SD-WAN, SWG, CASB, ZTNA, SASE… Comprendre la révolution qui va rendre votre entreprise plus agile et plus sure.

Sep 14, 2020 | WAN

Ces deux dernières décennies, l’informatique d’entreprise a subi de profonds changements. La grande majorité des applications, et de plus en plus d’utilisateurs, se sont déplacés dans le cloud. S’ajoute à cela, un environnement économique toujours plus concurrentiel et instable qui a contraint les entreprises à se réinventer sans cesse et à modifier leur système d’information en conséquence. 

Or, les réseaux MPLS, sur lesquels elles s’appuient en majorité depuis une vingtaine d’années, et la sécurité informatique associée basée sur les firewalls et les anti-virus, ne sont plus adaptés à ce nouveau contexte. Ils ont été pensés à une époque où les ressources informatiques de l’entreprise restaient cantonnées dans ses murs et où tout changement était planifié longtemps à l’avance. 

Pour réagir rapidement, dans ce monde incertain, les entreprises doivent faire preuve d’agilité et donc s’ouvrir plus encore sur le réseau internet. Mais cela peut poser des problèmes de performance et de fiabilité pour les communications et augmente les risques vis-à-vis des cybermenaces toujours plus sophistiquées. 

Pour résoudre ces difficultés, les réseaux informatiques ont évolué par phases ces dernières années. Grâce à la technologie des réseaux définis par logiciels (Software-Defined Networking) et aux micro-services, cette transformation aboutit peu à peu à la migration de l’ensemble des services réseaux et de sécurité dans le cloud. Ce glissement vers le cloud confère à cette nouvelle génération de services les mêmes bénéfices que ceux qu’ont connu les entreprises avec les serveurs et les applications ces dernières années, à savoir : la mutualisation des ressources, la globalisation, l’élasticité, les mises à jour à la volée, l’apport régulier de nouvelles fonctionnalités, ou encore le self-service.

Grâce à cette intégration dans le cloud, une multitude de services réseaux et de sécurité à valeur ajoutée, indispensables dans ce nouvel environnement, et qui étaient jusqu‘ici réservés aux grands comptes (SD-WAN, WAN optimisation, CASB, ZTNA…), sont désormais accessibles aux entreprises de toutes tailles. 

Ce changement de paradigme est tel que le cabinet de conseil américain, Gartner, a défini un nouveau concept, qui est aujourd’hui repris par toute l’industrie des réseaux et de la sécurité : le modèle SASE (Secure Access Service Edge).

Mais qu’est-ce qui caractérise exactement ce concept ? Faut-il vous préparer à abandonner vos firewalls ? Est-ce la fin des réseaux MPLS ? Est-ce fait pour vous ? Et, si oui, quelle stratégie de migration adopter ?

Un besoin de plus d’agilité et de protection vis-à-vis du cloud

Les entreprises évoluent dans un monde qui s’accélère et où les révolutions technologiques ont un impact croissant sur leur environnement concurrentiel. Parmi celles-ci, la révolution numérique occupe une place essentielle, avec le cloud computing qui poursuit son développement, la multiplication des objets connectés et l’émergence de l’intelligence artificielle.

Parallèlement à cela, l’humanité entre dans une période de fortes incertitudes. Les nouveaux défis géo-politiques et environnementaux vont avoir des impacts majeurs sur les échanges commerciaux et le comportement des consommateurs. La pandémie de COVID-19 en est, à ce titre, une malheureuse illustration récente.

Ce nouvel environnement, fortement mouvant et incertain, va avoir plusieurs conséquences :

  • Les entreprises vont devoir anticiper au mieux ces changements et adapter leur stratégie industrielle et commerciale très rapidement.
  • Pour amplifier leurs forces, elles vont être amenées à constituer des écosystèmes de partenaires, fournisseurs, clients, toujours plus larges, évolutifs et dynamiques.
  • Les fusions, acquisitions et reventes d’entreprises (startups, concurrents…) vont être de plus en plus fréquentes.

Or, pour faire converger les processus logistiques et développer les synergies commerciales, les systèmes d’information des entreprises partenaires vont devoir s’ouvrir les uns aux autres, de manière sécurisée. Ainsi, les réseaux informatiques d’entreprise, qui représentent les fondations des systèmes d’information, vont donc devoir être beaucoup plus agiles, plus ouverts et plus surs qu’actuellement, pour accompagner ce mouvement. Et, étant donné que les applications informatiques et les salariés continuent de migrer massivement vers le cloud, c’est bien autour de la toile mondiale que le nouveau réseau de l’entreprise va devoir désormais s’organiser…

Caractéristiques et limites des réseaux d’entreprise traditionnels

Il n’y a pas si longtemps, les applications étaient hébergées dans les salles informatiques de l’entreprise et la très grande majorité des salariés travaillait dans des bureaux, au sein de ses différents sites. Les flux internet étaient limités à la messagerie externe et à la consultation de sites Web. Si quelques utilisateurs nomades avaient besoin de se connecter au système d’information de leur entreprise, via le réseau internet, leur nombre était, somme toute, très limité.

Depuis le début des années 2000, les réseaux informatiques d’entreprise reposent sur la technologie MPLS (MultiProtocol Label Switching), qui est à la fois fiable et permet de garantir la qualité et la confidentialité des échanges inter-sites. Ce qui n’était pas possible avec le réseau internet. En ce temps-là, le réseau de l’entreprise constituait une forteresse presque impénétrable, protégée du monde extérieur par un mur pare-feu (sorte de pont levi numérique moderne), censé faire obstacle aux intrusions malveillantes.

Les bénéfices des réseaux MPLS

Si les entreprises se sont longtemps tournées vers les réseaux MPLS, c’est parce qu’ils répondaient efficacement à leurs principaux besoins :

  • Reposant sur des infrastructures de réseaux opérateurs maîtrisées, qui supportent différentes classes de services, les réseaux MPLS sont en mesure d’acheminer les flux critiques (flux transactionnels temps réel, clients légers, téléphonie, vidéo…) avec les niveaux de services requis. Ce qui était particulièrement important, au début des années 2000, lorsque la bande passante était plus faible.
  • Les dorsales de réseaux opérateurs MPLS, maillées, garantissent la fiabilité et la disponibilité du service de transport.
  • La confidentialité des échanges, au sein des réseaux de chaque entreprise cliente, est garantie grâce à un cloisonnement logique, qui interdit toute communication d’un réseau à un autre.

Les limites des réseaux MPLS

Malgré ces atouts, les réseaux MPLS présentent des limites inhérentes à leur nature et à leur mode de distribution :

  • Le coût élevé de la bande passante MPLS, à l’international, conduit les entreprises à limiter les débits d’accès, ce qui génère des latences lors des pics de charges.
  • Les performances se dégradent lorsque les sites de l’entreprise se trouvent sur des continents différents, générant des insatisfactions côté utilisateurs.
  • La plupart du temps, la disponibilité des réseaux MPLS, sur les derniers kilomètres (boucle locale d’accès) est assez complexe et coûteuse à mettre en place, et donc rarement généralisée sur l’ensemble des sites. Par ailleurs, chez certains opérateurs MPLS, la boucle locale d’accès aux réseaux MPLS (liaison xDSL, fibre optique) ne peut être délivrée que par lui-même.

La révolution du cloud

Or, depuis l’apparition des premiers réseaux MPLS, au début des années 2000, la virtualisation des serveurs, l’arrivée du protocole HTML 5 et l’accroissement continu des débits, au sein du réseau internet, ont eu un fort impact sur le développement de l’informatique et sur ses usages :

  • Depuis une quinzaine d’années, on assiste à une migration continue des applications informatiques des entreprises vers le réseau internet. Ces dernières années, cette tendance s’est tellement accentuée, qu’aujourd’hui, la majorité des applications se trouvent dans le cloud (SaaS, cloud publics/privés).
  • Dans le même temps, les utilisateurs informatiques sont devenus davantage mobiles et ils souhaitent accéder à leurs ressources informatiques où qu’ils se trouvent (espaces de coworking, domicile, hôtel, train…) comme s’ils étaient au bureau. La pandémie de COVID-19 a servi d’accélérateur à cette évolution.
  • Du côté de la sécurité informatique, les attaques sont devenues plus ciblées et sophistiquées, rendant les défenses classiques inadaptées pour protéger efficacement le système d’information des entreprises. Les attaques de type « zero day » se sont développées et l’imbrication toujours plus forte de la sphère personnelle avec la sphère professionnelle n’a fait que fragiliser un peu plus l’entreprise, face aux nouvelles cybermenaces.
  • Ajoutons à cela que les utilisateurs informatiques ont de plus en plus tendance à utiliser des applications en mode SaaS (Sofware as a Service), sans en référer au service informatique de l’entreprise (« Shadow IT »).

Des réseaux d’entreprises de plus en plus inadaptés

Ces changements de grande ampleur ont complètement modifié la topologie des flux informatiques. Les contraintes qui pèsent sur les réseaux informatiques des entreprises et les problèmes de sécurité associés s’en trouvent profondément modifiés. Or, les réseaux MPLS, qui répondaient parfaitement aux besoins des entreprises, il y a 20 ans, s’avèrent inadaptés au nouveau paradigme de l’entreprise centrée sur le cloud (« cloud centric ») :

  • Le firewall étant le point de passage obligé, pour accéder au réseau internet, le cheminement des flux vers le cloud est inutilement rallongé, pour les utilisateurs présents sur les sites secondaires de l’entreprise et pour les utilisateurs nomades. Par ailleurs, le firewall et le concentrateur VPN de l’entreprise, deviennent des points de contention, à mesure que le trafic internet et le nombre de télétravailleurs augmentent.
  • Les réseaux MPLS sont performants, mais statiques. Ils sont lents à modifier, en raison de leur complexité et de la nécessité d’intégrer l’opérateur.
  • Concernant la sécurité informatique, les architectures traditionnelles, basées sur le triptyque firewall-VLAN-antivirus, ne permettent plus de protéger correctement les entreprises contre les attaques de plus en plus sophistiquées des pirates informatiques.
  • Par ailleurs, l’exploitation d’un nombre très important d’applications en mode SaaS pose des défis supplémentaires de sécurité, plus particulièrement en termes de confidentialité des données. Plusieurs dizaines d’applications de ce type sont, en moyenne, utilisées dans les entreprises de taille intermédiaire (ETI) et plusieurs centaines, dans les grandes entreprises.

Ces difficultés, posées par les réseaux traditionnels, ayant pris une importance grandissante, ces dix dernières années, les constructeurs et fournisseurs de services IT ont dû réfléchir à différentes solutions pour y remédier. L’évolution s’est faite en trois phases :

  1. L’évasion locale internet
  2. Le SD-WAN périphérique (premise-based SD-WAN) et les passerelles de sécurité Web (SWG)
  3. Le SD-WAN opéré dans le cloud (SD-WAN as a Service) et le modèle SASE (Secure Access Service Edge)

Évolution PHASE 1 : L’évasion locale internet

Pour résoudre le problème de contention, au niveau de l’accès internet centralisé de l’entreprise, la première évolution a consisté à fournir aux utilisateurs informatiques, présents sur les sites secondaires, un accès internet local direct. Pour ce faire, des firewalls ont été déployés sur l’ensemble des sites de l’entreprise. Les fabricants, de leur côté, on fait évoluer les outils d’administration de leurs plateformes de sécurité (firewalls, UTM) pour fournir à leurs clients un management centralisé, leur permettant de diffuser des règles de sécurité, de gérer les mises à jour globales des équipements et de les monitorer simplement.

Si cette évolution d’architecture a permis d’améliorer les performances d’accès au réseau internet, elle n’apporte pas de réponse aux autres faiblesses des réseaux MPLS, citées plus hauts, à savoir :

  • Le manque d’agilité.
  • La bande passante limitée.
  • Le manque de résilience, au niveau de la boucle locale d’accès.
  • Les problèmes de performances, pour l’accéder aux ressources informatiques éloignées.

Concernant la sécurité informatique, de nouveaux services ont progressivement été développés pour combler les faiblesses des antivirus vis-à-vis des attaques de type « zero day » (malwares non encore identifiés). Le sandboxing est apparu, pour pallier les faiblesses des antivirus face aux attaques à diffusion massive. Mais cette technologie coûte cher car elle mobilise d’importantes ressources informatiques. De plus, elle génère de potentielles latences dans l’acheminement de mails, dont la transmission rapide peut parfois s’avérer importante. Or, à ce jeu du chat et de la souris, les pirates s’avèrent de plus en plus efficaces pour rendre leurs attaques indétectables…

Les produits de détection et de réponse aux menaces (TDR – Threat and Detection Response) sont progressivement apparus pour bloquer les attaques qui ont réussi à pénétrer la première barrière de défense des organisations (firewalls, antivirus). Selon les produits et le budget de l’entreprise, la détection peut se faire au niveau des terminaux informatiques (postes de travail informatiques, serveurs) ou/et au niveau du réseau local (LAN). Dans le premier cas, ce sont les processus qui s’exécutent qui sont plus particulièrement analysés. Dans le second cas, ce sont les interactions entre les équipements réseaux qui sont surveillées.

L’exploitation d’une plateforme de gestion des événements et des incidents de sécurité (SIEM – Security Information and Event Management) est souvent utilisée, en complément, pour corréler les informations issues des outils de détection des menaces, avec les logs issus des autres équipements et systèmes réseaux, afin de déterminer l’origine des attaques et d’y remédier.

Malheureusement, ces solutions coûtent cher et leur complexité impose de s’appuyer sur du personnel qualifié, pour les exploiter à leur plein potentiel. C’est pourquoi les solutions de sandboxing et de TDR sont restées cantonnées, jusqu’à présent, aux grandes entreprises et aux fournisseurs de services de sécurité managée spécialisés.

Évolution PHASE 2 : Le SD-WAN périphérique (premise-based SD-WAN) et l’émergence des passerelles de sécurité Web (SWG)

Depuis plusieurs années, déjà, les constructeurs de firewalls et les fabricants d’équipements d’optimisation WAN réfléchissent à des solutions qui pourraient apporter plus de souplesse et de résilience aux réseaux MPLS. Le développement des réseaux pilotés par logiciel (SDN / Service Defined Network) permet d’apporter un premier niveau de réponse à ce double besoin :

  1. En offrant la possibilité de répartir intelligemment et dynamiquement le trafic de données entre les réseaux MPLS et internet, en fonction de la charge des différents chemins disponibles et des contraintes de transports propres à chaque catégorie de flux (ex. : applications métier, mails, services de fichiers, voix, vidéo…).
  2. En offrant la possibilité, en cas de perte de la connexion au réseau MPLS, de rerouter automatiquement le trafic vers les sites destinataires, via le réseau internet, au travers de tunnels chiffrés.

La technologie SD-WAN a fait sa première apparition dans les grandes entreprises multinationales, il y a quelques années. Se présentant au départ sous forme d’appliances dédiés, physiques ou virtualisées, elle s’est peu à peu démocratisée au point de se retrouver, depuis peu, intégrée dans la plupart des firewalls du marché. Elle permet de gérer les augmentations de trafics inter-sites, sans avoir à augmenter la bande passante d’accès au réseau MPLS. Elle améliore la disponibilité des réseaux MPLS, sans cependant garantir le même niveau de service (latence, perte de paquets) sur les liaisons de secours internet que sur le réseau MPLS.

Les bénéfices de cette seconde phase d’évolution des réseaux d’entreprise sont réels et bienvenus. Cependant, les réseaux MPLS restent toujours inadaptés face à la migration des applications et des utilisateurs dans le cloud et au besoin d’agilité des entreprises digitales.

Côté sécurité, cette phase d’évolution des réseaux correspond à la démocratisation des passerelles de sécurité Web (SWG / Secure Web Gateway), avec leur migration dans le cloud. Elles apportent une protection renforcée, vis-à-vis du trafic Web, par rapport aux services que l’on retrouve sur les boîtiers de sécurité multifonctions : contrôle des flux applicatifs, filtrage Web, antivirus, anti-spam, IDS/IPS. Des services de sécurité complémentaires toujours plus nombreux, tels que le sandboxing, le filtrage DNS, la protection contre le déni de service (DDoS – Distributed Denial of Service), ou encore l’intelligence contre les cybermenaces, viennent s’agréger aux SWG proposées dans le cloud. Les constructeurs de firewalls les proposent désormais, bien souvent, en complément de leurs plateformes de sécurité physiques.

Un nouveau service de proxy, destiné à maîtriser l’utilisation des applications SaaS, connait également une diffusion de plus en plus large : le courtage d’accès sécurisé au cloud (CASB – Cloud Access Security Broker). Les services de type CASB visent à fournir une visibilité exhaustive de tous les services SaaS sollicités par les collaborateurs de l’entreprise, qu’ils se trouvent dans les bureaux ou à l’extérieur. Ils permettent d’appliquer une politique de sécurité granulaire, pour n’autoriser l’accès qu’aux seules instances d’applications SaaS autorisées, réduire les risques liés à l’intrusion de malware et lutter contre l’exfiltration de données stratégiques ou confidentielles. Certains services CASB offrent également la possibilité de chiffrer les données stockées dans le cloud, de manière transparente pour les utilisateurs.

Les défauts de ces nouvelles passerelles de sécurité Web portent sur deux aspects :

  1. La palette des services de sécurité intégrés est souvent incomplète.
  2. Elles sont souvent constituées sur la base d’acquisitions de start-up multiples, rendant leur exploitant délicate en raison de leur faible intégration et des multiples interfaces d’administration.

Évolution PHASE 3 : Le SD-WAN opéré dans le cloud (SD-WAN as a Service) et le modèle SASE (Secure Access Service Edge)

Étant donné que c’est tout l’écosystème informatique des entreprises (applications, utilisateurs, clients, fournisseurs, objets connectés…) qui s’est progressivement déplacé dans le cloud, de plus en plus d’acteurs des réseaux et de la sécurité informatique envisagent désormais d’organiser leurs services, non plus autour du réseau informatique de leurs clients (MPLS), mais au sein même du réseau internet. Dans ce nouveau paradigme, le réseau de l’entreprise, devenu virtuel, s’adosse directement au réseau internet ! 

Pour autant, cela n’est envisageable qu’à 3 conditions :

  1. Que les niveaux de services (latence, gigue, perte de paquets) requis par les flux qui présentent les contraintes de transport les plus strictes (voix/vidéo, ERP, flux transactionnels…) puissent être garantis de bout en bout.
  2. Que l’entreprise puisse connecter très simplement toutes ses entités (sites, utilisateurs nomades/télétravailleurs, objets connectés), quel que soit leur nombre et où qu’elles se trouvent dans le monde.
  3. Que l’entreprise ait la capacité de se protéger efficacement, vis-à-vis des nouvelles cyber-menaces, dans ce nouveau contexte d’ouverture totale sur le réseau internet.

Pour répondre efficacement à ces trois exigences, la cible vers laquelle semblent s’orienter tous les acteurs du monde de l’IT, consiste à déplacer l’intelligence du routage et de de la sécurité sur de multiples points de présence (PoP), au sein même du cloud, afin de garantir des latences faibles et une forte résilience des services proposés. Pour rendre ce type d’architecture viable, les entités de l’entreprise devront se connecter de manière transparente et automatisée, sur le PoP de son fournisseur de services le plus proche. 

Trois cas de figure sont à distinguer :

  1. Les sites de l’entreprise – Ils se connectent aux services de routage et de sécurité cloud soit directement depuis leurs propres équipements de routage, via l’établissement de tunnels IPSec, soit grâce à un appliance SD-WAN délivré par le fournisseur de services. La faible intelligence embarquée dans ces équipements devant faciliter leur mise en service et leur exploitation.
  2. Les télétravailleurs – Ils se connectent soit via un agent installé sur le terminal, lorsque celui-ci est maîtrisé par l’entreprise, soit via une page de connexion Web, lorsqu’ils utilisent leur ordinateur personnel (BYOD – Your Own Device).
  3. Les objets connectés – Ils se connectent via l’installation d’un agent, lorsque cela est possible, sinon grâce à un appliance SD-WAN délivré par le fournisseur de services.

Ce modèle de fourniture de services réseaux et de sécurité, reposant sur une infrastructure cloud constituée d’une multitude de points de présence (PoP), a été conceptualisé récemment par le cabinet de conseil indépendant américain, Gartner, sous l’acronyme SASE (prononcer « sassi »), pour Secure Access Service Edge, ou service périphérique d’accès sécurisé, en français. Il reprend certaines caractéristiques et avantages de l’informatique dans le cloud (SaaS, IaaS, PaaS), que les entreprises ont découvert, ces 10 dernières années, parmi lesquels :

  • La souscription par abonnement (mode OPEX), avec possibilité de le faire évoluer, à la demande, pour accéder à des services plus riches (« pay as you go »).
  • Les mises à jour logicielles automatiques, permettant de disposer instantanément des derniers correctifs de bogues et de sécurité, et de bénéficier régulièrement d’évolutions logicielles.
  • L’accès aux services rapide, de type plug-and-play, grâce à leur centralisation dans le cloud et au zero-touch provisioning, pour la configuration des appliances SD-WAN de connexion, déployés dans les entreprises clientes.

Par-delà ces bénéfices, liés au cloud computing, le fait de faire reposer les services réseaux et de sécurité sur une infrastructure de PoP, au sein du réseau internet, offre d’autres avantages particulièrement importants, pour l’entreprise :

Concernant les aspects réseaux

  1. Les fournisseurs de services SD-WAN (SD-WAN as a Service) peuvent s’appuyer sur un cœur de réseaux constitué de liaisons internet de haute performance (grâce à des accords de peering avec des opérateurs de niveau 1), sur lesquelles ils ont la capacité de garantir des niveaux de services stricts, pour transporter les flux les plus contraignants.
  2. Les fournisseurs de services SASE peuvent attribuer des adresses IP publiques fixes, à leurs clients, qu’ils peuvent demander par un simple clic.
  3. Le fait que chaque site client soit relié à un PoP, permet, en outre, d’optimiser l’utilisation des boucles locales, en particulier pour les flux descendants issus du réseau internet, ce qui n’est pas possible avec les solutions SD-WAN périphériques (premise-based SD-WAN).

Les deux schémas, ci-dessous, montrent comment sont gérés les VPNs, dans les cas où l’a fonctionnalité SD-WAN repose uniquement sur des appliances, dans les locaux de l’entreprise, et dans ceux où les services SD-WAN sont hébergés dans le cloud, conformément au modèle SASE :

Concernant la sécurité informatique

  1. L’hébergement de l’ensemble des services de sécurité dans le cloud, permet de proposer un portefeuille de services très complet. Qui plus est, celui-ci peut être facilement enrichi, sans que cela n’ait d’impact sur l’équipement d’accès déployé dans l’entreprise (routeur SD-WAN).
  2. Étant donné que la grande majorité des flux Web sont aujourd’hui chiffrés (HTTPS), l’analyse de leur contenu nécessite de réaliser un déchiffrement SSL/TLS. Si la sécurité informatique de l’entreprise s’appuie sur différentes machines et/ou services, dans le cloud, plusieurs cycles de déchiffrement et de chiffrement vont être nécessaires. Ces opérations, gourmandes en CPU, sont génératrices de latences. Le regroupement de tous les services de sécurité, dans un même data center, au sein du cloud, permet d’appliquer l’ensemble des mécanismes d’analyse et de contrôle de sécurité, suite à un seul déchiffrement.

Par ailleurs, le modèle SASE démocratise un nouveau mécanisme d’accès sécurisé aux ressources informatiques : le Zero Trust Network Access ou ZTNA. Ce mécanisme part du principe que la confiance absolue, qui est généralement accordées aux utilisateurs, une fois leur authentification réalisée, n’est plus de mise dans un monde où les cybercriminels arrivent de plus en plus souvent à pénétrer dans le réseau de l’entreprise. D’autant que la migration toujours plus importante des utilisateurs dans le cloud, et l’utilisation des terminaux personnels, rend ce danger encore plus important.

Le ZTNA est basé sur le principe du moindre privilège, c’est-à dire de la « confiance zéro ». L’idée est de réduire au maximum la surface d’attaque du système d’information de l’entreprise, en n’autorisant les utilisateurs informatiques à accéder qu’aux seules ressources auxquelles ils ont droit. Les connexions des utilisateurs sont contrôlées et tracées en permanence, et les droits d’accès sont modulés dynamiquement, en fonction du lieu de connexion, de la confiance dans le terminal et des événements de sécurité pouvant survenir. Il constitue, de plus, une sorte de bouclier, qui rend invisibles les ressources informatiques de l’entreprises, qu’elles se trouvent dans ses locaux ou dans le cloud.

Le ZTNA est une solution intéressante, à double titre :

  1. Il renforce très fortement la sécurité informatique des entreprises, en micro-segmentant les connexions de leurs utilisateurs et en apportant des mécanismes de surveillance intégrés.
  2. Il offre un mécanisme de connexion simple, qui suit l’utilisateur où qu’il aille (locaux de l’entreprise, travail à distance), et où que se trouvent les ressources auxquelles il accède. En cela, le ZTNA est appelé à remplacer de plus en plus les VPN utilisés majoritairement, encore aujourd’hui, pour les accès informatiques à distance !

Le services réseaux et de sécurité étant de plus en plus liés, leur réunion, au sein d’un même offre de services cloud constitue une des caractéristiques principales du modèle SASE. Dans ce concept, l’ensemble des services est administrable via une interface Web unique et homogène.

Ci-dessous, un résumé des caractéristiques du modèle de services SASE, tel que l’a défini le cabinet Gartner :

  1. La convergence des services de routage (SD-WAN, WAN Optimisation…) et de la sécurité informatique (FWaaS, DNS protection, CASB, ZTNA…) sur une même plateforme est nécessaire pour une question de facilité d’exploitation et d’évolutivité de l’offre.
  2. Les règles de de sécurité sont appliquées à chaque entité connectée (site, utilisateur, terminal, IoT), sur la base de son identité, et non pas du réseau sur lequel elle est connectée.
  3. Les services sont intégralement hébergés dans le cloud, afin d’être souples et évolutifs. Ils reposent de préférences sur des microservices, afin d’accélérer le développement de nouvelles fonctionnalités et de simplifier les mises à jour.
  4. Les services de routage et de sécurité doivent être délivrés de manière globalesur l’ensemble de la planète. L’infrastructure informatique, qui supporte l’offre de services SASE, doit donc être répartie sur de nombreux point de présence, dans le réseau internet.
  5. Une offre de services de type SASE doit offrir la possibilité de connecter tout type d’entité, qu’il s’agisse d’un site de l’entreprise, d’utilisateurs mobiles, de services ou d’applications hébergés dans le cloud ou d’applications SaaS. Le raccordement de ces différentes entités sera établi via des agents, sur les postes de travail des utilisateurs, ou via des équipements réseaux déployés dans les locaux de l’entreprise. 

Conclusion

Cette évolution radicale du monde des télécommunications et de la sécurité des réseaux informatiques va contraindre les directions d’entreprises à revoir la façon dont elles abordaient leurs projets jusqu’à présent :

Les projets de télécommunication et de sécurité informatique sont de moins en moins dissociables

Pour réduire les coûts et la complexité des plateformes, le concept sous-jacent au concept SASE, est de fournir des services réseaux et de sécurité au sein d’une même infrastructure cloud. Par ailleurs, dans un monde où les applications, les utilisateurs et les objets connectés sont de plus en plus nombreux à se trouver à l’extérieur de l’entreprise, leur interconnexion est un sujet qui touche tout autant les aspects réseaux (routage, priorisation, performance) que la sécurité informatique (ZTNA, UEBA, Web Application Firewall, protection des API…).

Comment expliquer l’effervescence actuelle autour du modèle SASE ?

Le modèle SASE dessine les contours de ce qui représente, sans doute, l’avenir des réseaux de télécommunications et de la sécurité informatique des entreprises, pour les prochaines années. Les caractéristiques de ce modèle, liées au cloud computing, vont dans le sens d’une simplification, d’une plus grande agilité et du renforcement de la sécurité. De plus, l’intégration de l’ensemble des services et leur mutualisation devraient permettre de réduire sensiblement les coûts. Le développement de l’intelligence artificielle, dans les années qui viennent, contribuera à simplifier encore la tâche des administrateurs tout en renforçant la sécurité informatique globale.

Qu’est-ce qu’un fournisseur de services SASE peut vous apporter de plus qu’un opérateur télécom ou un fabricant/éditeur de plateformes de sécurité ?

Tout d’abord, plusieurs raisons d’ordre fonctionnel peuvent vous inciter à considérer des services de type SASE :

  • L’amélioration des temps de réponse réseaux, pour les utilisateurs géographiquement éloignés (entreprises internationales).
  • L’optimisation des performances d’accès aux applications cloud distantes.
  • Une gestion simplifiée des télétravailleurs, que ce soit par rapport à l’augmentation du nombre de connexions, à leur administration, ou encore de l’amélioration de l’expérience utilisateur.
  • Offrir aux utilisateurs informatiques une expérience homogène et sécurisée, quel que soit le lieu d’où ils se connectent : bureau, domicilie, espace de coworking, hôtel, aéroport…
  • Renforcer la protection des ressources informatiques de l’entreprise, dans un contexte cloud généralisé.

D’autres raisons, portant plus sur l’exploitation des services, peuvent également vous inciter à vous tourner vers une offre de type SASE :

  • L’agilité – Les services de réseaux et de sécurité SASE offrent aux entreprises une souplesse inégalée pour créer/supprimer/déménager des sites, prendre en charge un nombre fluctuant de télétravailleurs et d’objets connectés, où qu’ils se trouvent dans le monde, et gérer des écosystèmes vivants de fournisseurs et de partenaires.
  • Self-service – Les fournisseurs de services SASE permettent aux entreprises de reprendre le pouvoir sur les opérateurs télécoms, grâce à la capacité qui leur est offerte de surveiller le comportement de leur réseau et de modifier par eux-mêmes les règles de transport et de sécurité. Selon les offres du marché, l’entreprise cliente aura la possibilité de choisir d’exploiter elle-même son réseau et la sécurité associée, ou d’en confier la gestion, partagée ou exclusive, à une société de services managés tierce.
  • La disponibilité – Les infrastructures de services SASE reposent sur de multiples points de présence (PoP), répartis un peu partout dans le cloud, entre lesquels les services de routage et de sécurité sont synchronisés. Cette architecture technique permet de maintenir les services qui sont proposés, quelle que soit la défaillance d’une quelconque de ces composantes.
  • Les mises à jour à la volée / améliorations continues – En étant basés dans le cloud et en reposant sur des micro-services, les services SASE bénéficient de mises à jour régulières, transparentes pour les clients. Dès qu’elles sont détectées, les failles de sécurité peuvent ainsi être corrigées très rapidement et des améliorations continues sont apportées soit conformément à la roadmap du fournisseur de services, soit en réponse à des demandes des clients eux-mêmes (commande “make a wish”).

“SASE”, une appellation non contrôlée !

Le concept SASE est très récent et très peu de fournisseurs de services se conforment aujourd’hui totalement au modèle défini par le cabinet de conseil Gartner. Or, le terme SASE semble avoir un tel pouvoir d’attraction marketing, que plusieurs constructeurs et fournisseurs de services de sécurité n’hésitent pas à déclarer qu’ils proposent des services sur ce modèle, alors qu’ils en sont très éloignés.

La plupart des acteurs qui se rapprochent le plus du concept SASE se limite à la fourniture de services SD-WAN (SD-WAN as a Service) ou à la fourniture de services de sécurité. Plusieurs d’entre eux ont établi un partenariat avec un autre fournisseur de services de ce type, ou avec des constructeurs d’équipements SD-WAN (premise-based SD-WAN) ou de firewalls, pour proposer une offre globale plus ou moins conforme au modèle SASE et plus ou moins bien intégrée.

Nota : À ce jour, les fournisseurs de services SASE qui proposent à la fois des services SD-WAN et de sécurité sont très rares. Leur nombre devrait cependant rapidement augmenter dans les prochaines années.

Les services SASE sont-ils faits pour vous ?

Comme tout marché émergent, celui des services SASE est en pleine évolution. Non seulement les acteurs qui se conforment pleinement au concept SASE sont rares, mais la gamme des services proposés – plus particulièrement dans le domaine de la sécurité informatique – est souvent incomplète. La diffusion plus large de ce type de services dans les prochaines années et le renforcement de la concurrence, devraient contribuer à faire baisser les prix et à rendre plus populaire cette nouvelle génération de services cloud.

Aujourd’hui, les services SASE répondent de manière particulièrement pertinente, avec un ratio fonctionnalités/prix intéressant, aux exigences de performance et de sécurité des entreprises internationales. Mais ils peuvent aussi représenter une alternative intéressante pour des PME qui rencontrent des problèmes de performances avec un site éloigné, par exemple, ou qui ont un besoin fort d’agilité, sans pour autant compromettre leur sécurité.

Les offres de services SASE peuvent également être financièrement compétitives, dans le cadre de projets de migration de réseaux MPLS nationaux, voire même régionaux, pour les entreprises qui disposent de plus d’une dizaine de sites.

Les organisations qui ont un nombre important de télétravailleurs auront plus de facilité à les gérer, tout en réduisant les risques associés, avec des offres de sécurité de type SASE.

Enfin, les centrales d’achats, les sociétés d’infogérance ou encore les groupements coopératifs trouveront, dans le modèle SASE, une opportunité intéressante de proposer, à leurs adhérents ou à leurs clients, des services réseaux souples et de sécurité de haut niveau, à des prix négociés compétitifs. Cette offre de services permettra, en outre, de leur donner facilement accès à des ressources informatiques partagées, avec un niveau de sécurité maximal.

Le modèle SASE est-il un impératif ?

Le modèle SASE est une cible vers laquelle l’industrie des réseaux et de la sécurité informatique semble se diriger, tout comme l’industrie du software s’est déplacée vers le cloud, ces dix dernières années. Cependant, les chemins empruntés vont être parfois longs et tortueux, en fonction du modèle de business des différentes catégories d’acteurs et des intérêts qu’ils vont devoir préserver, le temps d’effectuer leur mue définitive. Ainsi, les opérateurs télécoms n’auront pas intérêt à abandonner trop rapidement leurs réseaux MPLS et les constructeurs de firewalls ne vont pas pouvoir passer du jour au lendemain, d’un modèle de sécurité reposant pour une grande part sur des appliances, à un modèle full cloud. Il y va de la survie même de leur modèle économique et de celui de leurs réseaux de revendeurs.

De plus en plus d’offres hybrides risquent donc d’apparaître, à côté d’offres de services très proches, voire totalement conformes au modèle SASE.

Ce qui importe avant tout, pour votre entreprise, c’est de trouver la solution qui réponde le mieux à ses besoins spécifiques, avec le bon rapport qualité/prix. Cela ne passera pas forcément par une offre de type SASE mais, si tel est le cas, vous bénéficierez, en plus, de l’agilité, des capacités d’évolution et d’une exploitation simplifiée qui caractérisent ce modèle de services.

Votre choix devra tenir compte de l’impact que la stratégie de développement de votre entreprise aura sur l’organisation de votre système d’information, dans les prochaines années, et sur les enjeux de sécurité associés.

Les recommandations de Seelink :

1. Actualisez votre connaissance du marché et élargissez votre spectre !

Lors de vos prochains projets de renouvellement d’abonnements télécoms ou de firewalls, ne vous contentez pas de solliciter les opérateurs télécoms ou les fournisseurs de solutions de sécurité que vous connaissez déjà, mais élargissez votre consultation aux fournisseurs de services SD-WAN et de sécurité dans le cloud, conformes au modèle SASE ou hybrides. Cela suppose de mener une analyse du marché approfondie, afin d’identifier tous ses acteurs et de comprendre leurs orientations et positionnements respectifs.

La sélection des candidats à votre prochaine consultation est primordiale, qu’elle soit menée de manière formelle ou sous la forme d’un dialogue compétitif !

2. Concentrez-vous sur les enjeux stratégiques de votre entreprise et les besoins fonctionnels

Pour éviter de vous fermer à de nouvelles solutions, veillez à concevoir un cahier des charges essentiellement fonctionnel. Votre nouveau projet de télécommunications ou de sécurité sera l’occasion de refaire le point sur la stratégie numérique de votre entreprise et d’enquêter sur les attentes des directions métier.

Si vous manquez d’une vision claire sur les offres de services qui peuvent vous être proposées, il peut être judicieux de mener un dialogue compétitif avec les candidats à votre consultation plutôt que de rédiger un cahier des charges. Les spécifications de votre projet se préciseront au fil des échanges que vous mènerez avec les différents candidats.

3. Analyser les solutions et services qui vous sont proposés selon le principe de la « double focale »

Le monde de l’IT est de plus en plus complexe et il est impossible de connaître en détail toutes les solutions et services qui sont proposés sur le marché. C’est pourquoi, chez Seelink, nous vous recommandons d’analyser les offres du marché en deux temps :

  • Temps 1 : Focale Macro – Identifier les principales caractéristiques des acteurs et des offres de services considérés afin de les catégoriser et d’identifier leurs forces et faiblesses respectives.
  • Temps 2 : Focale Micro – Porter une attention particulière sur les fonctionnalités les plus importantes, par rapport à vos impératifs métier, afin d’en déterminer plus précisément les avantages et les limites.

4. Méfiez-vous des offres assemblées !

Pour mettre rapidement sur le marché un ensemble de services plus ou moins conforme au modèle SASE, certains acteurs des réseaux et de la sécurité ont construit leur offre en faisant l’acquisitions de plusieurs start-ups. Cette stratégie industrielle risque de rendre l’offre de services proposée plus difficile à faire évoluer, en raison de leur faible intégration, et plus complexe à exploiter, en raison des interfaces d’administration multiples.

Si vous faites le choix d’une offre de services SASE, privilégiez, dans la mesure du possible, les acteurs du marché qui ont développé leurs services par eux-mêmes, sur une même plateforme, de préférence sous la forme de micro-services.

5. Définissez une stratégie de migration par étapes

Basculer ses services réseaux et de sécurité dans le cloud, chez un fournisseur de services SASE, est rarement une opération radicale. La migration se fera plutôt de manière progressive, en fonction des besoins de l’entreprise et des échéances de ses abonnements, de ses contrats de licences et de support existants.

Cependant, le choix du partenaire SASE étant engageant, la consultation des acteurs du marché devra porter sur la palette complète des services susceptibles d’intéresser votre entreprise sur le moyen terme.

6. Éliminez les incertitudes avec des démonstrations et des tests

Une démonstration des outils d’administration est un passage obligé pour déterminer le niveau d’intégration des services proposés et évaluer la facilité d’administration de la solution globale. Cela vous permettra également de déterminer si vous êtes en capacité d’exploiter la solution de manière totalement autonome, ou s’il est préférable de vous appuyer sur société de services managés, qui le fera pour vous de manière exclusive ou partagée.

N’hésitez pas non plus à tester la solution pressentie, afin de valider la performance des services réseaux et la fiabilité de la plateforme globale.

7. Si vous manquez de temps faites-vous accompagner !

L’analyse du marché et des offres disponibles demandent du temps, dont vous ne disposez peut-être pas. La meilleure solution consiste alors à vous faire accompagner par un consultant expert, qui aura su vous démontrer sa connaissance des bouleversements du marché des réseaux et de la sécurité informatique en cours, du positionnement respectif de ses différents acteurs, et des apports et limites des technologies émergentes par rapport à vos besoins.