Internet perturbe les industries et les modèles économiques tels que nous les connaissons, modifiant ce faisant en profondeur notre manière de vivre et de travailler. Dans son giron, le Cloud a également initié une vague sans précédent de perturbations. Bien aidé par l’autre phénomène, de la prolifération des appareils mobiles, le Cloud a en effet rendus obsolètes les meilleurs pratiques habituelles en matière de réseau et de sécurité.
Alors que le lieu de travail du futur se profile à l’horizon, comme résultat de la demande toujours plus forte des utilisateurs pour un accès flexible aux données et aux applications (indépendamment de leur emplacement de stockage, et du lieu ou de l’appareil d’où elles sont consultées), le nombre d’entreprises qui s’engagent dans un programme de transformation numérique ne cesse de s’accroître. Selon le Cabinet McKinsey, d’ici 2020, les dépenses liées au Cloud devraient augmenter six fois plus vite que celles destinées à l’informatique générale. Avec l’émergence du cloud computing comme moyen viable et pratique de fournir des applications, des serveurs, des ordinateurs de bureau et d’autres composants essentiels, la manière dont les entreprises mènent leurs activités peut changer radicalement, et en mieux.
Cependant, cette évolution doit s’accompagner d’une modification de l’architecture des réseaux. Les entreprises ont toujours stocké leurs données et leurs applications dans des datacenter, et la plus grande partie du trafic utilisateur y était destiné. Leur architecture informatique était constituée d’un réseau en étoile où les bureaux distants se connectaient au bureau central (le datacenter), et tout le trafic réseau y affluait et en sortait. Aujourd’hui, comme les entreprises hébergent leurs données et applications professionnelles dans le Cloud, et que les utilisateurs sont de plus en plus mobiles, la majeure partie du trafic se fait sur Internet. Dans cette nouvelle réalité, diriger la totalité du trafic réseau vers un bureau central, puis dans le Cloud pour le renvoyer ensuite à un bureau distant ou un appareil mobile serait totalement inutile.
Réseaux : un bref historique
Dans les années 90, les succursales des entreprises étaient connectées au siège (bureau central) via des connexions dédiées, par exemple des circuits à relais de trames. Avec ce modèle, les bureaux distants n’avaient aucune possibilité de se connecter à un réseau extérieur et l’entier contrôle sur la surveillance, la sécurisation et la gestion des communications étaient centralisés au cœur du siège de l’entreprise.
Pour les côtés négatifs, ce système impliquait que les bureaux distants ne pouvaient pas être trop éloignés du siège, et les communications souffraient d’une latence importante. De plus, les relais de trames représentaient un point de panne unique : si la connexion en étoile défaillait, les sites distants se retrouvaient bloqués. Par ailleurs, le coût de mise en œuvre et de maintenance de ce type d’infrastructure était très élevé. Ces inconvénients (coût de la solution, point de panne unique) et le développement de nouvelles technologies ont amené la plupart des entreprises à abandonner les connexions directes point à point ainsi que les relais de trames.
Avec l’avènement d’Internet et des réseaux publics, les relais de trames ont laissé la place au MPLS (commutation multiprotocole par étiquettes/ Multiprotocol Label Switching). Le mécanisme MPLS permettait une gestion des réseaux beaucoup plus intelligente et donnait aux bureaux distants la possibilité de communiquer avec des réseaux autres que le bureau central. En outre, cette technique pouvait être utilisée avec les relais de trames et avec d’autres protocoles, afin de fournir une connectivité point à point sur une variété de réseaux. Elle offrait donc davantage de flexibilité, de redondance et d’évolutivité que les protocoles uniques point à point.
Cependant, malgré ses nombreux atouts, le MPLS n’était pas plus abordable qu’un relais de trames, que le protocole ATM ou que certains autres protocoles existants. Plus important encore, la possibilité des bureaux distants de communiquer sans passer par le bureau central a introduit de nouveaux problèmes liés au manque de contrôle. La tâche d’assurer la sécurité et la conformité à des règles d’entreprise dans tous les bureaux et par tous les utilisateurs était devenue plus complexe.
La technologie VPN (réseau privé virtuel) a représenté une autre innovation, mise en place pour répondre au dilemme de la connectivité des bureaux distants. Avec le VPN IPsec, les bureaux distants ont pu bénéficier d’un accès Internet direct tout en étant capables d’établir, lorsque c’était nécessaire, un tunnel avec le bureau central via une connexion point à point chiffrée. Les réseaux privés virtuels étaient moins onéreux que la commutation MPLS, et beaucoup moins compliqués. Cependant, le VPN présentait une faible qualité de service et exigeait plus de puissance réseau. En outre, à l’instar du MPLS, cette technologie donnait aux bureaux distants la possibilité de se connecter au reste du monde sans passer par le bureau central, ce qui entraînait alors des problèmes de sécurité et de surveillance.
La rupture avec le modèle en étoile
À l’heure où succursales et bureaux satellites sont de plus en plus éloignés, et où un nombre grandissant d’employés utilisent un appareil mobile pour accéder à des données d’entreprise depuis l’extérieur, l’obligation de faire passer le trafic par un bureau central via le MPLS, le VPN ou une connectivité directe s’est révélée trop lourde et onéreuse. En outre, à notre époque marquée par la vitesse, la latence représente un réel obstacle aux activités commerciales, et tout le monde sait qu’une expérience utilisateur médiocre est la meilleure manière d’inciter les employés à contourner les procédures d’entreprise.
À mesure que mobilité et cloud s’imposent comme la nouvelle norme, les architectures réseau doivent pouvoir soutenir efficacement les utilisateurs mobiles et distants sans compromettre les performances ou la sécurité. Face à une transition aussi rapide, les DSI et RSSI se sont retrouvés avec la tâche ingrate de devoir rendre leur entreprise capable d’accueillir les nouvelles opportunités tout en gardant le contrôle sur la sécurité et en réduisant les coûts. C’est ainsi que le modèle traditionnel en étoile a laissé la place à une approche de connexion directe au Cloud, dans laquelle les réseaux autorisent les utilisateurs à accéder à Internet et aux applications Cloud en tout lieu, à tout moment, sur n’importe quel appareil, tout en assurant la sécurité et la conformité aux règles d’entreprise, et en offrant aux administrateurs informatiques une visibilité et un contrôle complets sur le trafic.
Les réseaux étaient auparavant conçus pour permettre aux utilisateurs de se connecter à des applications dans un datacenter, et un périmètre de sécurité était tracé autour pour protéger utilisateurs et applications des intrusions extérieures. Avec la migration des applications sur le Cloud, et des utilisateurs qui se connectent de n’importe où, ce type de système fait désormais partie du passé. Il est donc temps de décupler la sécurité à partir du réseau et de faire appliquer des règles partout où les applications résident et où les utilisateurs se connectent. Pour dire les choses simplement, avec la migration des applications sur le Cloud, les besoins en sécurité doivent suivre. Après tout, Internet est devenu le nouveau réseau d’entreprise. Si vous ne possédez pas le réseau et que vous ne pouvez pas le contrôler, comment pouvez-vous prétendre le sécuriser ?