CASB (Cloud Access Security Broker)

Un Cloud Access Security Broker (CASB) est un point de contrôle — proxy, intégration API, ou les deux — qui s’intercale entre les utilisateurs et les applications SaaS qu’ils consomment, afin que l’équipe sécurité puisse appliquer une politique sur un trafic qui contournerait sinon les contrôles on-premise. Gartner a forgé le terme en 2012 pour décrire une catégorie alors émergente, en réponse à la prolifération du SaaS en entreprise.

Un CASB couvre classiquement quatre piliers (taxonomie Gartner) : visibilité (quels SaaS sont utilisés), conformité (cartographier le comportement des apps face aux réglementations), sécurité des données (inspection de type DLP), protection contre les menaces (détection d’anomalies). Propriétés essentielles :

• Politique appliquée au bord. Le CASB intercepte l’action — upload, partage, login — et décide d’autoriser, bloquer, alerter ou modifier.
• Mode inline ou API. Les CASB inline (proxy) sont sur le chemin réseau ; les CASB API lisent les API SaaS de manière asynchrone. Les produits matures combinent les deux, avec des arbitrages couverture/latence.
• Content-aware. Le CASB inspecte le contenu (fichiers, corps de message) pour appliquer les classifications DLP.
• Dépendant du catalogue d’apps. L’efficacité du CASB dépend du nombre de SaaS pour lesquels l’éditeur a fait l’intégration API ; la longue traîne du shadow IT reste difficile à couvrir.

Les CASB résolvent un vrai problème et restent une pièce centrale des stacks matures. Leur limite est structurelle : ils font respecter ce que la politique autorise, alors que la plupart des incidents SaaS actuels ne violent aucune politique écrite — un utilisateur légitime prend une décision risquée mais autorisée (partage public d’un document, octroi OAuth à un outil productivité, compte d’ancien prestataire laissé actif). C’est l’angle que la surveillance SaaS centrée comportement cherche à couvrir.