SASE ou Zero Trust ? Une bonne gestion de la sécurité du Cloud dépend bel et bien des deux !
Alors que les entreprises évoluent vers des environnements toujours plus distribués, l'accès réseau sans confiance ou Zero Trust, se pose de plus en plus - tout comme l'interconnexion entre ce modèle de sécurité et le SASE (Secure Access Service Edge). De nombreuses organisations tentent de comprendre si ces deux modèles doivent être appliqués séparément ou au contraire s'ils sont compatibles. En réalité, dans la grande majorité des cas d'usages, ils fonctionnent bien mieux ensemble.
Historiquement, les entreprises se sont appuyées sur une approche VPN pour fournir à leurs collaborateurs distants, un "tunnel" sécurisé vers le réseau. Les VPNs dépendent d'un réseau périmétrique clair : les utilisateurs de confiance peuvent y circuler librement tandis que l’accès est refusé à tout ce qui se trouve à l'extérieur des murailles de l’entreprise. Avant même le recours massif au télétravail provoqué par la pandémie mondiale, l'efficacité de ce modèle était déjà remise en cause en raison d'un certain nombre de failles critiques. Cette approche de sécurité périmétrique ne tient pas compte non plus des risques internes au réseau, ni des besoins additionnels en connexion issus d’utilisateurs externes à l’entreprise. En outre, si un acteur malveillant usurpe des identifiants VPN, il pourra ensuite se déplacer latéralement au sein des différentes ressources du réseau sans aucune restriction et passer sous les radars. Zero Trust et SASE doivent être adoptés ensemble pour activer une architecture optimale capable de protéger et de rationaliser les utilisateurs distribués et les ressources Cloud.
Repenser la stratégie de cybersécurité pour les effectifs distants
Le recours au télétravail pousse de plus en plus d'applications vers le Cloud. Pour répondre à leurs besoins, les organisations appliquent des politiques sécuritaires basées sur des droits minimums en appliquant le modèle Zero Trust (ZTNA) et en implémentant par exemple une passerelle web sécurisée (SWG) pour filtrer le trafic réseau en complément d’un Cloud Access Security Broker (CASB) pour la protection de leurs données. Cependant, lorsqu’elles sont déployées en silo, ces solutions imposent aux équipes de répliquer manuellement leurs politiques de sécurité sur différents tableaux de bord. Au-delà de l’aspect économique et chronophage que cela implique, cela limite également la visibilité et le contrôle de l'ensemble de l'écosystème informatique. Ce problème s’aggrave au fur et à mesure que les Organisations empilent des couches de sécurité supplémentaires.
Si Zero Trust implique une authentification forte des utilisateurs et l'accès sécurisé aux données et aux systèmes en fonction des ressources dont ils ont besoin, le SASE se focalise lui sur des plateformes de contrôle du réseau à la périphérie du Cloud protégeant les données, partout où elles circulent. Plateformes intégrées composées d’un ensemble de solutions complémentaires, les offres SASE sont ainsi décisives dans le cadre de l’application d’un modèle Zero Trust.
Une sécurité renforcée grâce à une administration simplifiée
Le respect des principes de sécurité Zero Trust peut parfois élever le nombre de produits déployés ponctuellement et engendrer des disparités dans la protection des différents cas d’usage au sein de l’Organisation. Le SASE aide à préserver et à maintenir des contrôles de sécurité uniformes pour l’ensemble des ressources. Au-delà d’une meilleure cohérence, cela aide les équipes de sécurité à éliminer les angles morts induits par la multiplicité des outils et des solutions mises en œuvre. C’est pourquoi, les offres SASE proposent généralement des fonctionnalités additionnelles complètes CASB, SWG et ZTNA, et en association avec le SD-WAN. Les Organisations peuvent alors configurer des politiques de sécurité de grande envergure à partir d’un tableau de bord unique pour protéger efficacement les applications on-premise et SaaS, l’accès à certains sites internet et faire émerger le Shadow IT. Cette administration centralisée et facilitée de la sécurité permettra à l’Organisation d’économiser du temps et de l’argent.
Tirer le meilleur parti des deux approches
Si pour la plupart des Organisations, la sécurité périmétrique conventionnelle a complètement disparu depuis une année entière sans retour possible, l’association des modèles complémentaires SASE et Zero Trust leur permettra de maintenir un environnement de sécurité fiable on-premise et hors du réseau grâce aux avantages indéniables d'une plateforme de sécurité Cloud unifiée.