Trust Fabric : Oracle met en musique son offre de sécurité

Un portefeuille de sécurité intégré « conçu pour l’ensemble de l’écosystème IT, Oracle et tiers, en local comme en mode SaaS, PaaS et IaaS ». C’est ainsi que Troy Kitch, directeur sénior d’Oracle en charge du marketing des produits de sécurité, présente Trust Fabric, le fruit d’une stratégie agressive et menée au pas de charge au cours des dernières années, par l’éditeur.

Dans un billet de blog, il détaille un modèle qui s’articule « autour de la notion de protection des données critiques sensibles et s’appuie sur sept couches » : protection des données (avec chiffrement, masquage, et contrôle des accès), gestion des clés de chiffrement, gestion des identités et des accès, visibilité des usages cloud et prévention des fuites de données, sécurité des applications exposées en ligne, sécurité de l’infrastructure cloud, supervision et analytique de sécurité appliquées au cloud. Le tout saupoudré d’une pincée d’apprentissage automatique pour « détecter et réagir rapidement aux menaces ».

Comme le souligne Eric Olden, vice-président et directeur général d’Oracle en charge de la sécurité et de l’identité en mode cloud, il s’agit de proposer une approche complète de la sécurité des environnements IT à l’heure du cloud et de l’hybridation, centrée sur la protection des données en lien avec les identités.

En fait, avec Trust Fabric, Oracle offre une marque à sa pile de sécurité construite avec le rachat de Palerra, à l’automne 2016. Avec cette opération, l’éditeur s’offrait une passerelle d’accès cloud sécurisé (CASB) basée sur les API proposées par les fournisseurs de services SaaS, PaaS et IaaS, et offrant un éventail fonctionnel complet : analyse des risques et des comportements des utilisateurs, réponse aux incidents, gestion de cas, intégration de renseignement sur les menaces, ou encore gestion de la remédiation basée sur des approbations. A l’époque, Oracle affichait clairement ses ambitions : rapprocher la plateforme de Palerra de son offre de gestion des identités et accès en mode cloud (IDaaS) – Oracle Identity Cloud Service – pour « fournir une protection complète des utilisateurs, applications, APIs, données et infrastructures ».

L’an dernier, l’éditeur a franchi une étape supplémentaire, avec l’annonce d’un nouveau service cloud de supervision et d’analyse de sécurité, combinant les fonctionnalités d’un système de gestion des informations et des événements de sécurité (SIEM) et analyse comportementale (UEBA, User and Entity Behavior Analytics), tant des hôtes que des utilisateurs. Il manquait à l’édifice un nom. C’est aujourd’hui fait.

Et ce nom n’est sûrement pas innocent. Le terme « trust », ou confiance en anglais, renvoie ainsi au concept d’architecture dite zero-trust, ou sans confiance, régulièrement mis en avant comme l’alternative à une approche périmétrique de la sécurité dépassée, à l’heure d’environnement ouverts, massivement interconnectés ou tout au moins de plus en plus hybrides. A la manière de l’approche BeyondCorp que Google applique graduellement, depuis plusieurs années, à l’ensemble de son infrastructure.