Le SASE (Secure Access Service Edge) est un nouveau modèle qui propose de repenser notre façon d’envisager la sécurité des réseaux et des ressources informatiques. Les entreprises dont les modes de collaboration intègrent de plus en plus de travail hybride et de plus en plus de solutions cloud devraient s’y intéresser rapidement… Pourquoi et comment ? Deux experts Bouygues Telecom Entreprises, Valentin Mallet (Responsable offres WAN et Cybersécurité) et Benoît Cayer (Chef de produits Cybersécurité) vous décryptent le phénomène SASE.
Comment fonctionne le Secure Access Service Edge ?
SASE est basé sur une architecture cloud-native qui intègre les services de sécurité et de réseau. Cette architecture utilise une combinaison de technologies de réseau étendu (WAN) et de services de sécurité cloud, tels que les pare-feux, les passerelles de sécurité, les services d’inspection de paquets, etc… Lorsqu’un utilisateur demande l’accès à une application ou à une ressource, la demande est envoyée à l’infrastructure SASE qui analyse la demande et vérifie l’identité de l’utilisateur, l’appareil utilisé et l’emplacement de l’utilisateur. Si la demande est autorisée, l’utilisateur est redirigé vers l’application ou la ressource demandée.
Valentin Mallet : Le SASE est une façon d’envisager le pilotage de la sécurité informatique d’une entreprise. Lorsque le SD WAN permet d’amener de l’agilité dans la gestion du réseau, le SASE apporte la maîtrise de la sécurité dans un environnement avec toujours plus de connexions. A eux deux, ils garantissent un réseau performant et sécurisé pour toutes les typologies d’organisation et tous les cas d’usages.
Avec la généralisation du nomadisme et du travail à distance, l’externalisation des données et l’utilisation massive d’applications SaaS, les échanges de données et les accès se font de plus en plus à l’extérieur de l’entreprise. Ce constat rebat les cartes en matière de système de sécurité et conduit les entreprises à envisager d’autres infrastructures pour sécuriser tous les points d’entrée et de sortie de leur réseau pour favoriser la protection contre les menaces (cyberattaques, pertes de données accidentelles ou malveillantes).
Benoit Cayer : Je vais prendre une image simple à comprendre. Depuis de nombreuses années, la gestion de la sécurité des réseaux par analogie pouvait se comparer au fonctionnement d’un château fort. Lorsque vous étiez à l’intérieur des remparts, vous étiez dans une zone dite “de confiance”, où l’accès était contrôlé et parfaitement protégé par une vigie postée devant le pont-levis (le pare-feu en l’occurrence). La surface d’attaque était donc faible.
En effet, aujourd’hui les utilisateurs ne sont plus dans le château et ils sont même très éloignés des postes de sécurité physique existants. C’est pourquoi il est indispensable de repenser les approches traditionnelles pour mettre la sécurité là où le danger est présent et s’assurer qu’une vigie les accompagne même loin de la zone de confiance originale.
Que contient le SASE ?
Benoit Cayer : Le SASE s’appuie sur deux ensembles de fonctionnalités technologiques : les fonctionnalités dites “essentielles” au modèle, et les fonctionnalités secondaires, non prioritaires mais pertinentes. Ces fonctionnalités sont, pour la majorité, déjà existantes mais complexes à administrer et à gérer au quotidien. Le SASE les unifie (gestion sur une seule plateforme) et simplifie, pour les rendre accessibles tant dans leur déploiement que dans leur exploitation.
Zoomons sur les fonctionnalités “essentielles” du SASE :
- Le FWaaS (Firewall as a Service), déporte la gestion de la sécurité des flux (politiques et règles) dans le cloud.
- La SWG – passerelle Internet sécurisée (Secure Web Gateway) permet de gérer, contrôler et sécuriser très finement le trafic Internet (web et applicatif)
- Le ZTNA (Zero Trust Network Access) appuie le concept de “zero trust”, améliorant le niveau de sécurité par la configuration explicite des droits d’accès. Il répond alors parfaitement au cas d’usage du nomadisme et télétravail en apportant une granularité très fine dans la gestion des droits des utilisateurs.
- Le CASB (Cloud Access Security Broker) permet de contrôler la sécurité d’accès aux applications SaaS en surveillant les accès de chaque utilisateur aux ressources de l’entreprise
- Enfin, le SD-WAN, qui apporte de la souplesse dans la gestion et dans l’optimisation du réseau
Quels seront les premiers bénéfices apportés par le SASE ?
Valentin Mallet : la technologie est maintenant développée chez la plupart des éditeurs du marché. Les premiers cas d’usage envisageables à court terme portent principalement sur l’amélioration de la gestion de la sécurité du nomadisme et la sécurité de la navigation internet associée aux connexions aux ressources de l’entreprise dans le cloud. Ces services cloud sont commercialisés sur un modèle de souscriptions qui permet de relativiser les investissements de départ.
A terme, l’objectif principal est de concentrer la gestion du réseau et la gestion de la sécurité sur un seul portail, opéré par un seul service. Il permet également de réduire les coûts opérationnels, d’améliorer la visibilité et le contrôle des applications et des utilisateurs, et de faciliter l’adoption de nouveaux modèles de travail tels que le travail à distance et le BYOD (Bring Your Own Device). Bref, il permet de simplifier un peu plus encore le management des réseaux des entreprises…
Mais concrètement comment aborder le sujet du SASE pour une entreprise ?
Valentin Mallet : La digitalisation de l’entreprise conditionnera le rythme d’implémentation du SASE. Selon les nouveaux cas d’usage, il conviendra d’implémenter les nouveaux mécanismes de sécurité adapté à chaque “Edge”, en veillant à l’intégrer à une intelligence de pilotage centralisée.
Ainsi, la mise en place d’un modèle SASE ne se fait pas du jour au lendemain, un cycle d’évolutions à plusieurs égards et en plusieurs temps se fera au rythme souhaité par l’entreprise, selon ses priorités : sécuriser le nomadisme, maîtriser l’agilité du réseau ou encore optimiser l’utilisation d’applications cloud.
Par ailleurs, l’entreprise devra prendre en compte la migration de son existant en fonction des contrats en cours, et faire évoluer son organisation pour rapprocher fortement ses équipes réseaux et sécurité.
L’entreprise devra alors élaborer la meilleure stratégie avec une organisation et des engagements appropriés, à tous les niveaux. Elle devra par ailleurs planifier et piloter dans le même temps sa stratégie de transformation et faire évoluer sa politique de sécurité.
Pourquoi l’opérateur est-il un interlocuteur de choix pour ce type de démarche ?
Benoit Cayer : On constate aujourd’hui que le secteur évolue en permanence. Les acteurs historiques (et aussi de nouveaux players) de la sécurité, du réseau et ou du cloud développent des solutions SASE orientées généralement autour de leur savoir-faire.
L’opérateur – étant agnostique – va déjà avoir analysé le marché, sélectionné un ou plusieurs acteurs répondant au cas d’usages de ses clients et apposé sa garantie de service. C’est sa plus grande force, et un critère de choix majeur pour l’entreprise ! En association avec l’éditeur, Il maîtrise la qualité du service sur toute la chaîne mais devra aussi évoluer pour proposer des solutions qui s’adaptent au mieux aux particularités des besoins du client. La clé sera l’accompagnement de l’entreprise sur l’ensemble de son projet : définir sa stratégie, déterminer sa politique de sécurité, designer sa solution et manager son service.
Lire aussi : Cyberattaque : le guide complet pour se prémunir en entreprise
Ce qu’il faut retenir :
- SASE est conçu pour offrir une protection efficace contre ces menaces tout en offrant une grande flexibilité et une gestion simplifiée.
- SASE offre des avantages tels que la sécurité renforcée, la réduction des coûts et la flexibilité, ce qui en fait une solution de sécurité et de réseau attrayante pour les entreprises de toutes tailles.
- Les entreprises doivent également prendre en compte certains des défis potentiels associés à la mise en place de SASE, tels que la complexité de l’intégration des services de sécurité et de réseau et la nécessité d’une bande passante élevée pour garantir des performances optimales.