Encadrer le Shadow IT : Netskope analyse les flux du Cloud

La start-up Netskope arrive en Europe. Spécialisées dans la sécurisation des applications Saas en entreprise, ses solutions vont jusqu’au DPI (Deep Packet Inspection) des flux du Cloud. Y compris hors du réseau de l’entreprise.

Sanjay Beri, Pdg de Netskope
Sanjay Beri, Pdg de Netskope

Start-up californienne née en 2012, Netskope, spécialisée dans la sécurisation des applications Cloud, fait son arrivée en Europe continentale, avec son installation dans deux datacenters d’Equinix, à Amsterdam et Francfort. En France, la jeune société a recruté Thierry Guenoun, un ancien de Netscreen et de NeedIT (société de services). De passage à Paris, Sanjay Beri, le Pdg de cette société employant déjà 130 personnes, explique que Netskope est né du constat que les grands acteurs de la sécurité ne parvenaient pas à étendre leurs concepts aux applications Saas. « La société est née autour de 5 ou 6 personnes clefs issues de sociétés comme Cisco, Symantec ou Juniper », précise le dirigeant, lui-même issu de cette dernière.

Les solutions de Netskope visent à redonner une visibilité à la DSI sur les applications du Cloud employées par les salariés… sans toutefois frustrer ces derniers par des interdictions pures et simples. « Nous savons que les entreprises font face à un problème : selon notre dernier baromètre, datant du second trimestre, une grande entreprise utilise en moyenne plus de 500 applications Saas et 90 % d’entre elles sont employées en dehors de tout contrôle de la DSI », lance Sanjay Beri. Or, selon lui, les risques de fuite de données sont particulièrement prégnants avec les applications de stockage ou de sauvegarde, les applications marketing et RH.

Déchiffrement des flux SSL

netskope2L’offre de la start-up s’étage en fonction des différents besoins que rencontre une entreprise. « Nous pouvons commencer par travailler sur les logs des firewall. Une méthode rapide et sans impact sur l’infrastructure qui permet de produire une première analyse de risques », explique Sanjay Beri. Mais, pour aller au-delà, et comprendre ce que les utilisateurs font réellement des applications Saas, Netskope doit déconstruire la transaction. « Par exemple, une entreprise voulait récemment comprendre pour quels usages ses employés utilisaient 22 applications de stockage Cloud différentes », raconte le dirigeant. Ce qui signifie, la plupart du temps, décrypter les flux SSL. Une solution assez classique quand la solution de Netskope est installée sur site. Un peu moins quand celle-ci est hébergée : « les flux sont alors interceptés sur les points d’échange de trafic », précise le fondateur. Cette méthode de DPI (Deep Packet Inspection) permet d’inspecter les échanges même quand le salarié accède à une application Saas professionnelle hors du réseau de l’entreprise. A condition toutefois d’avoir pu installer un certificat dédié sur le terminal ou d’exploiter un certificat déjà présent utilisé par l’entreprise.

Le dernier étage de la fusée Netskope consiste à appliquer des règles aux différentes applications en usage. Pour chaque application, la société cartographie les fonctions proposées, facilitant ainsi la gestion des règles par association d’un groupe d’applications à certaines actions ou types de données. Pour son arrivée en Europe, la solution gère également la géolocalisation afin de prendre en compte les préoccupations des entreprises européennes en matière de souveraineté des données. Histoire d’interdire, par exemple, tout stockage de données aux Etats-Unis.

Interdire les comportements à risque, pas les apps

A chaque fois qu’ils transgressent une règle, les utilisateurs en sont avertis et se voient proposer des méthodes alternatives, assure Sanjay Beri. « Notre but est de rendre le Cloud compatible avec les attentes de l’entreprise, pas de l’interdire ». A noter que la société ne propose pas, elle, sa solution dans le Cloud, en raison notamment de sa volonté de garantir les performances. Netskope assure que sa solution n’entraîne aucun temps de latence humainement détectable dans les connexions au Cloud.

Selon Sanjay Beri, les solutions de Netskope apporte une visibilité sur les applications Saas que sont incapables de fournir des solutions traditionnelles. « Ces dernières se contentent de bloquer des domaines correspondant à des applications Saas. C’est d’abord assez inefficace, car les applications du Cloud fonctionnent de façon éclatée, avec de multiples domaines, hors des navigateurs ou via le mobile. C’est ensuite frustrant pour les utilisateurs, car ce que les RSSI veulent interdire, ce sont les comportements risqués, pas les applications elles-mêmes. »

Basé sur le nombre d’employés de la société, le coût de la solution Netskope dépend de la richesse des fonctions déployées. Le plus grand client de la start-up à ce jour débourse quelque 600 000 euros par an.

A lire aussi :

La gestion du shadow Cloud, prochain défi des DSI
Sécurité : 91 % des services Cloud utilisés en Europe présentent un risque