SASE : une adoption accélérée par un recours croissant au télétravail
Plusieurs experts recommandent aux entreprises d’étudier l’adoption du Secure Access Service Edge pour renforcer leur sécurité réseau dans le cadre de l’accompagnement du télétravail, et pour réduire coûts et complexité.
Dans le sillage de la Covid-19, les entreprises se tournent de plus en plus vers le Secure Access Service Edge, ou SASE (prononcez « sassy »). Le concept, qui n’a même pas un an, ne devait pas se généraliser avant 2024 au plus tôt, selon les prévisions, mais la chronologie d’adoption s’est accélérée, car les entreprises répondent aux besoins de sécurité d’une main-d’œuvre de plus en plus souvent distante.
Gartner a inventé le terme en août 2019, décrivant le SASE comme un moyen pour les entreprises de protéger leurs données, où qu’elles se trouvent, grâce à une combinaison de WAN à définition logicielle (SD-WAN), de passerelles web sécurisées (SWG), de passerelles d’accès cloud sécurisé (CASB) et d’un contrôle d’accès réseau sans confiance – le fameux zero-trust. Neil MacDonald, vice-président et analyste distingué du cabinet Gartner, avait initialement prévu qu’environ 40 % des entreprises adopteraient le SASE d’ici 2024, mais il observe que les entreprises déploient déjà le modèle aujourd’hui : « vous verrez probablement une accélération de l’adoption, au nom de la réduction des coûts et de la complexité, plus tard cette année et tout au long de 2021 et 2022 », estime-t-il ainsi.
Johna Till Johnson, PDG de Nemertes Research, indique observer, elle aussi, plus d’entreprises intéressées par le SASE. Mais son cabinet préfère utiliser l’acronyme SCAPE (Secure Cloud Access and Policy Enforcement, ou accès cloud sécurisé et application des politiques) pour définir le nouveau modèle. Car pour Johna Till Johnson, l’acronyme SASE est notamment trop « orienté télécoms » et néglige la manière dont les entreprises conduisent aujourd’hui leurs activités – qu’elle décrit comme orientée cloud, « fournissant un accès sécurisé à la fois aux ressources du cloud et aux ressources locales et permettant une application et une protection complètes des politiques sur ces ressources ».
Définir le SASE
Sur ce point, Neil MacDonald, qui a donné son nom au SASE dans une note de recherche de 2019, est d’accord avec l’analyse de Johna Till Johnson. Pour lui, le SASE reflète la façon dont l’accès et la sécurité réseau se sont éloignées du centre de calcul pour s’orienter vers le cloud, où les données sont réparties entre plusieurs fournisseurs de services et d’hébergement.
Selon les mesures internes de Nemertes, les organisations qui ont mis en place SASE ont 80 % de succès de plus que celles qui ne l’ont pas fait.
« Tout est inversé », expliquait-il d’un webinaire en avril 2020 : « au lieu que le centre de calcul soit le point central, c’est l’identité, c’est l’utilisateur, ce sont les données ». En conséquence, pour l’analyste, la sécurité des réseaux n’est plus une question de localisation, car les utilisateurs sont partout et se connectent à des services qui sont également répartis.
Selon Johna Till Johnson, l’intégration d’outils de sécurité individuels dans un service centralisé, axé sur les politiques, est inévitable, car de plus en plus de composants de réseau et de sécurité deviennent virtuels. Selon les mesures internes de Nemertes, les organisations qui ont mis en place SASE ont 80 % de succès de plus que celles qui ne l’ont pas fait.
Les fournisseurs s’orientent vers le SASE
Les briques de base du SASE ont commencé à émerger il y a plusieurs années, notamment sous l’effet des efforts des fournisseurs pour ajouter à leurs offres des capacités liées à la sécurité cloud. Oracle, Cisco, Symantec, Palo Alto Networks et Microsoft, notamment, ont ainsi procédé à des acquisitions de solutions de CASB. Cette frénésie d’achats a culminé en novembre 2017 lorsque McAfee a acheté Skyhigh Networks, l’un des derniers CASB autonomes sur le marché. Zscaler a ajouté le support CASB à son offre SASE en 2019.
McAfee a également renforcé ses capacités SASE en acquérant Light Point Security, un pionnier du déport de rendu Web, en février 2020. En outre, Cato Networks a obtenu plus de 200 millions de dollars de financement pour soutenir son offre SASE.
Certains fournisseurs de solutions de sécurité basent leurs offres SASE sur des partenariats avec des fournisseurs de SD-WAN, mais Neil MacDonald estime que cette stratégie « fonctionnera jusqu’à ce qu’elle ne fonctionne plus ». Pour lui, à terme, le SASE sera dominé par quelques grands fournisseurs, car une implémentation SASE reposant sur plusieurs briques éparses est intrinsèquement moins sûre.
« Plus il y a de fournisseurs qui ont accès à vos certificats pour réaliser ce que je viens de décrire, moins vous êtes en sécurité. »
Neil MacDonaldVP et analyste, Gartner
Car, relève l’analyste, l’un des moteurs du concept est le chiffrement du trafic : « il n’est donc pas logique qu’un fournisseur déchiffre la session et l’inspecte à la recherche de données sensibles et qu’un autre l’ouvre et y recherche des maliciels. Vous mettez vos données en danger à chaque fois que vous déchiffrez, inspectez et rechiffrez ». Car « plus il y a de fournisseurs qui ont accès à vos certificats pour réaliser ce que je viens de décrire, moins vous êtes en sécurité. Il vaut mieux ouvrir une fois et faire ce que l’y a à faire – inspecter le contenu, les paquets, rechercher les attaques et les données sensibles – pour ensuite appliquer les politiques en fonction de ce que fait l’utilisateur ».
L’adoption du SASE s’accélère
La pandémie de la Covid-19 a suscité un intérêt vif pour le SASE, estime Neil MacDonald. Il s’attend dès lors à une forte augmentation de l’adoption dans les deux prochaines années. Nemertes, dans sa récente étude sur le cloud et la cybersécurité, estime que 62 % des organisations ont déployé ou prévoient de déployer le SASE d’ici à la fin de 2020.
« Depuis la Covid-19, nos entreprises clientes nous ont uniformément dit qu’elles accéléraient le passage à SCAPE », explique ainsi Johna Till Johnson. « Les technologues d’entreprise ont rapidement reconnu que le passage d’interne-vers-interne (succursales vers un centre de calcul interne) à externe-vers-externe (travailleurs à distance vers le cloud) est un changement fondamental. Les ressources basées sur le cloud et les ressources hors site ne disparaîtront pas après la fin de la pandémie, et il est temps d’adopter une nouvelle façon de penser, à la fois à la mise en réseau et à la protection des ressources en réseau ».
Neil MacDonald suggère aux entreprises réfléchissant au SASE de tirer profit de contrats de sécurité arrivant à échéance afin de faciliter toute migration. Si un contrat expire pour une passerelle web sécurisée ou un CASB, ou si des projets SD-WAN ou une refonte d’architecture du réseau sont envisagés, « pourquoi ne pas revoir l’architecture de sécurité du réseau en même temps » ?
Et pourquoi s’y intéresser ? Pour Neil MacDonald, la motivation est simple : « réduction de la complexité, réduction des coûts, réduction du nombre de consoles, réduction du nombre de politiques, capacité à prendre en charge les terminaux administrés et non administrés d’une main-d’œuvre, qui est maintenant entièrement distante et le sera encore dans un avenir prévisible. Cela va créer une demande pour le marché ».
Pour approfondir sur Sécurité réseau (IDS, XDR, etc.)
