Retour d’expérience : la mise en place d’un CASB

Quels étaient ses besoins techniques ? Comment Orange Cyberdefense l’a-t-il accompagné ? Retour d’expérience.

Ce client évolue dans le secteur du tourisme. C’est une société de plus de 3500 employés, d’envergure internationale, qui accompagne plus d’un million de clients chaque année.

Cette entreprise a décidé de migrer dans le cloud via Office 365. Elle souhaitait sécuriser ses données et pouvoir contrôler les accès à celles-ci. Elle avait donc besoin d’un Cloud Access Security Broker, qu’on appelle plus souvent CASB. Un CASB analyse les flux des données et scanne les documents présents au sein d’un cloud, permettant ainsi la détection de fichiers et de comportements douteux.

Société très mature sur les questions de cybersécurité, elle a challengé elle-même plusieurs éditeurs du marché, qui ont dû, via une preuve de concept, démontrer la fiabilité de leur solution. Ce n’est qu’une fois l’éditeur choisi que l’entreprise a fait appel à nos services pour la déployer. C’est surtout sur la partie technique que ce client avait besoin de nos services.

Pour qu’un CASB fonctionne au mieux, des pré-requis sont nécessaires. Il n’existe en effet pas de configuration préétablie pour ce genre de solution. Nous sommes sur une prestation sur-mesure, adaptée à chaque client et chaque contexte. Pour fixer les paramètres du CASB, il faut définir des règles, pour chaque population cible. Il s’agit de déterminer des scénarios pour paramétrer le logiciel ; face à un comportement d’utilisateur considéré comme douteux, le CASB devra déclencher une alerte.

Pour configurer ces règles, notre client a réalisé un travail aussi précieux que titanesque avant de lancer son appel d’offre. Il savait exactement quels étaient les besoins et usages des collaborateurs qui allaient utiliser le CASB. Ces informations ont été utilisées pour fixer les premières règles de la solution. Nous les avons ensuite testées sur un échantillon de collaborateurs. Une fois les tests concluants, le CASB a été déployé à l’ensemble de la population visée.

L’entreprise a choisi une sensibilisation au cas par cas. Les alertes remontées par le CASB ont été utilisées pour informer les collaborateurs concernés de leurs erreurs, tout en leur donnant des clés pour adopter un comportement plus sécuritaire.

Un CASB n’est pas techniquement difficile à mettre en place si la préparation est bien faite. Notre travail a été facilité par celui réalisé en amont par l’entreprise. Aujourd’hui, le client est satisfait, et donne même des conférences à propos de cette opération, lors d’évènements privés.

Si nous avions travaillé avec un client moins mature sur les questions de cybersécurité, cela aurait nécessité de l’accompagner dans la définition des cas d’usages et des règles à mettre en place avec l’aide de l’équipe Conseil et Audit d’Orange Cyberdefense.

Le client est aujourd’hui totalement autonome. Nous restons tout de même présent pour tout problème technique et toute interrogation. Ce n’est pas encore à l’ordre du jour, mais peut-être l’accompagnerons-nous sur la connexion de son CASB à son réseau interne. Cela permettrait de faire le pont entre ses données internes et externes.