La cybersécurité en route vers la cloudification
L'essor du cloud computing a complexifié la gestion de la sécurité des systèmes d'informations, au point d'en voir ses composants s'externaliser à leur tour. SASE, imaginée par le Gartner, dessine les contours d'une nouvelle approche.
Si ces dernières années l'informatique d'entreprise s'est décentralisée, au sens où elle a quitté les murs de la DSI, elle ne s'est pas pour autant déplacée chez un seul et unique prestataire. Bien au contraire. "Certains de nos clients ont plusieurs dizaines de fournisseurs cloud SaaS/IaaS. C'est un fait, l'IT a véritablement été éclatée", confirme Etienne Lafore, senior manager chez Wavestone. Plus récemment, avec la crise sanitaire, ce sont les utilisateurs qui ont quitté l'enceinte de l'entreprise et se sont vus ventilés suite à l'explosion du télétravail. Et connecter un utilisateur depuis son domicile au réseau interne de l'organisation pour lui garantir et lui sécuriser un accès à des services… externalisés, ne fait plus sens. "Il ne s'agit donc pas uniquement de redéfinir la sécurité, mais de la repenser dans une nouvelle approche du réseau", explique Etienne Lafore. L'arrivée de SD-WAN, successeur du WAN et des technologies MPLS, apportait un début de réponse. Restait à lui adjoindre les éléments de sécurisation.
Gérer sa sécurité depuis un point central
En décembre 2019, Andrew Lerner du Gartner, publiait en ce sens "Say Hello to SASE", où il définissait les briques fonctionnelles d'une nouvelle architecture caractérisée par la convergence de services réseau et sécurité consommés intégralement as a Service à partir du cloud. Dans le principe, recourir à Secure Access Service Edge revient à connecter ses postes de travail à un "VPN géant" doté d'un grand nombre de fonctionnalités comme l'inspection d'URL, le remote brother isolation (RBI), le sandboxing, la protection DNS, le zero trust network access (ZTNA), la détection et la prévention d'intrusion (IDS et IPS), les fonctions DLP (Data Loss Prevention), la détection et l'analyse du Shadow IT, le filtrage des ressources (listes blanches, grises, etc.) et le firewall pour connecter les ressources internes.
SASE n'intègre pas la sécurité de ce qui a vocation à rester dans l'entreprise comme les workflows, les postes, le patch management ou encore la vérification de la conformité de mes postes et de mes sources ni la gestion des identités (IAM). "La convergence de tous ces composants permet d'avoir une approche unifiée et cohérente de sa sécurité, ajoute Eric Vedel, directeur architectures cybersécurité pour l'Europe du Sud chez Cisco. En plus d'une consolidation des politiques de sécurité pour l'ensemble de l'entreprise, les équipes IT se voient libérées des contraintes de maintenance de ces systèmes souvent lourds à gérer."
Un marché, trois catégories d'acteurs
Andrew Lerner anticipait l'arrivée d'un certain nombre d'annonces au cours de l'année 2020. Trois ans plus tard, les acteurs qui se revendiquent SASE se répartissent en trois catégories : les acteurs historiques du réseau comme Cato Networks, Versa ou Cisco au travers de leurs pratiques réseaux SD WAN. Cofondateur de Checkpoint, fondateur d'Imperva, Shlomo Kramer a créé Cato Networks en 2016 et s'affiche aujourd'hui comme un pure player SASE. "Nous avons déjà plus de 1 100 clients dans 150 pays et nous sommes convaincus de l'avenir de cette approche technologique. Mettre en place un magasin peut se faire en un jour. Il suffit de brancher un boîtier et de télécharger la configuration et vous êtes opérationnel en cinq minutes, contrairement à des mois pour mettre en place du MPLS. Tout est disponible immédiatement et très simplement.", explique Shlomo Kramer.
Viennent ensuite les solutions émanant du monde du proxy cloud, donc plutôt basées sur des solutions de sécurisation de la navigation Internet comme Zscaler, Proofpoint, Akamaï, Cloudfare ou encore Netscope.
Arrivent enfin les pure player de la sécurité, comme Palo Alto, Fortinet, Checkpoint, Forcepoint ou Broadcom qui se transforment pour proposer ces fonctions de sécurité jusqu'ici on prem. Les deux dernières catégories n'intègrent pas nativement de solution SD-WAN en tant que telles et sont amenées à passer par des partenariats. "Il y a également une consolidation du marché avec des rapprochements technologiques qui se sont opérés avec, par exemple, Palo Alto qui a racheté CloudGenix et VMware, VeloCloud, deux solutions SD-WAN", précise Etienne Lafore.
Une démocratisation déjà bien engagée
Le marché SASE pesait 4,5 milliards de dollars en 2021 et devrait atteindre les 11 milliards d'ici 2024 selon le Gartner. Il intègrerait les plans stratégiques de 60% d'entreprises dans le monde d'ici 2025. Certains chantiers sont en réflexion et d'autres déjà bien entamés. C'est le cas, en France, de BCA Expertise, comme nous le raconte son responsable service réseau télécom et mobilité, Jean-François Marie, qui a opté pour la solution de Cisco : "Avant, nous parlions principalement de Zéro Trust pour les échanges sur le cloud. L'architecture SASE nous aide à accomplir la transformation de notre architecture WAN vers l'hybridation des flux sur Internet en prenant en compte une vision élargie de la sécurité dans le cloud. En plus de dispositifs d'autorisation et d'authentification forte pour appliquer des contrôles d'accès, l'architecture SASE va sécuriser les échanges de flux à travers des passerelles d'accès cloud sécurisées ou des passerelles d'accès Web." S'il est encore trop tôt pour faire le bilan, Jean-François Marie a déjà prévu l'amorce de sa deuxième phase : "Quand toutes les briques seront en place, nous utiliserons les fonctions des passerelles d'accès d'Umbrella pour nos échanges applicatifs entre notre data center on-premise et les plateformes cloud hébergeant nos services métiers."