SASE, XDR… une autre façon de penser la sécurité
SASE et XDR se rejoignent. Le SD-WAN en sera le support. A l’heure du réseau défini par logiciel, il est temps de repenser la sécurité.
Nous travaillerons autrement, c’est sûr. Mais pour le faire en toute sécurité, les entreprises vont devoir adopter une autre façon de penser la sécurité, ce qui devenait déjà urgent avant la pandémie. Selon une étude de Nemertes sur les réseaux de nouvelle génération publiée juste avant les premiers grands confinements, moins de 40 % du trafic WAN des entreprises provenaient et se terminaient à l’intérieur de l’entreprise. Le reste du trafic WAN de l’entreprise provenait ou se terminait en dehors de l’entreprise. C’est dire l’évolution -déjà- des habitudes de travail…
Comme la pandémie a entraîné un vaste mouvement de masse vers le télétravail et accéléré de nombreuses migrations vers le cloud, tout indique que le trafic WAN des entreprises ne retrouvera jamais les niveaux antérieurs. Une révision s’impose donc.
Le SASE met l’accent sur un autre modèle
«Toute sécurité reposant sur le trafic de l’intérieur vers l’extérieur doit donc être reconsidérée dans la perspective d’un travail en tout lieu.» Tel est l’avis de William Malingrey, Senior Sales Consultant Network& Security and Technology Leader Network, Telindus. Il s’agit donc de faire évoluer la sécurité. Celle-ci -un des sujets du Telindus Live Week (du 19 au 23 avril)– passera par le SASE (Secure Access Service Edge). Ce modèle suit le chemin du réseau étendu défini par logiciel -le SD-WAN- qui, selon le cabinet Gartner, devrait être mis en œuvre par 60 % des entreprises d’ici 2024.
«Le SASE n’est pas une technologie particulière, mais un modèle –la description d’une plus forte communion des services réseaux et sécurité pour les appareils connectés à la périphérie», explique Laurent Untereiner, Head of Sales Unit – Network & Security, Telindus. Des acteurs comme Check Point, Cisco, Fortinet et Palo Alto sont en train de populariser le SASE à travers le SD-WAN qui adopte un concept simple : faciliter la vie des équipes IT en leur permettant de gérer leurs réseaux sur le cloud via une plateforme edge centralisée. SASE et SD-WAN sont liés.
Dans la philosophie du cloud
Dans les grandes lignes, le SASE vise à faire évoluer la sécurité des entreprises vers un modèle d’exploitation plus proche du cloud. Au lieu d’un petit nombre de VPN situés dans les centres de calcul des entreprises, les outils SASE fournissent un ensemble de points de présence (POP) largement répartis; les utilisateurs s’authentifient auprès du plus proche pour se connecter aux ressources de l’entreprise dans le centre de calcul ou dans le cloud.
Parmi les avantages du modèle SASE, tout le trafic entre le POP d’entrée et les ressources cloud ou le centre de calcul de l’entreprise est chiffré. Et divers autres contrôles de sécurité sont superposés pour surveiller et protéger les usages, notamment des passerelles de sécurité Web.
Plus important encore, les systèmes SASE fournissent ou s’intègrent aux systèmes d’accès cloud sécurisé CASB pour appliquer la politique d’accès de l’entreprise aux systèmes de l’entreprise en dehors du centre de calcul, en particulier les outils SaaS.
SASE et XDR, un avenir commun
Au-delà des points d’accès sécurisés gérés par l’entreprise. Le passage massif au télétravail a attiré encore plus l’attention sur la sécurisation des terminaux administrés par les entreprises, mais ne bénéficiant plus de la protection périmétrique des réseaux d’entreprise. De quoi faire émerger le besoin d’aller au-delà du seul SASE et de pousser à l’intégration de la protection et de la détection/remédiation des postes de travail avec le SASE.
Dans l’idéal, l’environnement entier a besoin d’une analyse comportementale complète. On parle de XDR (Extended Detection and Response), afin d’associer le réseau et ses hôtes à une approche consolidée de la détection et de la réponse aux menaces. Le cabinet Nemertes rassemble cette combinaison de fonctions sous le vocable ESCAPE (Enterprise Secure Cloud Access and Policy Enforcement). Les outils et services SASE -notamment ceux de Cato Networks, Cisco, Fortinet et Palo Alto Networks- évoluent vers ce modèle à mesure que les entreprises adoptent une approche intégrée de la protection des terminaux. Bref, SASE et XDR vont évoluer de concert.
Laurent Untereiner : «Les entreprises doivent évaluer leurs propres besoins et préférences lorsqu’elles considèrent leurs options, notamment en ce qui concerne la manière dont elles souhaitent combiner la gestion de la sécurité des utilisateurs sur site et des ressources en cloud privé avec la gestion du télétravail ou même, de n’importe où sauf au bureau.»
SASE, le couteau suisse
D’ici là, le SD-WAN reste la fondation du SASE. Le réseau étendu défini par logiciel devient aujourd’hui une plateforme programmable sur le cloud pour la sécurité et les composants du SASE. Il est, de ce fait, le «couteau suisse» de l’edge d’une entreprise.
«Avec l’explosion des terminaux et des services cloud, les équipes IT sont submergés par le nombre d’outils de sécurité et d’alerte qu’elles doivent gérer. En parallèle, ces employés désirent la liberté d’investir à la fois dans des technologies -réseau et sécurité- qui s’adaptent le mieux possible à leurs besoins changeants. C’est pour cette raison, estime William Malingrey, qu’il est nécessaire de combiner les efforts et d’ajouter de l’automatisation et de l’intégration à ces deux domaines en même temps.»