Sécurité des accès Web : les nouvelles offres troublent le jeu

Pour John Watts et Lawrence Orans, analystes chez Gartner, le marché de la sécurisation des accès Web partent d’une observation : « de nouvelles architectures de passerelles Web sécurisées (SWG, « Secure Web Gateway ») sont apparues au cours des dernières années, ce qui a semé la confusion sur le marché quant à leur efficacité et leur coût par rapport aux serveurs proxy Web traditionnels ».

De fait, l’édition 2018 du quadrant magique de Gartner pour ce marché a réservé au moins une surprise : l’entrée de Menlo dans le carré des visionnaires. Ce dernier propose une approche différente des traditionnels serveurs mandataires pour protéger des menaces passant le Web, en interposant une couche d’isolation entre le contenu Web et le poste de l’utilisateur final afin d’empêcher tout contenu actif potentiellement malveillant de l’atteindre. Symantec a reconnu les mérites du concept et racheté un concurrent de Menlo en 2017, Fireglass, pour l’intégrer au sein de son offre Web Security Service.

Pour les analystes de Gartner, l’isolation apportée par le déport de rendu est loin de manquer d’intérêt. Ils recommandent ainsi de combiner ces solutions avec « la redirection DNS ou le proxy complet pour élever le niveau de sécurité global des entreprises ayant les besoins de sécurité les plus stricts ».

Mais surtout, John Watts et Lawrence Orans soulignent l’importance d’un choix technique aligné sur les besoins de sécurité, rapportés aux sept objectifs principaux des passerelles de sécurisation des accès Web. Ceux-ci sont l’application et le reporting des politiques d’utilisation acceptable, le blocage des URL connues comme vecteurs de menaces, la prévention des téléchargements de contenus malicieux, le blocage de contenus actifs malveillants présents dans des pages Web, la visibilité et la protection des applications SaaS – native ou par intégration avec une passerelle de sécurité des accès Cloud (CASB) –, la gestion de la bande passante, et enfin la prévention des fuites de données – là encore nativement ou conjointement avec une solution de DLP.

La redirection DNS apparaît comme la solution au périmètre fonctionnel le plus limité, le proxy complet offrant le plus vaste, et le déport du rendu Web se plaçant à un niveau intermédiaire. Mais comme le soulignent les analystes, « l’utilisation de la redirection DNS ne fournit pas toutes les fonctions de DLP, mais l’utilisation d’un CASB avec DLP intégrée peut apporter cette capacité pour les applications SaaS ». Dès lors, pour eux, « il est impératif de comprendre où se trouvent les lacunes et comment elles sont prises en compte lors du choix d’une architecture de passerelle Web sécurisée ».

Dans la pratique, John Watts et Lawrence Orans estiment que les entreprises aux besoins les plus modestes disposant déjà d’un pare-feu ou d’une appliance de gestion unifiée des menaces (UTM) « peuvent considérer que les protections offertes par ces solutions répondent à leurs besoins ». Mais attention, « les soucis de débit sont le principal problème auquel sont confrontés les clients qui utilisent ces solutions, du fait que davantage de fonctionnalités sont activées ».

Les analystes présentent les pare-feux en mode service comme des alternatives, estimant que leur éventail de fonctionnalités « les place en position de concurrencer les fournisseurs de passerelles Web sécurisée ». Et de mentionner là Cato Networks, CenturyLink, Opaq, Palo Alto Networks, et Zscaler.