SASE : la convergence cyber et SD-WAN est en marche

Pour prendre la définition du Gartner qui date de 2019, le SASE a deux gros pendants : d'une part le SSE (Security Service Edge) avec tous ses microservices de sécurité d'un côté, mais aussi toute la partie connectivité avec le SD-WAN. Le modèle de sécurité SASE accompagne à la fois un besoin de simplifier la gestion au quotidien de la cybersécurité, mais aussi une évolution profonde des réseaux d'entreprise.

Les entreprises remettent leurs WAN à plat pour accompagner leur transformation numérique et l'essor du Cloud dans leurs infrastructures. « Lorsqu'on synthétise ce que disent les analystes du marché, les entreprises sont passées d'une approche legacy avec des réseaux MPLS pour aller vers le SD-WAN » résume Stan Nabet, Country Director France de l'éditeur Netskope. Les estimations étaient autour de 15% du marché en 2022 pour le SD-WAN et pour 2026, cette part sera à 60%. »

Stan Nabet - Country Director France de Netskope.

Plusieurs raisons expliquent cette évolution du marché. Le coût des liens WAN traditionnels est évidemment un puissant moteur au renouvellement des réseaux, mais le responsable souligne que la fuite en avant de la bande passante avec le Wi-Fi à la maison, la 5G. « Les collaborateurs ont tendance à utiliser de plus en plus leurs terminaux via Internet. Aujourd'hui, le fléau des entreprises est qu'Internet est devenu l'extension de leur réseau d'entreprise. » Pour pallier les limites des VPN, embarquer la sécurité directement dans le réseau était la solution la plus évidente.

1 Les opérateurs raccrochent le wagon Cyber au train SD-WAN

Au-delà du prix, une étude commanditée par le fournisseur de réseaux et de services de sécurité GTT en 2024 montre que les déploiements de SD-WAN pour 81 % des décideurs informatiques interrogés étaient motivés par la nécessité d'améliorer le niveau de sécurité global. « Nous considérons le SD-WAN comme un composant critique d'une solution SASE complète, en fait, il s'agit de sa fondation » explique Bastien Aerni, Vice President, Strategy & Technology Adoption chez GTT. « Les techniques de mise en réseau définies par logiciel sont utilisées pour acheminer et optimiser intelligemment le trafic réseau à travers divers emplacements, tels que les succursales, les centres de données et le cloud, prenant en charge les utilisateurs distants ou itinérants. Une solution SASE qui s'appuie sur le SD-WAN permet d'augmenter les performances du réseau et offre une meilleure visibilité, indispensable au maintien d'une sécurité efficace. »

L'offre GTT Secure Connect, rassemble les technologies des partenaires du fournisseur de réseaux, HPE Aruba en tête, de même que Vmware et Fortinet pour le SD-WAN, et Palo Alto Networks et Fortinet pour la sécurité du cloud. Bastien Aerni précise : « Étant donné qu'une sécurité du réseau uniquement basée sur le cloud peut ne pas suffire, nous permettons une approche « Cloud First, Edge si nécessaire » en appliquant une sécurité renforcée au travers de notre plateforme Envision et de ses composants EnvisionEDGE et EnvisionCORE. Le tout géré via un seul tableau de bord, accessible via notre portail EnvisionDX. »

Tous les grands opérateurs se sont désormais positionnés sur les offres SD-WAN en parallèle aux liens MPLS, mais ont aussi pris le virage SASE. « Notre ADN est celui d'un opérateur télécom, mais nous avons vu très rapidement cette évolution des technologies traditionnelles MPLS vers l'Internet, le multi-Cloud, le SD-WAN et ce mouvement vers SASE, » explique Frédéric Ong, Country Manager France de Tata Communications. « Nous avons fait évoluer notre portfolio pour aller vers une notion de fabrique digitale, avec la fourniture de plateformes complètes à nos clients. Nous avons une plateforme, outils et services pour le réseau, une autre dédiée au Cloud et sécurité, une plateforme IoT et enfin une plateforme dédiée à la relation client au sens digital du terme. »

Frédéric Ong, Country Manager France de Tata Communications

Tata Communications se place désormais entre l'opérateur de réseau « classique » et le service provider. Ses équipes ont accompagné les entreprises qui cherchaient à faire évoluer leur politique de routing dans le cadre de leur transformation numérique et le recours à de plus en plus d'applications cloud. « Cette cloudification a nécessité non seulement de transformer ce qu'on appelle la couche overlay, la couche de routing et de sécurisation, mais également la couche d'underlay, c'est-à-dire l'infrastructure réseau » explique Frédéric Ong. « J'estime qu'il y a toujours une vraie valeur ajoutée à maîtriser l'underlay car ces pure player qui sont apparus et qui essayent de mixer des solutions Cloud et des services managés, en faisant l'abstraction de la qualité de la couche inférieure, la couche réseau en l'occurrence. On vient contredire contrecarrer cette approche, car nous estimons que la meilleure combinaison est de s'appuyer sur overlay de qualité, mais aussi un underlay de qualité. »

Les opérateurs ont multiplié les accords commerciaux avec les acteurs de la Cyber, notamment Fortinet ou Palo Alto Networks, ou encore HPE Aruba qui a une approche bien spécifique vis-à-vis du marché SASE. L'américain promeut l'approche Universal ZTNA. « Notre différence par rapport aux différents acteurs nés du SASE, c'est-à-dire la sécurisation des liens distants, et que nous avions déjà une stratégie au niveau des réseaux locaux » explique Grégory Gatineau, Category Manager chez HPE Aruba. « Avec le rachat de briques SASE et leur intégration à notre portfolio, nous avons la capacité à étirer cette stratégie des réseaux locaux jusqu'aux réseaux distants. »

L'objectif est d'offrir une cohérence sur la politique d'accès aux réseaux, que ceux-ci soient locaux ou distants, sur la totalité de l'environnement du client, pour ses ressources cloud, pour ses utilisateurs, pour ses réseaux locaux. Un collaborateur a la capacité de travailler sur un site de l'entreprise, puis d'aller sur le site d'un cotraitant ou d'un sous-traitant, puis de chez lui ou depuis le hall d'un aéroport, tout en gardant la même visibilité sur le réseau de son entreprise et les mêmes droits d'accès, quelle que soit la connectivité qu'il va utiliser. « Nos solutions vont banaliser la connectivité et appliquer les politiques d'accès en mode ZTNA, donc en donnant le minimum de privilèges sur ces différentes typologies d'accès » ajoute le responsable.

2 Les pure players challengent les acteurs établis

Parmi ces « pure players » du SASE figure l'américain Cato Networks. L'éditeur a été créé en 2015 par Schlomo Kramer, fondateur de Check Point Software et d'Imperva. « Sa vision était que les entreprises ne pouvaient plus continuer d'investir et augmenter leur budget de cybersécurité de manière linéaire alors que l'essor du nombre d'attaques est exponentiel » explique Sylvain Chareyre, Area Vice President of Sales Engineering, EMEA de Cato Networks. « Ce n'est pas parce qu'on paye plus cher, que l'on déploie plus d'appliances, que l'entreprise améliore sa posture de sécurité. Je dirais même qu'à partir d'un certain point, c'est contre-productif., à force de cumuler les dizaines de boîtiers, des dizaines de solutions, on a de plus en plus de mal à les gérer correctement, à les exploiter correctement. »

Sylvain Chareyre -, Area VP Sales Engineering, EMEA de Cato Networks.

A la différence d'autres acteurs du SASE, l'américain fournit un service complet intégrant le WAN, le rôle des opérateurs étant de fournir les liens réseaux pour connecter les sites distants aux plus de 65 points d'accès que Cato Networks a déployé dans le monde. « Nous venons nous placer en surcouche pour sécuriser l'intégralité de ces liens télécom, peu importe leur technologie, pour sécuriser l'ensemble des ressources. » Après avoir constitué un premier réseau d'intégrateurs, l'américain s'est allié à des Service Providers comme OCD et Adista pour délivrer une offre SASE managée par leurs soins et exploitant l'infrastructure Cato Networks. Le responsable commercial souligne que les Service Provider ont considéré SASE comme une offre concurrente à leur métier, mais qu'elle leur permet aujourd'hui d'accéder à de nouveaux marchés.

Ivan Rogissart - Sales Engineer Director pour l’Europe du sud chez Zscaler

Autre approche, celle des fournisseurs de solutions Cloud. Cloudflare n'est pas un opérateur classique. Bien connu pour son offre de CDN (Content Delivery Network), l'américain opère un WAN mondial qui porte aussi les flux de son offre SASE. « Pour nos clients, Internet est devenu leur réseau corporate et un réseau privé. Or Internet n'a initialement jamais été pensé pour ni être sécurisé, ni être performant » explique Ivan Rogissart, Sales Engineer Director pour l'Europe du sud chez Zscaler. « Notre défi est de rendre l'Internet sécurisé et performant, et de permettre aux entreprises de l'utiliser comme un réseau privé corporate. » Avec sa solution MagicWAN, l'américain propose une approche réseau « Any to Any » qui permet de connecter des sites régionaux, des magasins, des datacenters sur son Cloud, puis de piloter les flux, les accélérer via son CDN, les sécuriser. Le responsable oppose cette stratégie ultra-intégrée avec celle des opérateurs « classiques » dont la sécurité repose sur le dernier maillon, c'est-à-dire leur routeur.

Grégory Gatineau, Category Manager chez HPE Aruba

Grégory Gatineau - Category Manager chez HPE Aruba

« La maîtrise des équipements d'accès fait une grosse différence. Cela nous permet de taguer les flux applicatifs et les sessions utilisateurs de bout en bout. De ce fait, notre plateforme SASE bénéficie d'une visibilité transverse de l'application depuis le Edge, l'endroit où sont les utilisateurs, jusqu'aux datacenters ou dans le cloud, l'endroit où sont hébergées les applications.»

« Cette visibilité de bout en bout permet à la fois d'assurer une traçabilité complète des transactions, mais aussi une optimisation des applications, et une sécurisation des différents accès à ces applications, encore une fois, de manière uniforme. Cette approche intégrée n'impose plus de devoir synchroniser la brique d'accès sur le réseau distant, la brique de sécurisation des réseaux locaux filaires, puis une brique sur les réseaux Wi-Fi, puis une brique pour l'IoT... La grande problématique de la sécurité actuellement reste d'être répartie sur beaucoup trop de silos. »

Frédéric Ong, Country Manager France de Tata Communications

Frédéric Ong, Country Manager France de Tata Communications

« Notre offre se démarque par le fait d'être « vendor agnostic ». Le secteur évolue encore très vite, avec de nouveaux acteurs qui émergent fréquemment sur le Magic Quadrant du Gartner. Certains sont issus du monde du SD-WAN, du routing, d'autres du monde de la sécurité. Tous font converger leurs offres vers SASE, ce qui provoque un facteur d'entraînement des acteurs du marché. Nous investissons beaucoup en R&D afin de trouver, de travailler avec tous les acteurs prédominants du marché, c'est une chose, mais surtout ceux qui auront l'offre de services la plus adaptée à nos clients. »

« Notre deuxième différenciateur est d'adapter, ces offres au contexte de chacun de nos clients. Nous avons des partenariats avec Versa Networks, Fortinet, Cisco, mais notre raison d'être est de décomplexifier ces technologies et faire en sorte qu'elles soient adaptées à leur contexte. C'est la raison pour laquelle nous voulons être agnostiques vis-à-vis des vendeurs de solutions et servir les enjeux de nos clients dans leur contexte. »

Bastien Aerni, VP Strategy & Technology Adoption chez GTT

Bastien Aerni - VP Strategy & Technology Adoption chez GTT

« L'adoption d'une solution SASE peut offrir de nombreux avantages aux entreprises, en particulier lorsqu'elles travaillent avec un fournisseur de services managés qui comprend les enjeux et a une expérience à la fois en matière de réseau et de sécurité.

Cela contribue à réduire la complexité du choix entre les meilleures options de réseau, de sécurité et de connectivité, et va, de plus, réduire le fardeau de la gestion de différents contrats, de leur facturation et de l'ensemble des tâches administratives qui font généralement perdre un temps précieux aux équipes informatiques. Elles pourront ainsi se consacrer aux activités réellement stratégiques de leur entreprise. »