Comment le modèle SASE définit l’avenir de la sécurité réseau

CloudSécurité
Covid-19 Cybermoi/s

Inventé par Gartner, l’acronyme SASE (Secure Access Service Edge) est l’une des évolutions les plus récentes du modèle de service d’accès sécurisé en périphérie.

La sécurité réseau est l’un des domaines technologiques qui progressent le plus vite. Alors que la transformation numérique continue à dominer l’agenda des entreprises, la demande de solutions d’infrastructure permettant de connecter davantage de sites à des vitesses plus élevées, sans sacrifier la sécurité, ne cesse d’augmenter.

Cette tendance s’est accélérée avec la pandémie de Covid-19 et le recours nécessaire au télétravail. Mais avant même le sentiment d’urgence né de la crise, le marché avait déjà monté un vif intérêt pour le sujet, si bien que les acteurs du secteur n’avaient pas tardé à développer de nouvelles solutions et de nouveaux services en réponse à la demande des clients.

L’une des évolutions les plus récentes est le modèle de service d’accès sécurisé en périphérie, ou SASE pour Secure Access Service Edge. À l’instar de nombreux termes de l’industrie, l’acronyme a été inventé par Gartner et est décrit en détail dans son rapport d’août 2019 intitulé The Future of Network Security Is in the Cloud.

Selon Gartner, au moins 40 % des entreprises adopteront le modèle SASE d’ici 2024, contre seulement 1 % fin 2018.

Alors en quoi consiste exactement le SASE et pourquoi est-il si important pour l’avenir de la sécurité réseau ?

L’avenir sera intégré

Au vu de l’importance que lui accorde Gartner, il serait légitime de considérer le SASE comme une nouvelle avancée technologique révolutionnaire. Or, d’un point de vue technique, ce concept ne désigne pas de nouveaux services, mais des services existants pour la première fois intégrés dans un ensemble commun de fonctionnalités.

Le SASE fait converger le WAN et des solutions de sécurité, telles que les principes Zero Trust et le FWaaS, au sein d’un seul service qui peut être entièrement délivré via le Cloud.

Ce type d’intégration tend à se produire à mesure que la technologie se développe et gagne en maturité, les meilleurs exemples étant les périphériques réseau et les smartphones. De telles intégrations offrent généralement aux utilisateurs davantage d’accessibilité, d’interopérabilité et de flexibilité qu’une série de services distincts, et c’est particulièrement vrai pour le modèle SASE.

Le regroupement de différentes solutions de sécurité réseau dans un seul et même service intégré simplifie considérablement l’infrastructure informatique, facilite sa gestion et élimine les frais liés à l’achat séparé de services disparates.

Au final, ce modèle améliore la détection des menaces et la protection des données dans la mesure où les fonctions de sécurité sont gérées par une solution unifiée. Les entreprises peuvent en outre facilement mettre en œuvre de puissantes politiques de gestion des identités et d’authentification sur l’ensemble de leurs sites afin d’automatiser l’identification des comportements inhabituels et l’application de processus d’authentification basés sur le risque.

De plus, le SASE augmente sensiblement la vitesse de connexion et réduit les temps de latence. Avec une seule pile logicielle, les données n’ont plus besoin de transiter par plusieurs appareils, piles serveur, fonctions de réseau virtuel (VNF), etc.
Lorsqu’ils fonctionnent séparément, des éléments de sécurité tels que le FWaaS et le SD-WAN entraînent des chevauchements et une répétition des étapes, ce qui se traduit par un manque réel d’efficacité, des temps de latence élevés et une dégradation des performances.

L’un des principaux facteurs de différenciation du modèle SASE réside dans ses fonctionnalités Cloud. Le déploiement via le Cloud apporte un gain significatif de flexibilité et simplifie l’application des services de sécurité partout où ils sont nécessaires. Qui plus est, les entreprises peuvent combiner le déploiement dans le Cloud et sur site pour satisfaire à différents besoins.

Les entreprises ont le choix entre déployer des fonctionnalités SASE selon une approche heavy branch , dans laquelle les applications s’exécutent principalement sur site, ou bien selon une approche  thin branch , où la plupart des ressources sont fournies par le biais du Cloud.
Elles peuvent aussi utiliser le SASE selon une approche hybride combinant les modèles heavy branch  et thin branch  afin de répondre aux exigences spécifiques de différents sites.

À qui le modèle profite le plus ?

De par sa flexibilité, le SASE offre des avantages aux entreprises de secteurs très variés. Néanmoins, les organisations qui ont le plus à y gagner sont celles qui allient infrastructure sur site et dans le Cloud, et présentent des profils de risque de sécurité élevé.

C’est dans le secteur bancaire que le SASE donne toute la mesure de son efficacité. Une grande succursale ne se cantonnera pas à des transactions bancaires classiques, mais proposera de surcroît des services bancaires aux entreprises, la gestion de patrimoine, le courtage, des prêts hypothécaires, et bien d’autres prestations. Elle enregistrera donc un très haut niveau de trafic et devra s’appuyer sur une solide stratégie de sécurité pour protéger tous les transferts entrants et sortants de données financières sensibles. Il est fort probable que ce type de site adopte une approche heavy branch , dans laquelle la plupart des éléments de sécurité réseau résident en local et quelques-uns dans le Cloud.

Cependant, il se peut également que cet organisme bancaire ait besoin de déployer plusieurs sites selon une approche thin branch . Par exemple des agences bancaires de détail plus petites offrant moins de services et avec une empreinte plus légère, ou des dispositifs tels que des distributeurs automatiques de billets qui seront presque entièrement gérés à l’aide de solutions Cloud.
Avec l’essor du télétravail, il est par ailleurs de plus en plus fréquent de voir des succursales héberger un seul utilisateur. Dans ce cas, 90 % des services seront délivrés via le Cloud.

Outre la banque et la finance, le commerce de détail est un autre cas d’utilisation idéal du modèle SASE. Les détaillants présentent un profil de sécurité sensible en raison des grands volumes de données personnelles et financières qu’ils recueillent et traitent. Cela fait d’eux une cible de choix pour les cybercriminels. De plus, ils font face à de nombreuses cybermenaces spécifiques, notamment des malwares visant les équipements de point de vente. Et comme la plupart des enseignes de commerce de détail possèdent des centaines, voire des milliers de magasins, le coût d’une solution de sécurité est multiplié d’autant.

Quantité de détaillants cherchent par conséquent à réduire leur empreinte en adoptant une stratégie de type light branch  qui place une plus grande partie de la sécurité du réseau dans le Cloud. Dans ce cas, le modèle SASE peut constituer l’approche idéale, car il permet aux détaillants de regrouper plusieurs solutions de sécurité dans une seule pile logicielle hébergée dans le Cloud et de l’appliquer à plusieurs sites pour réduire considérablement les coûts.
Le SASE, couvrant à la fois le Cloud et les environnements sur site via un même service intégré, répond aux besoins uniques des détaillants en matière de sécurité physique.

Les secteurs de la santé et de l’éducation se caractérisent eux aussi souvent par une empreinte importante et de grands volumes d’informations d’identification personnelle particulièrement convoitées par les cybercriminels.

Le facteur Covid

Même s’il était prévisible que l’approche SASE s’impose sur le marché de la sécurité réseau, la crise du Covid a très certainement accéléré son essor.

Beaucoup d’entreprises utilisaient auparavant des installations conçues et prévues pour prendre en charge un petit nombre de télétravailleurs sur une période de temps limitée, souvent à l’aide d’anciens VPN peu performants. Les équipes informatiques ont donc été prises de court lorsqu’elles ont dû rapidement généraliser le télétravail afin d’assurer la continuité de l’activité.

Sans compter qu’en l’absence de solutions et processus de sécurité adéquats, le travail à domicile est un véritable paradis pour les hackers. La sécurité domestique d’un individu lambda est généralement assez faible, et les auteurs de menaces peuvent cibler des routeurs personnels mal sécurisés pour s’attaquer aux appareils d’entreprise connectés. De plus, ces terminaux seront probablement dépourvus des couches de sécurité supplémentaires fournies par le réseau d’entreprise.

Avec le modèle SASE, les entreprises ont la possibilité d’adopter une approche « light branch » afin de bénéficier d’une sécurité efficace dans le Cloud, tout en exécutant simultanément une pile logicielle en local pour les bureaux et autres sites, selon les besoins. Le SASE est conçu pour offrir un maximum de flexibilité et s’appliquer facilement aux ordinateurs portables, smartphones et tablettes utilisés par les télétravailleurs.

Autre problème courant pendant la pandémie : le nombre d’heures de travail nécessaires aux départements informatiques pour mettre en place des solutions réseau sécurisées à l’intention des employés et des sous-traitants. Si l’on compte environ une heure pour une seule installation, l’opération peut très vite se transformer en cauchemar logistique lorsqu’elle s’étend à plusieurs dizaines de milliers de collaborateurs à travers le monde.

En intégrant plusieurs solutions de sécurité au sein d’un même service basé sur le Cloud, le SASE réduit considérablement le temps nécessaire pour connecter et sécuriser un utilisateur. Il suffit aux employés de télécharger une application à partir d’un client ou d’un magasin d’applications, et l’application leur assure un accès immédiat à des services de sécurité et de réseau software-defined. Le SASE fournit un accès sécurisé, performant, segmenté et instantané en fonction de l’identité de chaque collaborateur.

En tant que solution SaaS, le SASE est également conçu pour être évolutif, ce qui en fait une solution idéale face aux incertitudes des mois et des années à venir. Les entreprises peuvent facilement revoir leurs déploiements à la baisse à mesure que les employés réintègrent le bureau, ou à la hausse en cas de reprise épidémique et de nouvelles mesures de confinement.

L’avenir de la sécurité réseau

L’adoption et le développement du Cloud ont progressé à une vitesse incroyable au cours des dernières années. Il y a 15 ans, il fallait être un expert en informatique pour mettre en route un nouveau serveur. Aujourd’hui, tout le monde peut le faire. Il suffit pour cela de trouver et d’acquérir le service voulu.

Ces services sont accessibles aux humains et aux machines à partir de sites privés, depuis n’importe quel appareil et partout dans le monde. Ces avancées ont été cruciales pour continuer à faire tourner l’économie et les entreprises pendant la pandémie de Covid-19. Il y a encore dix ans, les entreprises auraient eu nettement plus de difficultés à mettre en place le télétravail de manière sécurisée pour l’ensemble de leur personnel.

Grâce aux évolutions techniques, nous observons également un changement d’attitude. Les entreprises les plus avancées dans leur transformation numérique avaient déjà commencé à intensifier le télétravail ces dernières années et 2020 a permis de dissiper de nombreuses idées fausses à propos de cette pratique. Les entreprises ont non seulement constaté que les employés pouvaient travailler efficacement hors du bureau, mais qu’ils étaient aussi souvent plus productifs chez eux.

Même lorsque la pandémie de Covid sera derrière nous, le monde du travail sera à jamais transformé par ces évolutions. Les entreprises qui ont été prises au dépourvu par le télétravail en mars peuvent désormais investir dans des solutions à long terme permettant de travailler à distance de manière performante et sécurisée. Doté d’un haut niveau de flexibilité et d’évolutivité, le modèle SASE est idéalement placé pour répondre à ce besoin.

Même sans les changements inédits engendrés par la pandémie, la capacité du SASE à fournir plusieurs solutions réseau sécurisées intégrées au sein d’un seul service présente un énorme potentiel pour le domaine bancaire, le commerce de détail et tous les autres secteurs qui doivent sécuriser de précieuses données sur plusieurs sites et selon différents cas d’utilisation.


Auteur
En savoir plus 
Responsable EMEA
Versa Networks
Hector Avalos est responsable EMEA MSPs chez Versa Networks
En savoir plus 

Livres blancs A la Une