser l’activité en faisant rentrer les usages dans les politiques de sécurité de l’entreprise.
Le CASB est donc un outil qui peut accompagner une vision proactive du SI, pour détecter de nouveaux services pour améliorer l’efficacité de l’entreprise, ou bien en réaction à des dangers perçus afin de rétablir la confiance dans les outils et dans le SI.
Sydney CASB, le MVP de la Stanley Cloud Cup ?
On peut donc croire qu’un CASB est la solution miracle pour assurer la confiance et la sécurité de tout usage du Cloud.
Pour autant, comme au hockey sur glace, il ne faut pas négliger l’importance de l’encadrement et donc du management du SI.
Sans gouvernance pour supporter le CASB, sans politique de sécurité, sans vision du recours au Cloud et des usages à supporter, le CASB n’aura qu’un impact limité.
La démarche de confiance instaurée par le CASB, entre des utilisateurs finaux et des services, doit servir de direction dans laquelle s’inscrire, que ce soit pour une entreprise ou une DSI.
Il s’agit d’un outillage qui doit rassurer dans les usages Cloud, et éventuellement accompagner vers une plus grande sécurisation du SI.
En tant que boîte à outils, il s’agit de moyens, à déployer à bon escient selon les cas d’usage, et qui s’inscrivent au sein d’une démarche plus globale.
Tout comme un joueur seul ne peut pas faire gagner une équipe, un outil isolé ne suffit pas à sécuriser un SI. Cependant, il peut faire grandir une équipe et apporter une nouvelle démarche pour répondre à des enjeux qui s’imposent à la DSI et ses utilisateurs.
