Comment une architecture SASE pérennise la sécurité informatique

Il existe un décalage croissant entre l'endroit où les utilisateurs initient leurs sessions de travail et celui où se trouvent les outils qui sécurisent ces sessions. Le concept de Secure Access Service Edge, inventé par Gartner, a pour but d'éliminer ce décalage.

Les entreprises font migrer une quantité croissante d’applications et de données dans le cloud. Elles sont elles-mêmes les moteurs de cette évolution afin de bénéficier des avantages classiques du cloud, tels que la flexibilité, la capacité de montée en charge ou l’accès indépendant du lieu. Aussi, les grands acteurs du secteur, à l’exemple de Microsoft ou SAP, favorisent également cette tendance en mettant progressivement fin au support de leurs solutions sur site. Cela ne laisse aux entreprises d’autre choix que de recourir à leurs offres cloud. Dans tous les cas, la migration vers le cloud est irréversible et ne fera que s’accentuer à l’avenir.

En conséquence, les architectures traditionnelles de sécurité informatique deviennent de plus en plus obsolètes. Elles partent toujours du principe que les applications et les données résident à l’intérieur de l’entreprise, tout comme leurs utilisateurs, et donc protègent le réseau de l’entreprise contre l’extérieur. De ce fait, il existe un décalage croissant entre l’endroit où les utilisateurs initient leurs sessions de travail et celui où se trouvent les outils qui sécurisent ces sessions. Le concept de SASE (Secure Access Service Edge), inventé par Gartner, a pour but d’éliminer ce décalage. Il s’agit de rapprocher le réseau et la sécurité de l’environnement où sont hébergées les applications et les données, c’est-à-dire le cloud. De nombreux prestataires cloud ont ainsi déjà commencé à développer les produits et solutions nécessaires pour prendre en charge les architectures SASE afin de se préparer à ce futur.

Eviter un détour via le data center

Le concept SASE offre de nombreux avantages. L’un des plus importants est la prise en charge du nombre sans cesse croissant d’utilisateurs accédant aux applications cloud depuis l’extérieur du réseau de l’entreprise : télétravailleurs, collaborateurs nomades ou employés des succursales et filiales dépourvues de leur propre data center. Ceux-ci peuvent être connectés directement au cloud via une architecture SASE.

Il n’est plus nécessaire de prendre des mesures de sécurité pour connecter un site local au siège de l’entreprise grâce à la redirection du flux de données via le data center. Les faibles performances, les temps de latence élevés et les coupures de connexion qui s’ensuivent sont désormais de l’histoire ancienne. La crise du Covid-19, en particulier, a mis en lumière l’importance d’une connexion rapide et sécurisée pour les télétravailleurs, et cela restera vrai à l’avenir. Il est notamment probable que, dorénavant, un nombre nettement accru de collaborateurs travaillera en dehors du siège.

Dans le cas des succursales et des filiales, les architectures SASE vont également générer un avantage en termes de coût. Étant donné que le flux de données des applications dans le cloud ne doit plus être ré acheminé par le data center central mais directement vers le cloud, ce trafic ne sollicite plus les lignes MPLS coûteuses qui relient généralement les succursales et les filiales au siège de l'entreprise. En remplacement, les entreprises pourront intégrer les connexions Internet locales ainsi qu’une approche SD-WAN dans leur architecture réseau, réalisant ainsi des économies non négligeables.

En outre, si les acteurs du secteur adoptent pleinement ses principes, le SASE offrira une opportunité idéale de simplifier à nouveau la sécurité informatique. Au cours des 20 dernières années, les entreprises ont enregistré une prolifération d’outils de sécurité provenant d’un grand nombre de fournisseurs. En permettent de se procurer l’ensemble des outils de sécurité de manière uniforme auprès d’un unique fournisseur, le déploiement de solutions cloud réellement compatibles avec le SASE rendra la sécurité informatique bien moins compliquée.

Conjuguer connectivité et sécurité

Pour remplir leur mission, les architectures reposant sur les principes SASE vont réunir deux mondes : la connectivité et la sécurité. Elles devront assurer des connexions chiffrées et sécurisées entre chaque employé et la plateforme cloud, puis de celle-ci vers les applications cloud souhaitées. Cette sécurité peut être obtenue au moyen de VPN de client à site, de site à site, ou encore de technologies ZTNA (Zero Trust Network Access). Ces architectures peuvent également s’appuyer sur les technologies SD-WAN pour faire en sorte de sélectionner constamment la connexion optimale pour l’accès aux applications cloud.

Pour garantir une sécurité totale, toute architecture SASE doit aussi centraliser l’ensemble des modules de sécurité essentiels :

• Passerelle web sécurisée (ou SWG, pour secure web gateway) pour protéger les utilisateurs contre les cybermenaces et faire respecter des règles d’accès à Internet.
• FaaS (Firewall as a Service) pour l’inspection continue du trafic de données entrant et sortant, y compris son décryptage.
• CASB (Cloud Access Security Broker) pour surveiller et enregistrer les communications entre l’utilisateur et l’application cloud.
• Sandboxing de fichiers pour ouvrir les pièces jointes suspectes dans un environnement isolé (sandbox) en vue de détecter les malwares.
• DLP (Data Loss/Leakage Prevention) pour surveiller et, si nécessaire, bloquer les transactions de données afin de prévenir les fuites intempestives.
• Technologies permettant d’établir et de sécuriser les connexions.

Prise en charge des architectures hybrides

Au moment de choisir un partenaire proposant une solution adaptée au SASE, plusieurs points sont à prendre en compte. Par exemple, le partenaire doit disposer lui-même de l’ensemble des technologies et modules nécessaires. S’il intègre des solutions tierces dans sa plateforme, il est possible que différents services cloud soient interconnectés, ce qui aboutira à des temps de latence. Cela complique également la tâche de l’administrateur, qui doit alors gérer diverses interfaces utilisateur.

Les conséquences sont identiques lorsque le partenaire fournit exclusivement une plateforme cloud, sans aucune solution de sécurité sur site. Il va de soi que, dans les années à venir, les entreprises continueront d’héberger dans leurs propres data centers certaines applications et données, qui devront être protégées au moyen d’outils de sécurité sur site. Cela nécessitera des architectures de sécurité hybrides, du moins pendant une période de transition. Si le partenaire choisi est en mesure d’offrir des solutions à la fois sur site et dans le cloud, l’entreprise a la possibilité de gérer les deux via une seule et même console centralisée.

Enfin, quiconque propose une architecture SASE doit fournir une technologie testée qui a fait la preuve de son succès. Le partenaire doit aussi développer cette technologie lui-même afin d’en garantir la qualité en permanence.