| Solutions/Technologies

Le rachat la semaine dernière du spécialiste CASB Cloudlock par Cisco n’est finalement pas une grande surprise, mais nous donne l’opportunité de nous interroger sur ce marché et son évolution à court et moyen terme.

Alors que seules quelques entreprises en France se lancent (enfin ?) dans la sécurisation des usages du Cloud en entreprise, le marché lui n’attend pas la maturité pour s’agiter. Comme nous l’avions pressenti dès l’année dernière lors de notre atelier des Assises de la Sécurité (« Et si vous domptiez le grand méchant Cloud ? » : https://lc.cx/49nv ), les grands acteurs de la sécurisation du Web en entreprise se positionnent sur le marché de la sécurisation du Cloud, à grands coups de rachats comme c’est maintenant une règle entendue. Il apparait en effet plus simple pour ces grands acteurs d’opérer par croissance externe en « avalant » des startups ayant développé une technologie que de positionner leur R&D sur ces sujets pourtant prévisibles… étonnant mais finalement assez convenu. Pour en revenir plus spécifiquement aux CASB, le paysage de ces derniers mois est fort intéressant : en se penchant un peu plus sur les évolutions récentes, les fonctionnalités apportées, et les acteurs déjà positionnés, on peut imaginer sans boule de cristal comment le marché va pouvoir évoluer.

Vers une fusion des CEG (Cloud Encryption Gateways) et des CASB (Cloud Access Security Broker) ?

On distinguait encore il y a peu les CEG (Cloud Encryption Gateways) des CASB (Cloud Access Security Broker). Aujourd’hui, ces deux fonctions tendent à « fusionner » dans les offres des acteurs et devraient ne faire plus qu’une d’ici quelques mois. A titre d’exemple, Bluecoat avec les rachats successifs de Perspecsys & Elastica ne distinguera probablement bientôt plus ces 2 fonctions alors que certains acteurs embarquent même « nativement » ces deux fonctions dans leurs offres (Skyhigh Networks par exemple). Le marché a donc tendance à positionner des offres de sécurisation des usages du Cloud globales, proposant aussi bien le chiffrement de la donnée (CEG) que la sécurisation de l’usage lui-même (CASB).

Un marché en pleine mutation

Alors qu’il y a un peu plus d’un an, le marché n’était dominé que par des « pure players », il l’est finalement aujourd’hui par de grands acteurs « racheteurs » (Microsoft, Cisco, Symantec/Bluecoat) à quelques exceptions près (Skyhigh Networks, Netskope, PaloAlto & Bitglass notamment). Mais ces exceptions vont-elles perdurer ? Pour obtenir un début de réponse, il est intéressant d’analyser le positionnement des gammes CASB dans les offres de ces grands acteurs. Il est fort probable que chez Cisco, l’offre Cloudlock rejoigne les offres ex-Scansafe, ex-Ironport et ex-OpenDNS pour créer une nouvelle gamme de sécurisation Web incluant finalement l’ensemble des briques attendues par l’entreprise sur la sécurisation web (sécurité du browsing web et des applications métiers en mode SaaS). Nul doute que la stratégie de Bluecoat avec Elastica sera tout à fait similaire avec un rapprochement programmé des offres de Proxy Cloud avec Elastica. De ce fait, comment réagiront  les acteurs majeurs du proxy en mode SaaS ? Développer une offre technique en partant de zéro ou chercher à racheter ceux qui sont encore des pure players accessibles ? A votre tour de prendre votre boule de cristal et de deviner…

Alors faut-il attendre que le marché se « stabilise » pour avancer sur ce sujet ?

 Gartner considère que le CASB sera la technologie de sécurité N°1 en 2016, sur laquelle OPMD travaille depuis 2014 (veille, étude de marché, POCs, mise en œuvre) :

http://www.gartner.com/newsroom/id/3347717

Il y a  donc fort à parier que le marché va mettre un peu de temps à se stabiliser… pour autant, le besoin est plus que prégnant. Sans revenir en détail sur les fonctionnalités des CASB, nous les considérons aujourd’hui non pas comme des technologies « nice to have » mais comme des solutions « mandatory » dans la plupart des entreprises cloudophiles. Comment par exemple pouvez-vous considérer que votre SOC exerce un contrôle sur la fuite de données si vous utilisez Google Apps ou Onedrive sans CASB ? Avez-vous déjà conduit un audit Shadow IT exhaustif et pensez-vous travailler de pair avec vos métiers sur leurs besoins Cloud ? Et ce n’est que la face émergée de l’iceberg…

Nous pensons que cette relative instabilité du marché ne doit pas être un frein pour l’adoption d’un CASB dans l’entreprise, mais plutôt un levier que les entreprises devraient utiliser pour challenger les éditeurs. Les références sont en effet peu nombreuses (nous avons la chance au sein d’OPMD d’avoir une des premières références significatives sur le marché), et les éditeurs sont capables de faire des efforts tarifaires significatifs pour gagner ces premières parts de marché. Alors faut il y aller ou pas ? Pour nous, la question de ne se pose plus !