La sécurité, du frein structurel au pilier de la transformation de l'entreprise

L'évolution vers le cloud exige de passer du mode historique de la cybersécurité, articulé autour des réseaux privés virtuels, vers un environnement de protection fonctionnant au-delà du périmètre traditionnel du réseau.

La plupart des entreprises se trouvent aujourd'hui quelque part sur la courbe d'adoption d'une stratégie "cloud-first", soutenant un programme de transformation numérique plus large. Pour chaque application existante remplacée par un logiciel en tant que service (SaaS) et pour chaque rack de serveurs remplacé par une infrastructure en tant que service (IaaS), il y a une augmentation directe du volume de trafic destiné à l'internet.

Mais ce trafic de données ne va pas seulement vers le web - ce pour quoi les solutions de sécurité traditionnelles ont été conçues. Plus de 53% du trafic Internet des entreprises est déjà passé du web au cloud.

En plus de cette évolution à long terme, on a assisté récemment à une augmentation considérable du nombre de travailleurs à distance en réponse à la Covid-19, et tout porte à croire que beaucoup d'entre eux ne retourneront pas dans les bureaux traditionnels, même lorsque la pandémie se sera calmée. Selon une étude de S&P Global, 80% des entreprises ont mis en place ou étendu des politiques universelles de travail à domicile, et 67% d'entre elles s'attendent à ce qu'elles restent en place à long terme ou de manière permanente.

Cette combinaison d'applications basées sur le cloud et d'une main-d'œuvre distante crée des problèmes sérieux pour les infrastructures de réseau et de sécurité de facto.

La sécurité traditionnelle entrave les performances du réseau

Aujourd'hui, le recours à la sécurité traditionnelle via des passerelles web sécurisées (SWG) et des réseaux privés virtuels (VPN) exige que tout le trafic des utilisateurs distants soit réacheminé vers le centre de données de l'entreprise, afin que les politiques de protection des menaces et des données puissent être appliquées.

La majorité des applications et des services étant désormais fournis à partir du cloud et consommés par des utilisateurs en dehors du réseau de l'entreprise, la sécurité est devenue la seule raison pour laquelle le trafic des utilisateurs distants doit passer par le datacenter de l'entreprise. Malheureusement, les VPN n'ont pas été conçus pour ce volume de trafic d'utilisateurs distants, ce qui dégrade les performances du réseau et nuit à l'application efficace de la sécurité.

Cette situation exige un investissement continu dans la bande passante du réseau, la capacité des appareils et les heures d'assistance spécialisée. Le réseau et le datacenter de l'entreprise sont devenus des goulots d'étranglement qui nécessitent des investissements pour accroître la capacité et maintenir la productivité. Or, ces coûts pourraient être évités en appliquant la sécurité directement là où résident désormais les données et les applications.

Le Sase : un modèle de transformation du réseau et de la sécurité

Baptisé par le Gartner en 2019, le secure access service edge (Sase) est un modèle conceptuel permettant de décrire comment protéger les utilisateurs et les applications qui fonctionnent au-delà du périmètre traditionnel du réseau. Le Sase est essentiellement une inversion de l'ancien modèle de réseau/sécurité qui était axé sur un centre de données environné de nombreux utilisateurs consommant des services hébergés dans le data center. Les données et les utilisateurs résidant et travaillant de plus en plus en dehors du périmètre traditionnel du réseau, ce nouveau modèle place l'utilisateur en son centre, ce qui conduit à une approche architecturale de la sécurité complètement différente. 

Une architecture Sase consolidée combine plusieurs fonctions de sécurité (idéalement sur le moins de plates-formes possible) à l'aide d'intégrations d'API, et s'appuie sur un réseau mondial rapide et performant pour fournir un accès aux applications et à l'infrastructure de l'entreprise. Une architecture Sase efficace devrait comprendre des solutions telles que :

  • Gestion des identités et accès au reseau Zero Trust (IAM, ZTNA)
  • Sécurité du Web et du Cloud (cloud/passerelle) (SWG, CASB)
  • Protection des données (data classification, DLP)
  • Protection contre les menaces (anti-malware, sandboxing, browser isolation)
  • Protection des terminaux (NG-AV, EDR)
  • Automatisation et orchestration (SIEM, SOAR)

Garantir la valeur de la transformation

La transformation des réseaux et de la sécurité est motivée par, et sert, de nombreux autres domaines de transformation - notamment la transformation des applications et des données. Comme pour tout autre domaine de la transformation numérique, les équipes de DSI et de RSSI devront s'assurer de la valeur continue, des avantages et de la réduction globale des risques du nouveau modèle.