Secu

Non seulement l’approche SASE n’est pas un buzzword, mais elle est plus importante que jamais pour les DSI !

Par La rédaction, publié le 15 juillet 2020

Sous la pression de la transformation numérique, le périmètre de l’entreprise est déplacé vers l’utilisateur individuel et donc vers la « périphérie ». Par conséquent, l’approche SASE (Secure Access Service Edge) devient de plus en plus pertinente pour continuer à assurer la protection de ces nouvelles infrastructures sans périmètre clairement défini.

Par Nathan Howe, responsable EMEA de la stratégie de transformation chez Zscaler

La récente pandémie mondiale a créé une forte dynamique autour de certains des concepts du SASE. Mais même avant cela, les entreprises avaient déjà commencé à migrer leurs applications et leurs données vers des environnements multi-cloud (publics), et avaient aussi adapté leurs environnements de travail pour répondre aux exigences des nomades numériques. Dans de tels contextes d’ouverture, les limites du réseau interne — jadis clairement établies — ne sont plus aussi évidentes. Et les solutions traditionnelles de protection du périmètre ne peuvent plus assurer une couverture de sécurité suffisante.

Pourquoi parle-t-on autant de l’approche SASE en ce moment ?

Et puisque la nature a horreur du vide (ou en tout cas des problèmes non résolus !), ces évolutions ont motivé la recherche de nouveaux concepts qui distinguerait plus clairement la fonction « sécurité » du réseau lui-même — une association de moins en moins pertinente au fur et à mesure que l’utilisation du Cloud s’est généralisée. En particulier, l’une des questions essentielles pour les DSI aujourd’hui est la suivante : « comment garantir que les utilisateurs peuvent accéder en toute sécurité aux applications dont ils ont besoin, quel que soit leur emplacement ou l’endroit où les applications et les données sont stockées ? »

Le périmètre de protection doit-il alors être désormais construit autour de l’utilisateur ?

Oui ! C’est d’ailleurs une excellente manière de visualiser ce nouveau concept. Grâce à leurs appareils mobiles, les utilisateurs ont désormais accès à l’internet depuis n’importe quel endroit, qu’il s’agisse d’un bureau à domicile, d’un aéroport ou d’un train. De plus, la technologie 5G devrait rendre la connectivité mobile dix fois plus rapide qu’auparavant. Mais dans le contexte de toutes ces évolutions technologiques, le paysage des menaces a également changé, avec des cyberattaques visant des utilisateurs individuels (où qu’ils soient) pour infliger à travers eux des dommages aux entreprises.

Le modèle SASE répond à ces défis en bouleversant le concept traditionnel de sécurité. La fonction de sécurité est déplacée du réseau vers l’utilisateur. L’objectif est d’assurer une protection sans faille de l’ensemble du chemin d’accès entre l’utilisateur et son application.

Le modèle SASE peut-il contribuer à redonner le contrôle à la DSI ?

Traditionnellement, le service informatique avait le contrôle total des applications et des utilisateurs — du moins tant qu’ils étaient hébergés dans le centre de données ou travaillaient sur le réseau. L’équipe informatique était alors responsable aussi bien des sauvegardes que de la connectivité. Cependant, la prévalence croissante du cloud a créé une nouvelle réalité, en déplaçant la responsabilité du lieu d’hébergement physique vers une entité tierce. L’internet est de fait devenu le nouveau réseau d’entreprise, qui relie entre eux les environnements multicloud. Cela change beaucoup de choses, et notamment les infrastructures de réseau et les concepts de sécurité doivent être revus pour en tenir compte. L’objectif n’est plus alors de maintenir le contrôle au sein du réseau, mais plus largement de minimiser le risque en tenant compte des flux de données circulant vers et depuis l’internet. C’est là que le concept SASE — et le fait de déplacer la fonction de sécurité le plus près possible du point final, à savoir l’utilisateur individuel — entre en jeu.

Que signifie le mot « bordure » dans le contexte de SASE ?

Il est vrai que le modèle SASE introduit de nouveaux concepts, et que les entreprises qui souhaitent l’appliquer devront d’abord vraiment clarifier certains concepts-clé pour parvenir à une compréhension complète et précise du modèle.

Parmi ces concepts, celui de la bordure, ou « edge » en anglais, n’est pas facile à définir précisément. Déjà, le terme ne fait pas référence aux limites d’un réseau physique. Les entreprises doivent résister à l’idée qu’une « bordure » se réfère à un endroit unique. Et les équipes chargées de la mise en œuvre du SASE doivent abandonner quant à elles l’idée que leur but est de sécuriser un réseau.

En fait, l’objectif est de faire en sorte que la solution de sécurité (quelle qu’elle soit), soit disponible à tout moment et en tout lieu. Un véritable modèle SASE doit ainsi être considéré comme un service global et holistique plutôt que comme un service purement basé sur la destination.

Pour résumer, le modèle SASE couvre toute la communication de l’utilisateur entre un point d’origine et un point final, quels qu’ils soient. Il n’entrave pas le travail de l’utilisateur, mais lui permet en fait d’accéder en toute sécurité aux applications et aux données dont il a besoin, quel que soit leur lieu d’hébergement.

Gartner a fourni un modèle pour SASE. Comment les entreprises devraient-elles aborder la mise en œuvre ?

Le modèle SASE tel que défini par Gartner combine des capacités WAN complètes avec une série de fonctions de sécurité réseau telle qu’une passerelle web sécurisée, un CASB pour l’accès au cloud, des fonctions de pare-feu as-a-service et du zero-trust. Il s’agit donc d’un ensemble de concepts individuels dont les bénéfices s’enrichissent mutuellement.

Le SD-WAN, par exemple, a un rôle important à jouer dans le SASE en fournissant un accès sécurisé aux applications hébergées dans le nuage, permettant un chemin direct vers l’application sans avoir besoin d’être routées via un réseau en étoile. Et sur le plan de la sécurité, le contrôle d’accès Zero Trust — ou, en d’autres termes, l’autorisation d’accès basée sur l’identité de l’utilisateur — joue également un rôle central.

En gardant tout cela à l’esprit, il devient clair que le SASE n’est pas simplement mis en œuvre en déployant un seul produit — il est important que les entreprises adoptent plutôt une vision globale de la sécurité, qui reflète leurs besoins en matière de technologie et de mobilité dans les nuages tout en respectant les exigences en matière de réseau et de connectivité.

Il s’agit donc de rechercher un cadre global couvrant le réseau, la sécurité et la connectivité pour fournir un accès fluide et sécurisé à toutes les applications, quel que soit leur lieu d’hébergement. Pour l’utilisateur, l’accent doit être mis sur un accès sûr et rapide à toutes les applications requises — car une expérience utilisateur dégradée ne peut plus se justifier à l’ère du cloud… en plus d’assurer la sécurité des échanges ! Et le SASE permet justement de réconcilier ces deux impératifs.

Dans l'actualité