Réseau : les 5 problèmes à résoudre avant d’adopter un SASE
Les nouvelles plateformes qui regroupent les fonctions réseau et de sécurité en cloud ne sont pas prêtes à être déployées. Le cabinet Gartner a identifié cinq problèmes sur lesquels buteront les entreprises.
À terme, le Secure Access Service Edge, ou SASE, changera la façon dont les équipes chargées des réseaux et de la sécurité fournissent des services aux utilisateurs. Mais avant que ce changement ne se produise, les entreprises vont devoir se rapprocher de leurs fournisseurs pour combler les lacunes actuelles des plateformes SASE.
Dans un rapport récent, Gartner a en effet identifié cinq problèmes majeurs sur lesquels butent les entreprises qui déploient une plateforme SASE. Les auteurs Neil MacDonald, Nat Smith, Lawrence Orans et Joe Skorupa ont formulé des recommandations sur la manière de combler ces lacunes au cours des prochaines années.
Le SASE fait partie de ces technologies dites Software-Defined, dans lesquelles un matériel dédié est remplacé par des fonctions logicielles susceptibles de s’exécuter sur n’importe quel matériel générique ou depuis le cloud. Le SASE fusionne en une seule plateforme les fonctions de routage réseau et de filtrage, c’est-à-dire de sécurité. Il est une extension du SD-WAN, dans le sens où il sert de passerelle vers d’autres réseaux.
Mais à la différence du SD-WAN qui est physiquement sur un site de l’entreprise pour servir les utilisateurs locaux, un SASE s’appuie sur des services en ligne pour apporter aux utilisateurs un accès fiable et sécurisé, quel que soit l’emplacement où ils se trouvent. Les utilisateurs se connectent au SASE soit depuis le SD-WAN s’ils sont au bureau, soit depuis n’importe où via un point de présence (PoP), qui peut prendre la forme d’un boîtier dédié en succursale, ou dans un datacenter de colocation, comme d’un agent à installer sur un portable ou un mobile.
Gartner recommande aux entreprises de préférer pour l’heure les solutions à fournisseur unique, où toutes les règles […] se saisissent depuis la même interface.
Gartner estime que 30 % des entreprises utiliseront les fonctions d’un SASE d’ici à 2024. Ces fonctions sont la passerelle sécurisée vers le web (SWG pour Secure Web Gateway), la passerelle sécurisée vers les ressources d’une entreprise en cloud (CASB, pour Cloud Access Security Brocker), l’accès « Zero-Trust » vers un réseau privé (ZTNA, pour Zero-Trust Network Access), ainsi qu’un pare-feu pour l’ensemble, qui obéit à des règles de filtrages issues de services en ligne sans cesse à jour. Gartner estime aussi que 60 % des entreprises auront décidé d’adopter une plateforme SASE d’ici à 2025.
En revanche, malgré cette dynamique, Gartner vient de se rendre compte que le modèle actuel du SASE souffre de cinq incohérences. Pour limiter les ennuis, Gartner recommande aux entreprises de préférer pour l’heure les solutions à fournisseur unique, où toutes les règles, qu’elles concernent l’une ou l’autre fonction, qu’elles s’apparentent au réseau ou à la sécurité, se saisissent depuis la même interface.
Les incohérences relevées par Gartner concernent l’inadaptation aux organisations en silos, une architecture bancale, une faible visibilité sur les données sensibles, des services de sécurité qui restent à développer et des offres présentées comme « complètes », mais qui s’avèrent trop minimalistes.
1/ Incompatible avec l’organisation actuelle des services
Les silos technologies, les environnements historiques et les différentes compétences des équipes seront le problème numéro un des migrations de l’infrastructure réseau vers une plateforme SASE. À l’instar des infrastructures hyperconvergées qui, dans le datacenter, réunissaient les serveurs et le stockage derrière une même console d’administration, au grand damne des spécialistes système et des experts en stockage, une plateforme de SASE va mettre devant la même interface des gens du réseau et des gens de la sécurité. Les entreprises fonctionnaient avec des équipes distinctes. Le SASE les incite à ne plus le faire.
Selon Gartner, dans un modèle SASE entièrement mis en œuvre, les équipes chargées de la mise en réseau et de la sécurité devraient être unifiées en une seule équipe informatique. Bien que ce processus de consolidation varie entre les PME et les grandes entreprises, les employés devraient en fin de compte partager la responsabilité de l’exploitation d’un réseau sécurisé accessible aux utilisateurs travaillant à distance, dans les locaux, dans les succursales ou sur les sites de production.
Il faudra combiner les équipes, mais aussi les fournisseurs. Selon Gartner, les entreprises sont nombreuses à avoir actuellement des contrats avec des fournisseurs qui doivent durer encore cinq à sept ans. Gartner indique que ces contrats retardent la migration des entreprises vers un SASE global et alourdissent en ce moment la manière dont les équipes gèrent l’architecture du cloud.
Pour résoudre ce problème, Gartner recommande aux entreprises de taille moyenne d’envisager d’acheter leurs SD-WAN et leurs services d’accès sécurisés au cloud auprès d’un seul fournisseur. Les grandes entreprises peuvent également adopter cette approche, ou envisager des partenariats explicites entre un fournisseur de sécurité et un fournisseur de SD-WAN pour garantir la cohérence.
Gartner estime que les entreprises qui tiennent compte de ces facteurs – la combinaison des équipes et celle des fournisseurs – sont susceptibles de mettre en œuvre leur plateforme SASE deux fois plus rapidement.
2/ Des solutions à l’architecture incohérente
Selon Gartner, les offres actuelles de SASE manquent de cohérence tant au niveau de l’application des règles que de leur gestion. L’une des caractéristiques les plus convaincantes de SASE est qu’il fonctionne en cloud : c’est pourquoi il est censé faciliter l’exploitation conjointe des fonctions réseau et de sécurité par les entreprises.
Cependant, la plupart des offres SASE ne reposent pas encore sur de vraies architectures cloud, parce que les fournisseurs ont construit leurs plateformes à partir de leurs technologies historiques. Ainsi, le SASE prend encore dans de nombreux cas la forme d’une appliance virtuelle – si ce n’est physique. Pour les mettre en cloud, il faut commencer par les héberger sur des services IaaS, voire installer leurs agents dans des datacenters en colocation, qui offrent des liens directs vers les services en cloud. De plus, quand la solution de SASE ne dispose pas de toutes les fonctions, elle peut s’accompagner d’autres services de réseau ou de sécurité qui prennent eux aussi la forme de machines virtuelles.
Gartner exhorte les entreprises à opter le plus rapidement possible pour des solutions réellement cloud-native, car ces substituts virtuels ne peuvent pas remplacer un SASE entièrement intégré.
Ces alternatives virtuelles engendrent également de la complexité dans l’administration des règles. Les solutions historiques utilisant des composants logiciels anciens, dépassés, leurs capacités peuvent ne pas être compatibles avec les technologies plus récentes utilisées pour exploiter des réseaux plus avancés. Les applications existantes utilisent des approches différentes pour gérer les réseaux en cloud et les réseaux sur site, laissant les administrateurs réseau sans technique standardisée pour mettre en œuvre une plateforme SASE.
Selon Gartner, pour être pleinement fonctionnelle, une plateforme SASE doit être mise en œuvre dans le cloud et pilotée de manière centrale. Les équipes peuvent plus facilement appliquer une politique cohérente sur l’ensemble du réseau et également tirer parti de l’IA, de l’apprentissage automatique et des API automatisées dans le cadre du passage à la gestion du cloud.
3/ Une trop faible visibilité des données sensibles
L’un des défis les plus urgents et les plus difficiles à relever pour les fournisseurs de SASE concerne la visibilité des données. Le SASE, dans sa forme la plus aboutie, doit être capable de protéger les réseaux et les utilisateurs contre les attaques malveillantes. Sauf que, selon Gartner, les fournisseurs actuels de SASE offrent peu ou pas de protection des données. Certains proposent des dispositifs de prévention des pertes de données, ainsi qu’une protection contre les logiciels malveillants. D’autres offrent une protection qui se limite aux données stockées sur site.
En outre, les fournisseurs ne sont généralement pas propriétaires de leurs logiciels de protection. Leurs systèmes font l’objet de licences auprès de tiers, ce qui peut être coûteux ou poser des risques pour les données. Une architecture cloud-native permettrait aux fournisseurs d’utiliser des API pour surveiller et inspecter le trafic. Les fournisseurs seraient également en mesure d’exploiter leurs propres services de protection, ce qui leur offrirait davantage d’options d’administration.
Selon Gartner, ce point devrait être une priorité absolue lors de la quête d’une solution de SASE. Plus précisément, les entreprises devraient s’intéresser aux fournisseurs dont les architectures SASE inspectent le trafic à la recherche de logiciels malveillants et d’autres formes de données dangereuses.
Gartner souligne par ailleurs la nécessité pour les fournisseurs de SASE de mettre en œuvre la fonction de ZTNA : plusieurs d’entre eux, en effet, ne l’offrent pas alors qu’il s’agit d’un composant essentiel de l’architecture SASE. Sans ZTNA, les entreprises n’ont pas la possibilité de gérer leurs données ou d’inspecter leurs réseaux à la recherche de logiciels malveillants.
4/ Des services de sécurité encore trop faibles
Les capacités de sécurité des SASE varient considérablement. Certains fournisseurs proposent soit des SWG, soit des CASB, soit des ZTNA et parfois une combinaison de ces services. Il en résulte des capacités inégales. Pire, ces fonctions sont parfois complètes et parfois elles n’offrent que le minimum.
Gartner recommande aux fournisseurs, y compris aux fournisseurs de SD-WAN, de combiner tous ces services en un seul système cloud-native. Pour autant, le cabinet concède que le développement des services de sécurité est nécessairement plus long que celui des services réseau. Les entreprises sont condamnées à attendre, potentiellement une paire d’années, avant que leur fournisseur ne les finalise.
5/ Des offres SASE complètes, mais sommaires
Gartner recommande aux entreprises de mettre à profit l’attente de solutions complètes pour réfléchir à la manière de migrer vers une plateforme SASE.
Actuellement, moins de 10 fournisseurs répondent à la définition de Gartner d’une plateforme SASE complète. Mais avoir toutes les fonctions ne signifie pas que tout est du même niveau de finition, ni même que toutes les fonctions sont parfaitement intégrées entre elles. On trouve principalement des fournisseurs SD-WAN qui proposent des fonctions de sécurité très en deçà des attentes.
On trouve aussi des fournisseurs qui ont de bonnes fonctions de sécurité, mais dont la plateforme dans son ensemble n’est pas compatible avec le SD-WAN que l’entreprise utilise déjà. Gartner dénonce un manque de cohérence qui frustre les utilisateurs.
Alors, que faire ? Gartner recommande aux entreprises de mettre à profit l’attente de solutions complètes pour réfléchir à la manière de migrer vers une plateforme SASE, sachant que la difficulté de combiner les équipes réseau et sécurité est un défi en soi. Au fil du temps, les entreprises sont invitées à retirer progressivement le matériel et les fournisseurs existants, et à migrer vers leur modèle préféré. Le processus de migration se déroulera au cours des prochaines années, mais les entreprises devraient commencer à définir leur calendrier d’adoption des SASE dès que possible.
À lire aussi sur le SASE :
E-zine Sécurité et Information Dans un contexte où il faut trouver un moyen d’améliorer l’accès sécurisé aux applications et données par les utilisateurs, en dehors du SI interne de l’entreprise, que peut apporter le SASE ? État des lieux, tendances futures, marché des plateformes : découvrez les bénéfices de ce modèle de sécurité intégrée dans le numéro Information Sécurité 17.
Pour approfondir sur Sécurité réseau (IDS, XDR, etc.)
