SECURE ACCESS SERVICE EDGE
Le SASE allie réseau et sécurité
Secure Access Service Edge : le SASE allie Réseau et Sécurité
Le modèle SASE ( Secure Access Service Edge) développé dernièrement par le cabinet Gartner se diffuse peu à peu dans les offres du marché de la sécurité IT. Il s’appuie sur une architecture spécifique qui fait converger réseau et sécurité sur une plate- forme dans le Cloud apportant une vision globale sur cet ensemble.
Selon le cabinet Gartner, 40 % des entreprises vont adopter une stratégie de mise en place du modèle SASE d’ici à 2024. Elles n’étaient que 1 % en 2018. En 2023, 20 % des entreprises auront pris en compte les différents éléments constitutifs du SASE. Le cabinet américain présente ce modèle comme aussi important et « disruptif » qu’est le Iaas ( Infrastructure as a Service) pour l’infrastructure informatique des centres de données.
Le modèle se définit comme la convergence entre le réseau WAN ( Wide Area Network) et des services de sécurité comme le Firewall as a Service ( FWAAS), l’approche Zéro Trust, qui protège les sessions de connexion de l’utilisateur où qu’il soit et quel que soit le terminal par lequel il se connecte en évitant les contrôles de confiance à la connexion, ou le CASB ( Cloud Access Service Broker) et l’analyse du comportement de l’utilisateur. Une tendance importante est l’ajout du DLP ( Data Leak ou Loss Prevention, selon les éditeurs). Laurent Maréchal, architecte des solutions de protection du Cloud chez Mcafee, nous le confirme : « Le SASE est en pleine expansion sur des besoins de convergence entre les outils réseau et les outils de sécurité. La période récente a encore accéléré la tendance. » Cette fonction regroupe un ensemble de techniques qui permettent d’identifier, de contrôler et
de protéger l’information grâce à des analyses de contenu approfondies, que l’information soit stockée, en mouvement ou traitée et d’empêcher leur sortie à l’extérieur d’un périmètre de confiance. Ce ne sont pas les seules fonctions préconisées dans le modèle du Gartner mais ce sont les plus importantes et les plus couramment proposées actuellement par les éditeurs de la sécurité. Pierre- Yves Pophin, directeur technique France pour NTT, complète cette vision : « Le modèle a émergé il y a quelques temps déjà et on en parle beaucoup mais ce point a été mis en avant depuis bien longtemps du fait de la multiplicité des outils de sécurité et de la complexité de la gestion, ce qui faisait que plus on ajoutait des outils de sécurité et moins les entreprises étaient protégées. SASE apporte une vision centralisée et les administrateurs peuvent contrôler la sécurité d’un point unique
« Le SASE est en pleine expansion sur des besoins de convergence entre les outils réseau et les outils de sécurité. La période récente a encore accéléré la tendance »
Laurent Maréchal, architecte des solutions de protection du Cloud – Mcafee
donnant une plus grande maîtrise. C’est là où le modèle est intéressant. » Bruno Leclerc, directeur des ventes chez Sophos, pointe cependant une limite sur la fonction CASB : « L’idée était bonne sur le papier de tracer les utilisateurs par les API dans les applications et de regarder les droits et privilèges plutôt que de filtrer les flux, mais la définition des règles de sécurité applicative et la définition du moindre accès devient rapidement ingérable et il est utopique d’avoir les moyens de la faire. »
« Le futur de la sécurité est dans le Cloud »
( Gartner)
Le présupposé du modèle tient au fait qu’avec l’adoption forte du Cloud et de la mobilité, les utilisateurs ne sont plus forcément sur le réseau de l’entreprise et que le modèle habituel de la sécurité
et du réseau ne correspond plus au besoin du moment. Ivan Rogissart, Sales Engineer Director pour l’europe du Sud chez Zscaler, un éditeur de solutions de passerelle sécurisée en Saas, ajoute : « La sécurité périmétrique n’est plus vraiment pertinente. L’idée est d’apporter la sécurité au plus près de l’utilisateur. » Christophe Auberger, évangéliste pour Fortinet, ajoute : « Empiler des solutions de sécurité ne fonctionne pas si bien que cela. Les entreprises ont besoin d’agilité dans leur plan de transformation numérique et de pouvoir s’adapter aux demandes des métiers. Par ailleurs les entreprises augmentent la surface d’attaque en allant vers le Cloud et sont donc plus exposées à l’extérieur. Elles ont maintenant une adhérence et une dépendance au numérique plus forte d’où un dilemme pour s’adapter entre l’adoption du SD- WAN ( Software Defined Wide Area Network) et la protection en bordure du réseau avec des frontières qui deviennent floues. »
De multiples avantages
SASE apporte d’autres avantages que la convergence réseau/ sécurité. En s’appuyant sur une plate- forme dans le Cloud, les entreprises vont pouvoir consolider les équipements de sécurité bénéficiant ainsi de réductions de coûts. Un élément intéressant dans un contexte où la pandémie a entraîné une crise économique. Par le contrôle autour des services applicatifs, des APIS et des données, les entreprises vont pouvoir développer de nouveaux scénarios avec leurs partenaires et fournisseurs en évitant les problèmes inhérents aux VPN et aux architectures des zones démilitarisées. SASE propose de plus une sécurité consistante et transparente pour l’utilisateur où qu’il soit et quel que soit le terminal par lequel il se connecte à l’entreprise. Le cabinet Gartner voit aussi des gains de performances et des bénéfices apportés par le Cloud fin de déploiement de hardware, mises à niveau constantes ? …). Le modèle a de plus l’avantage de la centralisation à la fois du contrôle du réseau et de sécurité à partir d’une
console unique dans le Cloud. SASE est en fait un plan de contrôle de cet ensemble qui permet d’orchestrer et d’intégrer l’ensemble. Nicolas Fischbach de Forcepoint indique : « cette convergence a du bon car du fait de trop de fragmentation, les entreprises ont du mal à basculer leurs politiques de sécurité vers les sites ou les utilisateurs distants » . Dans son rapport d’août 2019, le cabinet Gartner met aussi en garde contre certains risques du fait de la jeunesse du modèle et de l’organisation actuelle des entreprises entre silos réseaux et sécurité. Cette convergence permet en effet de réunir ces deux silos, réseaux et sécurité, qui dans les organisations actuelles conversent peu entre eux. Avec une visibilité partagée sur des éléments communs, les décisions peuvent se prendre plus rapidement en cas de problèmes sur le réseau ou d’attaques sur le système d’information de l’entreprise
Le principal autre avantage de SASE reste, malgré la complexité de l’architecture et le nombre de fonctions embarquées, la facilité du déploiement du fait de sa localisation dans le Cloud. En dehors des questions de géolocalisation pour répondre à des questions de conformité, le fait de placer le plan de contrôle dans le Cloud permet de distribuer le modèle pour le déployer sur différentes zones ou usages.
De nombreuses offres
Les éditeurs du secteur de la sécurité ont saisi la balle au bond et suivant leur point fort d’origine ajoutent les fonctions manquantes envoyant les informations vers une console centrale dans le Cloud. Les acteurs historiques du CASB comme Netskope ajoute les fonctions qui couvrent les autres aspects du modèle SASE. Généralement ces évolutions des plates- formes sont assez lentes et se réalisent par acquisitions ou par partenariats avec des éditeurs tiers en intégrant leurs solutions par les APIS ou par chaînage de services. Les acteurs du réseau comme Juniper ou Cisco intègrent des fonctions de sécurité à leur solution de SD- WAN et profitent des fonctions de segmentation des réseaux qui y sont présentes. Il en est de même pour les autres acteurs du secteur.
Devant le choix d’offres et face à un concept en constante évolution pour répondre aux nouvelles techniques d’attaque, les entreprises vont devoir se former de manière importante avant de choisir une solution adaptée à leurs besoins. Une offre même si elle est estampillée SASE n’est pas forcément
totalement SASE ou ne correspond pas immédiatement à la définition faite par le Gartner. Ainsi le cabinet recommande de bien analyser où se trouve le point de contrôle, le plus souvent dans le Cloud, mais dans certains cas, ce point doit se trouver en local à partir de l’agent placé sur le terminal. Si le Cloud permet de ne pas trop se poser la question de l’échelle pour répondre à des besoins larges, il est nécessaire de ne pas négliger la partie réseau pour fournir la performance nécessaire. Pour la distribution des politiques de sécurité il convient de regarder le nombre des points de présence et les partenariats de peering à la fois pour aider à résoudre les possibles problèmes de latence mais aussi pour localiser l’utilisateur et vérifier la capacité de l’offreur à contrer des attaques de Déni de Service ( DDOS) car la surface d’attaque se déplace vers l’offreur de SASE.
« Empiler des solutions de sécurité ne fonctionne pas si bien. Les entreprises ont besoin d’agilité dans leur plan de transformation numérique et de pouvoir s’adapter aux demandes des métiers »
Christophe Auberger, Evangéliste pour Fortinet « SASE apporte une vision centralisée et les administrateurs peuvent contrôler la sécurité d’un point unique donnant une plus grande maîtrise. C’est là où le modèle est intéressant »
Pierre- Yves Pophin, directeur technique France pour NTT
Vers une plate- forme unique ?
Le modèle propose une plate- forme qui regroupe l’ensemble des fonctions réseau et de sécurité. Comme nous l’avons noté auparavant dans cet article, 20 % des entreprises vont adopter les éléments d’une plateforme SASE d’ici à 2023. Cela devrait changer la manière dont celles- ci devraient acheter ce type de plateforme. Certaines vont certainement choisir une plate- forme aux fonctionnalités étendues chez un seul fournisseur dans un but de consolidation et
de rationalisation du nombre de leurs fournisseurs de solutions de sécurité. Nicolas Fischbach pense cependant que plusieurs modèles vont coexister pendant un temps car « chaque manager va essayer de garder la main sur ce qu’il contrôlait mais le langage de SASE qui s’intéresse aux problèmes métier infuse au niveau des conseils des directeurs et dans les organisations » . Il préconise de plus une formation sur ce point auprès des acheteurs pour qu’ils se posent les bonnes questions au moment de choisir une plateforme. Christophe Auberger, chez Fortinet, ajoute : « En termes de sécurité, on orchestre, on intègre et on en fait une solution de sécurité globale géré d’un seul point central unique pour protéger la donnée. Malgré les besoins de consolidation, la question n’est pas si tranchée pour une plateforme globale. Cela sera plutôt une consolidation des fonctions du fait du manque de ressources spécialisées en cyber. »
Les alternatives sont peu nombreuses. Il reste aux entreprises de continuer à gérer leur sécurité « à l’ancienne » en s’appuyant sur du matériel et des modèles qu’elles commencent à trouver trop contraignants du fait de leur rigidité et de leurs coûts. Elles peuvent aussi distribuer un modèle SASE vers la périphérie de leur réseau, vers les sites distants, tout en maintenant une approche traditionnelle sur un site central ou en construisant leur propre modèle SASE par un chaînage de services. Les autres alternatives sont l’externalisation vers un fournisseur de services réseau et un autre pour la sécurité en s’appuyant sur des fournisseurs de services avec toutes les variantes que cela peut créer comme le choix d’un premier fournisseur en charge de coordonner l’ensemble des services demandés. À l’analyse, le modèle SASE suscite l’intérêt et pas seulement de la part des fournisseurs. Les entreprises s’y intéressent poussées par la rapide conversion vers le Cloud pour de plus en plus de fonctions. Si aujourd’hui les déploiements sont
rares, ils devraient rapidement devenir plus nombreux. L’architecture développée par le modèle SASE va donc s’imposer dans les années à venir et pas seulement pour des raisons marketing mais parce qu’il change véritablement l’approche de la sécurité vers un modèle qui correspond au Cloud. Sa convergence entre réseau et sécurité autorise d’avoir depuis une console unique, une visibilité globale sur l’ensemble des opérations ainsi que sur les actions des utilisateurs permettant une sécurité plus transparente et moins contraignante à l’usage qui n’exclut pas un contrôle fin. ✖