Le SASE expliqué aux dirigeants
Qu’est-ce que « SASE » signifie vraiment ?
Inventé à la fin de l’année 2019 par Neil MacDonald et Joe Skorupa de Gartner®, le terme « SASE » (Service Access Service Edge) désigne une stratégie visant à faire converger la cybersécurité et les réseaux périphériques WAN pour résoudre certaines problématiques actuelles des entreprises. Sites distants, utilisateurs mobiles, applications SaaS, migration des data centers vers le cloud… Les organisations doivent gérer une stack technologique toujours plus vaste à travers un « périmètre de services » de plus en plus dynamique.
Lorsqu’elles fonctionnent séparément, des technologies de cybersécurité comme le SD-WAN, l’optimisation WAN, les NGFW, le ZTNA, les SWG et les CASB engendrent souvent des problèmes d’évolutivité. Sans compter qu’elles doivent aussi être gérées et mises à jour séparément, ce qui ajoute encore au casse-tête.
L’objectif du SASE est d’offrir un accès unifié et sécurisé. Concrètement, il s’agit de connecter et de protéger les utilisateurs chez eux, au QG de l’entreprise, sur un site distant ou en déplacement, tout en leur permettant d’accéder aux ressources SaaS, web, en data center et dans le cloud à partir d’une seule et même plateforme.
D’où vient ce terme ?
« SASE » (prononcez « Sassi ») nous vient du cabinet Gartner. On demandait régulièrement à ses analystes de suggérer « un meilleur moyen » de conjuguer sécurité et agilité dans un contexte de migration des applications critiques vers un modèle SaaS, de cloud computing et d’ouverture de sites distants. Étant donné que ces services fonctionnaient sur les mêmes schémas que les implémentations cloud, SaaS et applicatives à protéger, leur convergence est apparue comme une évidence. C’est ainsi que Gartner a imaginé la stratégie SASE.
Pourquoi le SASE revêt-il une telle importance en matière de cybersécurité ?
Tout comme les principes du modèle Zero Trust, les concepts SASE ont pour but de rapprocher la sécurité des ressources à protéger.
Aujourd’hui, trop de dirigeants doivent se résoudre à accepter un niveau de risque disproportionné au nom du progrès, en l’occurrence du SaaS et du déploiement des applications et services en mode cloud. À leur décharge, il convient de préciser que la vieille technique du backhauling (qui consistait à rediriger le trafic vers un système de sécurité centralisé, installé dans un data center par exemple) nuisait grandement aux performances et à l’expérience utilisateur.
Le SASE prône le déploiement de services à partir d’une seule plateforme. Il simplifie la stack technologique, l’administration et les politiques tout en uniformisant l’accès aux ressources. Toutefois, il est impossible d’implémenter une telle approche à l’aide de produits disparates, même issus d’un seul fournisseur.
À l’heure où les entreprises amorcent le virage du SASE, pour répondre à un contexte plus vaste d’hybridation des modes de travail, beaucoup ont du mal à cerner l’expérience de leurs collaborateurs au quotidien. Faute de visibilité intégrale, ils éprouvent d’énormes difficultés à régler les problèmes de performance et de connectivité dont se plaignent les utilisateurs. D’où le besoin d’un outil plus efficace d’un point de vue DEM (Digital Experience Management) et UEM (User Experience Management).
Pourquoi le SASE fait-il tant le buzz ?
Si les fournisseurs de solutions n’ont pas tardé à prendre conscience de l’engouement pour le SASE, ils ont aussi vite saisi que leur portefeuille produits ne couvrait pas le vaste champ d’application de ce nouveau modèle. Dans l’espoir de dissimuler cette lacune, beaucoup tentent d’argumenter que le périmètre du SASE est en réalité bien plus restreint que Gartner ne l’imagine.
Certains avancent qu’un seul produit de sécurité comme l’IAM ou le SWG suffit amplement. D’autres prétendent que le SD-WAN constitue l’élément central du SASE et que la sécurité n’est que la cerise sur la stack. Ils en laissent donc le soin aux autres fournisseurs.
Ils sont tous hors sujet puisque le SASE repose sur la convergence de toutes les fonctionnalités sous-jacentes au sein d’une seule et même plateforme, si possible déployée en mode cloud. Toute approche qui exclut certaines composantes, ou s’appuie sur un patchwork de solutions multifournisseurs, n’est en définitive qu’une piètre tentative de surfer sur la vague du SASE.
SASE : les éléments indispensables du cahier des charges
Le SASE vise la convergence des services réseau et de sécurité. La réussite de la stratégie SASE d’une entreprise dépend tout autant de ces deux volets. Par conséquent, il s’agit avant tout de consolider un maximum de services au sein d’une seule plateforme – et non plusieurs produits d’un même fournisseur – sans perdre en efficacité ni en visibilité.
Le déploiement et l’administration des services SASE sont tout aussi importants, et doivent s’inscrire le plus possible dans un modèle SaaS. Ainsi, s’il faut encore des équipements physiques comme les connecteurs Edge WAN (SD-WAN idéalement) pour diriger le trafic en périphérie, toutes les politiques avancées, toutes les fonctions d’administration et toute la puissance de calcul devront être fournies en mode cloud.
À mesure que les modes de travail hybrides et distanciels gagnent du terrain, les utilisateurs ne sont prêts à aucune concession côté expérience – d’où un troisième volet. La gestion de l’expérience s’avère cruciale et doit, elle aussi, faire partie intégrante de l’offre de services SASE, au même titre que les technologies réseau et de sécurité.
Les questions à poser à votre équipe pour bien négocier le virage du SASE :
- Avons-nous une approche suffisamment vaste des accès ? Autrement dit, couvrons-nous tous les lieux de travail de nos utilisateurs – domicile, sites distants, déplacements – et toutes les ressources dont ils ont besoin – en data center, cloud, SaaS, web ? Quelles solutions avons-nous mises en place pour fournir ces accès ?
- Pouvons-nous garantir une posture de sécurité suffisamment homogène pour prévenir les malwares et les pertes de données sensibles à travers tout le trafic, y compris les applications privées, où que le salarié se trouve et quelles que soient les applications utilisées ?
- Si nous parvenons à uniformiser notre sécurité tout en simplifiant la stack technologique, qu’est-ce qui nous empêche de consolider les outils existants ?
- Comment conserverons-nous une bonne visibilité sur tout le parcours de livraison – des terminaux aux applications – afin de garantir la qualité de l’expérience utilisateur ?
- Comment découpler le concept ou la politique de notre périphérie réseau et les paramètres d’un site donné pour simplifier l’évolutivité et offrir des expériences toujours irréprochables ?