Courtier en sécurité d'accès au cloudUn courtier en sécurité d'accès au cloud, (en anglais cloud access security broker ou CASB) est un logiciel situé entre les utilisateurs de services cloud et les applications cloud, surveillant les activités et appliquant les politiques de sécurité[1]. Le CASB peut être auto-hébergé ou hébergé sur le cloud. Un CASB peut surveiller l'activité des utilisateurs, avertir les administrateurs d'actions potentiellement dangereuses, appliquer les politiques de sécurité et bloquer automatiquement les logiciels malveillants. Une solution classique de CASB assure que seuls les utilisateurs authentifiés et autorisés aient accès aux resources cloud. Le CASB peut logger les accès, enregistrer les activités et envoyer des alertes en cas d’activité louche. En general, tous les contrôles de sécurité conçus par les organisations peuvent être répliquée par le CASB. C'est par exemple le cas des outils de Data Loss Prevention[2]. DéfinitionLe CASB est défini pour la première fois en 2012 par Gartner avec la définition suivante[3] :
Types de CASBLes CASB offrent des fonctionnalités de sécurité et de gestion. D'une manière générale, la « sécurité » est la prévention des événements à haut risque, tandis que la « gestion » est la surveillance et l'atténuation des événements à haut risque. Les CASB qui assurent la sécurité doivent se trouver dans le chemin d'accès aux données, entre l'utilisateur et le fournisseur de cloud. Sur le plan architectural, cela peut être réalisé avec des agents proxy sur chaque périphérique, ou sans agent. Les CASB sans agent permettent un déploiement rapide et assurent la sécurité sur les appareils gérés par l’entreprise ou les appareils BYOD non gérés. Les CASB sans agents respectent également la confidentialité des utilisateurs, en inspectant uniquement les données de l'entreprise. Les CASB basés sur des agents sont difficiles à déployer et efficaces uniquement sur les appareils gérés par l'entreprise. Les CASB basés sur des agents inspectent généralement les données d'entreprise et les données personnelles.[réf. nécessaire] Voir aussiRéférences
|