Bitglass – Next-Gen CASB

Introduction

Dans certain contexte, il est nécessaire d’appliquer des politiques de sécurité différentes en fonction des équipements (managé ou pas), des applications (Office 365,  Salesforce, AWS, ..) ou du type de données (sensibles ou non). Bitglass est une solution CASB (Cloud Access Security Brokers), qui a pour but de sécuriser l’accès à vos données d’ infrastructure OnPremise ou Cloud, et d’appliquer des  politiques de sécurité différentes en fonction de nombreux paramètres. Ce produit s’inscrit dans une logique comprenant quatre points clés :

  • Visibilité : visibilité sur toutes les applications cloud utilisées par l’organisation.
  • Conformité : contrôle l’utilisation du service cloud et veille aux respects des normes tels que la GDPR.
  • Sécurité des données : surveillance des accès et fuite de données sensibles.
  • Protection contre les menaces : empêcher les utilisateurs suspects d’accéder aux ressources de l’organisation.

La force de Bitglass comparé aux autres acteurs du marché réside dans le fait qu’il s’agit d’un produit sans agent ! C’est à dire que nous n’avons pas besoin d’installer d’agent sur nos équipements, notamment pour les appareils BYOD (mobiles, tablettes, ordinateurs portables…) où leur contrôle n’est pas toujours possible. Source :  https://www.gartner.com/it-glossary/cloud-access-security-brokers-casbs/

Points essentiels 

Lorsque l’on souhaite approfondir la sécurité des données, plusieurs points devront retenir notre attention lors l’analyse de la solution :

  • GDPR (General Data Protection Regulation) : loi européenne en matière de protection des données à caractère personnel.
  • MDM (Mobile Device Management) : gestion d’appareil mobile (tablettes, smartphones, ordinateur portable, …).
  • DRM (Digital Right Management) : gestion des droits des utilisateurs.
  • DLP (Data Loss Prevention) : techniques permettant d’identifier, de contrôler et de protéger la donnée grâce à des analyses de contenu approfondies.
  • UEBA (User and Entity Behavior Analytics) : Analyse du comportement et détection des anomalies dans celui-ci (connexion depuis deux lieux différents).
  • Protection Zero-days : protection contre les failles informatique n’ayant fait l’objet d’aucune publication ou d’aucun correctif connu.
  • BYOD (Bring your Own Device) : pratique consistant à utiliser ses équipements personnels (appareil mobile) dans un cadre professionnel.
  • Shadow IT : pratiques invisibles pour la DSI (téléchargement de données depuis un appareil non sécurisé).

Équipements managés versus non managés

On différencie deux types de politiques de sécurité, celle des équipements contrôlés avec un agent (managed device), de celle des équipements non contrôlés comme les appareils BYOD (unmanaged device). Grâce à BitGlass, il est possible d’ appliquer une politique plus restrictive sur les devices non managés, comme :

  • Impossibilité de télécharger certain document ( ex : pdf, documents sensibles, etc..)
  • Impossibilité de se connecter à sa boîte au lettre via Outlook (ou une impossibilité totale d’accès à une application comme AWS)
  • etc..

Applications

Les politiques de sécurité sont définies en fonction du type d’équipement, mais aussi du type d’application : on aura pas les mêmes exigences en fonction de l’application (Office 365, Salesforce, AWS, ..). Les paramètres à prendre en compte dépendent de l’application, par exemple pour Office 365, nous avons :

  • Les groupes d’utilisateurs
  • Les applications Web (Outlook Online, Yammer, Sharepoint ou Onedrive)
  • La méthode d’acces
  • Le type d’équipement
  • La localisation
  • Et l’action à mettre en place

Voici un aperçu de l’interface de configuration :

Protection des données

Il peut être utilisé comme premier moyen de protection des données dans le cadre de la GDPR (General Data Protection Regulation), dans le sens où le produit offre la possibilité de :

  • Filtrer les données (il examine les données pour appliquer la politique de sécurité).
  • Appliquer des actions en fonction de règles précises (Cryptage, censure, impossibilité de télécharger en fonction des paramètres évoqués précédemment).
  • Rediriger les données sensibles vers l’infrastructure OnPremise/Cloud
  • Etc..

Protection Zero-day

Une vulnérabilité « Zero-day » est une faille informatique n’ayant fait l’objet d’aucune publication ou d’aucun correctif connu. Un antivirus standard (qui se base sur les signatures) ne peut pas lutter contre ce type de malware. Bitglass permet de se protéger des vulnérabilités « Zero-days » de quatre manières :

  • Protection des données : accès des données conditionnelle, DLP (Data Loss Prevention), cryptage des données
  • Protection contre les menaces : protection contre les malware zero-days avec Cylance, comptes détournés/piratés
  • Identité : SSO intégrée, MFA (Multi-Factor Authentification), management de session
  • Visiblité : UEBA (User and Entity Behavior Analytics), analyse du comportement des utilisateurs

Cylance, la protection « Zero-day » qu’utilise Bitglass, elle permet de stopper ce type de malwares grâce à son moteur de prédiction basé sur l’intelligence artificielle.

Fonctionnalités additionnelles

Bitglass possède de nombreuses autres fonctionnalités :

  • Les Dashboards.
  • Le MFA (Google Authenticator, sms, email, question de securité).
  • L’IDP (Bitglass, ADFS, etc..).
  • Les alertes.
  • La réinitialisation de l’équipement ou des données seulement (réinitialisation ciblée).
  • ICAP : redirection des données sensibles vers un DLP OnPremise.

Conclusion

Bitglass est un premier pas pour être en conformité avec la nouvelle réglementation GPDR. L’éventail de possibilités de ce produit est large, ce qui lui permet de pouvoir répondre à un grand nombre de besoins. Ce CABS permet en autre de :

  • S’interfacer avec les plus grand fournisseurs de solutions SAS du marché.
  • Avoir une politique de sécurité très fine, en fonction du type d’appareil, du groupe d’utilisateur, de la méthode d’accès, etc..
  • Sécuriser les données
  • Sécuriser & filtrer les connexions.
  • Détecter les comportements anormaux (et déclencher des politiques de sécurité).
  • Rediriger les DLP vers un DLP OnPremise.
  • Réinitialiser un appareil (ou seulement les données de l’organisation) sans agent.
  • Etc..

Outre le fait que Bitglass est très efficace en matière d’accès et de protection des données de l’entreprise, l’avantage indéniable de Bitglass est que son fonctionnement ne nécessite aucun agent. D’autres articles de démonstration suivront pour exposer des cas concret d’utilisation de la solution BitGlass au sein d’infrastructure OnPremise/Hybride/Cloud. Si vous souhaitez plus d’informations sur ce produit, n’hésitez pas à nous contacter !