Abonnez-vous pour recevoir des notifications sur les nouveaux articles :

Cloudflare One for Data Protection

2023-09-07

Lecture: 7 min.
Cet article est également disponible en English, en 繁體中文, en Deutsch, en 日本語, en 한국어 et en 简体中文.

Le volume, la variété et la vélocité des données continuent de croître, de sorte que les équipes de sécurité des entreprises de toutes les tailles connaissent des difficultés à tenir le rythme. Les entreprises font face à une escalade des risques posés par les divers environnements SaaS. De même, l'émergence des outils reposant sur l'intelligence artificielle (IA) générative, ainsi que l'exposition et le vol des précieux codes source, maintiennent sans cesse les RSSI et les Data Officers sur le qui-vive.

Cloudflare One for Data Protection

Ces dernières années, Cloudflare a lancé des fonctionnalités visant à aider les entreprises à faire face à ces risques, mais aussi à bénéficier d'une visibilité et de mesures de contrôle sur leurs données, notamment via le lancement de nos services de prévention de perte de données (Data Loss Prevention, DLP) et de CASB (Cloud Access Security Broker, agent de sécurité des accès au cloud) à l'automne 2022.

Annonce de la suite de protection des données de Cloudflare One

Aujourd'hui, nous poursuivons sur notre lancée et annonçons la solution Cloudflare One for Data Protection, notre suite unifiée de protection des données pour toutes les applications, web, SaaS et privées. Bâtie et diffusée sur notre réseau mondial dans son ensemble, la suite de protection des données de Cloudflare One est conçue pour lutter contre les risques associés au codage moderne et à l'IA.

De manière plus spécifique, cette suite fait converger plusieurs fonctionnalités issues de nos services de DLP, de CASB, de ZTNA (Zero Trust Network Access, accès réseau Zero Trust), de SWG (Secure Web Gateway, passerelle web sécurisée), de RBI (Remote Browser Isolation, isolement de navigateur à distance) et de sécurité du courrier électronique cloud au sein d'une plateforme unique afin d'en simplifier la gestion. Tous ces services sont désormais disponibles et proposés dans le cadre de Cloudflare One, la plateforme SASE regroupant nos services de sécurité et de connectivité réseau.

Un autre article de blog publié aujourd'hui revient sur la nature des technologies et des fonctionnalités que nous avons lancées l'année dernière et donne un aperçu de celles auxquelles nos clients peuvent s'attendre.

Dans cet article, nous nous concentrerons davantage sur l'impact de ces technologies et fonctionnalités quant à la manière dont elles ont permis à nos clients de répondre aux risques les plus récents envers les données, avec des exemples de scénarios d'utilisation pratiques. Nous pensons que Cloudflare One bénéficie d'une position unique pour assurer une meilleure protection des données, capable de répondre à ces risques. Et par « meilleure », nous entendons :

  • Aider les équipes de sécurité à être plus efficaces dans leurs efforts de protection des données en simplifiant la connectivité des ressources « inline » (internes) et des API, de même que la gestion des politiques.

  • Aider les collaborateurs à être plus productifs en leur assurant une expérience utilisateur rapide, fiable et cohérente.

  • Aider les entreprises à être plus agiles en innovant rapidement afin de leur permettre de répondre à l'évolution des exigences en matière de confidentialité et de sécurité des données.

Des données toujours plus difficiles à sécuriser

Les données couvrent davantage d'environnements que la plupart des entreprises ne peuvent en suivre. Trois risques résolument modernes se distinguent lors de nos conversations avec les clients :

  1. La diversité croissante des environnements cloud et SaaS : les applications dans lesquelles les « travailleurs du savoir » passent le plus clair de leur temps (comme les clients e-mail cloud, les dossiers de stockage et les documents partagés ou les suites SaaS de collaboration et d'amélioration de la productivité, type Microsoft 365) sont de plus en plus visées par les acteurs malveillants à des fins d'exfiltration des données.

  2. Les outils IA émergents : les dirigeants d'entreprise se préoccupent du fait que les utilisateurs partagent trop d'informations sensibles avec des modèles de langage opaques et fortement ramifiés, comme ChatGPT, mais souhaitent en même temps tirer parti des avantages de l'IA.

  3. L'exposition ou le vol de code source : le code rédigé par les développeurs alimente les entreprises numériques, mais du fait de sa valeur élevée, ce même code source peut être exposé ou ciblé à des fins de vol sur de nombreux outils pour développeurs, comme GitHub, y compris dans des emplacements situés à la vue de tous, comme les référentiels publics.

Ces deux derniers risques se recoupent déjà. Un nombre croissant d'entreprises, comme Amazon, Apple, Verizon, Deutsche Bank et bien d'autres interdisent à leurs collaborateurs d'utiliser les outils tels que ChatGPT par crainte de perdre des données confidentielles. Un ingénieur travaillant chez Samsung a d'ailleurs récemment téléchargé du code sensible vers cet outil. À l'heure où les entreprises donnent la priorité aux nouveaux services et aux nouvelles expériences numériques, les développeurs subissent une pression grandissante les incitant à travailler plus vite et de manière plus intelligente. Les outils basés sur l'IA peuvent les aider à débrider leur productivité, mais les conséquences à long terme liées au partage à outrance de données sensibles avec ces outils demeurent inconnues.

En fin de compte, les risques pesant sur les données n'iront qu'en s'accentuant, notamment du fait que les entreprises accélèrent leurs initiatives de transformation numérique et que le travail hybride, en combinaison avec les efforts de développement, continue d'étendre les surfaces d'attaque. Parallèlement, la conformité réglementaire se fera de plus en plus exigeante, à mesure que davantage de pays et d'états adopteront des lois de plus en plus strictes en matière de confidentialité des données.

Les services DLP traditionnels ne sont pas équipés pour suivre le rythme imposé par ces risques modernes. L'association d'une complexité élevée, tant en termes de configuration que d'opération, et d'une expérience utilisateur négative implique qu'en pratique, les mesures de contrôle DLP sont souvent sous-utilisées, voire totalement contournées. Qu'ils soient déployés en tant que plateforme autonome ou intégrés à d'autres services de sécurité ou applications SaaS, les produits DLP peuvent souvent se transformer en « shelfware » (des logiciels achetés, mais jamais utilisés) particulièrement coûteux. De même, la redirection du trafic via des équipements physiques de protection des données installés sur site (qu'il s'agisse d'équipements de DLP, de pare-feu, de SWG ou autres) engendre des coûts et ralentit l'expérience utilisateur, deux aspects qui freinent l'expansion des entreprises sur le long terme.

Figure 1 : les risques modernes envers les données

Comment nos clients utilisent Cloudflare pour protéger leurs données

De plus en plus de clients font aujourd'hui appel à Cloudflare pour faire face à ces risques envers leurs données, dont notamment une entreprise gazière classée au Fortune 500, un important site d'offres d'emploi américain, une compagnie aérienne régionale américaine et une entreprise australienne spécialisée dans la santé. Sur l'ensemble de ces interactions client, trois scénarios d'utilisation se démarquent en tant que domaines d'intervention courants lors du déploiement de Cloudflare One à des fins de protection des données.

Scénario d'utilisation 1 : sécuriser les outils IA et le code développeurs (Applied Systems)

Applied Systems, une entreprise spécialisée dans la technologie et les logiciels liés aux assurances, a récemment déployé Cloudflare One pour sécuriser des données au sein d'environnements IA.

Plus spécifiquement, l'entreprise exécute l'instance publique de ChatGPT au sein d'un navigateur isolé, afin que son équipe de sécurité puisse appliquer des mesures de blocage du copier/coller afin d'empêcher les utilisateurs de copier des informations sensibles issues d'autres applications (dont le code développeurs) dans l'outil IA. Comme le dit Tanner Randolph, son Chief Information Security Officer : « Nous souhaitions permettre à nos collaborateurs de tirer parti de l'IA, tout en assurant sa sécurité ».

Ce scénario d'utilisation n'était que l'un des nombreux cas auxquels Applied Systems s'est retrouvée confrontée lors de la migration de Zscaler et Cisco vers Cloudflare, mais nous constatons un intérêt croissant pour la sécurisation de l'IA et du code développeurs parmi nos clients.

Scénario d'utilisation 2 : visibilité sur l'exposition des données

Les clients tirent parti de Cloudflare One pour regagner de la visibilité et du contrôle sur les risques d'exposition de données au sein de leurs environnements applicatifs tentaculaires. Pour nombre d'entre eux, la première étape consiste à analyser l'utilisation non autorisée d'applications, puis de prendre des mesures pour autoriser, bloquer, isoler ou appliquer toute autre mesure de contrôle à ces ressources. Une deuxième étape, de plus en plus populaire, consiste à analyser les applications SaaS à la recherche d'erreurs de configuration et de données sensibles via un CASB et un service DLP, avant de prendre des mesures correctives par l'intermédiaire de politiques SWG.

Un géant de l'e-commerce britannique disposant de 75 000 collaborateurs a fait appel à Cloudflare pour procéder à cette dernière étape. Dans le cadre d'une stratégie de migration plus large de Zscaler à Cloudflare, l'entreprise a rapidement mis en place des intégrations d'API entre ses environnements SaaS et le CASB de Cloudflare, avant de commencer à rechercher des erreurs de configuration. De même, au cours du processus d'intégration, l'entreprise a également pu synchroniser ses politiques DLP avec les étiquettes de confidentialité Microsoft Purview Information Protection, afin de pouvoir utiliser son infrastructure existante pour hiérarchiser les données à protéger. En définitive, l'entreprise s'est retrouvée en mesure d'identifier les risques d'exposition des données en l'espace d'une journée.

Scénario d'utilisation 3 : conformité aux règlements

Les corpus réglementaires exhaustifs sur les données, comme le RGPD, la CCPA, la HIPAA et la GLBA, nous accompagnent depuis quelque temps maintenant. Toutefois, de nouvelles lois font rapidement leur apparition : 11 États américains disposent désormais de lois complètes sur la confidentialité, alors qu'ils n'étaient que 3 en 2021. De même, les mises à jour apportées aux lois existantes, comme la PCI DSS, intègrent désormais des exigences plus strictes et plus extensives.

De plus en plus de clients se tournent vers Cloudflare One pour leurs besoins de conformité, notamment en s'assurant qu'ils peuvent surveiller et protéger les données réglementées, p. ex. les données financières, les données médicales, les PII (Personally Identifiable Information, informations d'identification personnelle), les correspondances exactes des données, parmi bien d'autres. Certaines étapes courantes visent en premier lieu à détecter et appliquer des mesures de contrôle aux données sensibles par l'intermédiaire de services de DLP, puis à entretenir des pistes d'audit détaillées par l'intermédiaire de journaux et d'analyses SIEM, avant de réduire les risques généraux à l'aide d'une stratégie de sécurité Zero Trust exhaustive.

Examinons un exemple concret. L'une des bonnes pratiques du Zero Trust de plus en plus exigée est l'authentification multifacteur (MFA, Multi-Factor Authentication). Dans le secteur des cartes de paiement, la norme PCI DSS v4.0, qui entrera en vigueur en 2025, exige que la MFA soit appliquée à chaque requête d'accès à l'environnement de données d'un titulaire de carte, pour chaque utilisateur et pour chaque emplacement, y compris les environnements cloud, les applications sur site et les stations de travail, parmi bien d'autres cas de figure (exigence 8.4.2). En outre, ces systèmes MFA doivent être configurés de manière à empêcher l'utilisation frauduleuse (y compris les attaques par rejeu et les tentatives de contournement) et doivent exiger au moins deux facteurs différents pour réussir (exigence 8.5). Pour leur permettre de se conformer à ces exigences, Cloudflare aide les entreprises à appliquer la MFA à l'ensemble des applications et des utilisateurs. Nous utilisons d'ailleurs les mêmes services pour appliquer l'authentification par clé physique à nos propres collaborateurs.

Figure 2 : scénarios d'utilisation de la protection des données

La différence Cloudflare

La suite de protection des données de Cloudflare One est conçue pour rester à l'avant-garde des risques modernes envers les données, afin de répondre à ces scénarios d'utilisation et aux autres scénarios en pleine évolution.

Avec Cloudflare, la DLP n'est pas seulement intégrée à d'autres services de sécurité généralement distincts, comme le CASB, la SWG, le ZTNA, le RBI et la sécurité du courrier électronique, elle converge au sein d'une plateforme unique, dotée d'un seul plan de contrôle et d'une seule interface. Au-delà de la « soupe d'acronymes », notre architecture réseau est réellement ce qui nous permet d'aider les entreprises à être plus efficaces, plus productives et plus agiles en matière de protection des données.

Nous simplifions la connectivité à l'aide d'options flexibles, afin de vous permettre d'envoyer du trafic à Cloudflare à des fins d'exécution de nos solutions. Ces options comprennent, entre autres, les analyses basées sur API des suites SaaS à la recherche d'erreurs de configuration et de données sensibles. Contrairement aux solutions qui nécessitent que les équipes de sécurité obtiennent des autorisations complètes d'accès aux applications de la part des équipes informatiques ou opérationnelles, Cloudflare peut détecter les risques d'exposition à l'aide d'autorisation d'accès en lecture seule. Les déploiements sans client du ZTNA afin de sécuriser l'accès aux applications et de l'isolement de navigateur pour contrôler les données au sein des sites web et des applications sont évolutifs pour tous les utilisateurs des grandes entreprises (collaborateurs et tiers, comme les sous-traitants. De même, si vous souhaitez placer du trafic en proxy de transfert, Cloudflare propose un client sur appareil doté d'autorisations en auto-inscription ou d'accès directs (on-ramps) sur réseau étendu pour l'ensemble des services de sécurité. Avec tant de moyens concrets de déploiement à votre disposition, votre approche de la protection des données sera efficace et fonctionnelle (et ne sera manifestement pas un shelfware).

Tout comme vos données, notre réseau mondial est partout et couvre désormais plus de 300 villes réparties dans plus de 100 pays. Nous avons démontré que nous appliquions les mesures de contrôle plus rapidement que d'autres fournisseurs, tels que Zscaler, Netskope et Palo Alto Networks, le tout grâce à l'inspection en une seule passe. Nous faisons en sorte que la sécurité soit rapide, fiable et non intrusive, afin de vous permettre de superposer vos mesures de contrôle des données sans perturber la productivité des flux de travail.

Notre architecture réseau programmable nous permet de développer rapidement de nouvelles fonctionnalités. En outre, nous adoptons rapidement les nouvelles normes et les nouveaux protocoles de sécurité (comme les connexions uniquement IPv6 ou le chiffrement HTTP/3) afin de vous assurer que votre solution de protection des données demeure efficace. Au final, cette architecture nous permet d'évoluer en même temps que les scénarios d'utilisation de la protection des données (comme le fait de protéger le code au sein des environnements IA), tout en nous permettant également de déployer rapidement l'IA et les modèles de Machine Learning (apprentissage automatique) sur l'ensemble de nos emplacements réseau, afin d'appliquer des mesures de détection plus précises et orientées par le contexte.

Figure 3 : protection unifiée des données grâce à Cloudflare

Premiers pas

Les risques envers la sécurité les plus modernes exigent une sécurité moderne, elle aussi. Nous pensons que la suite de protection des données unifiée de Cloudflare One est conçue pour aider les entreprises à échapper à leurs risques prioritaires, aujourd'hui et à l'avenir. Et ce qu'il s'agisse de sécuriser le code développeurs et les outils IA, de récupérer de la visibilité sur les applications SaaS ou d'assurer la conformité aux règlements en constante évolution.

Si vous souhaitez explorer de quelle manière Cloudflare peut protéger vos données, demandez un atelier avec nos experts dès aujourd'hui.

De même, si vous souhaitez en savoir plus sur la manière dont Cloudflare One protège vos données, consultez le communiqué de presse publié aujourd'hui, rendez-vous sur notre site web ou approfondissez vos connaissances dans notre blog technique connexe.

***

  1. The State of Secrets Sprawl 2023, GitGuardian

  2. Top Generative AI Statistics for 2023, Salesforce

  3. Cost of a Data Breach Report 2023, IBM

  4. 2023 “State of the CISO” report, conducted by Global Survey

  5. United Nations Conference on Trade & Development

  6. International Association of Privacy Professionals (IAPP)

Nous protégeons des réseaux d'entreprise entiers, aidons nos clients à développer efficacement des applications à l'échelle d'Internet, accélérons tous les sites web ou applications Internet, repoussons les attaques DDoS, tenons les pirates informatiques à distance et pouvons vous accompagner dans votre parcours d'adoption de l'architecture Zero Trust.

Accédez à 1.1.1.1 depuis n'importe quel appareil pour commencer à utiliser notre application gratuite, qui rend votre navigation Internet plus rapide et plus sûre.

Pour en apprendre davantage sur notre mission, à savoir contribuer à bâtir un Internet meilleur, cliquez ici. Si vous cherchez de nouvelles perspectives professionnelles, consultez nos postes vacants.
Cloudflare OneDLPCASB (FR)Zero TrustAINouveautés produitsPrivacy

Suivre sur X

Cloudflare|@cloudflare

Publications associées