Les entreprises réalisent désormais plus volontiers que les pratiques de sécurité traditionnelles ne sont plus vraiment adaptées à notre manière de travailler. Cela ne signifie pas pour autant que tout est à jeter, bien entendu.
Mais les RSSI et les DSI constatent clairement que la transition de nombreux services informatiques vers le cloud remet en question bien des paradigmes que nous pensions solidement acquis. En particulier celui du périmètre : lorsque les données et les applications ont quitté le centre de données pour être délivrées depuis des environnements multicloud à des employés mobiles, la sécurité du périmètre devient en effet sans objet.
Et cette situation s’impose aujourd’hui à tous, car la pandémie COVID-19 a obligé des millions de salariés à travailler à distance. Impossible, bien sûr, de dire si le recours massif au télétravail en situation de crise fera évoluer les mentalités une fois l’épidémie vaincue. Pourtant, la situation actuelle a mis en évidence une réalité : tenter de sécuriser ces environnements de travail modernes en utilisant les concepts de sécurité traditionnels n’a guère de sens : au mieux cela ne répond pas aux besoins de l’utilisateur, et au pire cela ouvre des brèches dans la défense de l’entreprise.
Pour aggraver le problème, le paysage des risques change également : nous assistons désormais à des attaques ciblées vers des utilisateurs spécifiques. Si la victime ne travaille pas sur le réseau sécurisé habituel, mais utilise des appareils mobiles (parfois personnels) pour accéder simultanément à des données et à des applications dans le nuage et sur le réseau, privées et professionnelles, les risques de compromission sont largement accrus. C’est ici que de nouvelles approches de sécurité sont nécessaires.
Le SASE à la rescousse
Le modèle SASE (Secure Access Service Edge) a été pensé par Gartner et inspiré par les nouvelles exigences du business dans une ère marquée par le (multi) Cloud et des utilisateurs mobiles. Ce modèle - qui sera encore plus incontournable avec la généralisation de l’IPv6 et des équipements connectés à Internet en permanence - a été pensé en partant du principe que la sécurité doit elle aussi provenir du nuage afin d’être omniprésente.
La règle d’or du SASE est que le trafic doit être sécurisé tout au long de son parcours, de l’utilisateur à l’application, indépendamment du lieu où se trouve l’utilisateur ou de l’endroit où l’application est hébergée. Il s’agit d’une vraie rupture avec l’approche traditionnelle centrée sur le réseau : désormais la sécurité est centrée sur l’utilisateur !
Ce type de modèle a d’abord été conçu pour sécuriser les utilisateurs mobiles et le trafic dans le nuage. Mais il démontre aujourd’hui ses mérites aussi lorsque les entreprises l’adoptent pour sécuriser les connexions de tous leurs collaborateurs. Dans un tel contexte, le SASE permet de ne plus avoir à détourner le trafic réseau vers un datacenter via le réseau MPLS - ce qui est une approche coûteuse et désormais inutile.
Le concept de Gartner tient également compte de l’évolution constante du paysage des applications. Car comme les diverses applications auxquelles un employé peut avoir besoin d’accéder peuvent être hébergées par différents fournisseurs de cloud, l’infrastructure associée devient de plus en plus complexe à concevoir et à maintenir. En outre, les utilisateurs s’attendent à pouvoir accéder à leurs applications depuis n’importe où, avec n’importe quel appareil, et de préférence sans configuration compliquée. C’est dans cet esprit que Gartner a conçu l’approche SASE, qui protège les données tout au long de leur parcours, de l’appareil de l’utilisateur jusqu’à la destination - plutôt que de se contenter de sécuriser la destination.
Comprendre le modèle SASE
Mettre en œuvre le modèle SASE ne se fera pas du jour au lendemain. S’approprier le pleinement le concept d’une sécurité de bout en bout « sans périmètre » demandera une véritable révolution culturelle. L’objectif des équipes sécurité ne sera plus de sécuriser un réseau : celui-ci, tel qu’elles le connaissent, disparait. Ou plus précisément : il est disponible en tout lieu, y compris depuis l’Internet public. Un véritable modèle SASE doit ainsi être considéré comme un service global et holistique. Il sécurise l’espace situé entre l’utilisateur et le service auquel il se connecte. Le cadre SASE couvre donc toute la communication de l’utilisateur entre un point d’origine - quel qu’il soit - et un point final, où qu’il soit ; il n’entrave pas le travail de l’utilisateur, mais lui permet d’accéder en toute sécurité aux applications et aux données dont il a besoin. SASE ne peut être comparé à aucun autre service connu, car il s’agit d’un cadre complet composé de différents éléments, dont le SD-WAN, un périmètre défini par logiciel et des services gestion des accès et des identités.
Voici cinq étapes clés qui contribueront à la mise en œuvre d’un système de sécurité basé sur SASE :
1) Connaître sa base d’utilisateurs
Dans un premier temps, les entreprises doivent être en mesure d’identifier leurs utilisateurs. Elles doivent pouvoir répondre aux questions telles que « qui a besoin d’accéder à quels services ? Comment cette base d’utilisateurs peut-elle être classée en fonction des droits d’accès dont ils ont besoin afin d’établir différentes politiques pour différents types d’utilisateurs » ? Un fournisseur d’identité tel qu’Azure AD, Okta ou Ping est généralement un outil utile pour créer la base d’utilisateurs.
2) Avoir une idée des destinations des utilisateurs
En plus de connaître leurs utilisateurs, les entreprises devront également réfléchir leurs « destinations » : à quoi doivent-ils avoir accès ? Où ces applications sont-elles hébergées ? Cette question devient d’autant plus importante dans le contexte des infrastructures multicloud, désormais de plus en plus répandues. Il n’est plus question que toutes les applications soient hébergées dans un seul centre de données : elles sont réparties entre plusieurs fournisseurs cloud et entre des environnements privés et publics. Ces deux éléments d’information - l’utilisateur et la destination - constituent donc le vrai point de départ d’une solution basée sur SASE.
3) Regrouper les catégories de services et comprendre leur topologie
Les entreprises ne doivent pas seulement réfléchir à la raison pour laquelle un utilisateur a accès à un service, mais aussi où ce service se trouve et comment l’utilisateur peut y être acheminé. Comme les applications modernes peuvent être hébergées sur n’importe quel cloud, il est important (et complexe) de garder une vue d’ensemble. Les fournisseurs de services en nuage continueront à se diversifier, de nouveaux fournisseurs de niche les rejoindront pour concurrencer les principaux acteurs du marché que sont AWS, Azure et Google. Comme les entreprises veulent éviter le verrouillage par les fournisseurs, elles recherchent le plus souvent l’environnement le plus approprié pour chaque application. Il est donc essentiel de développer une architecture permettant de comprendre précisément où se trouve chaque application. En outre, il est important que les entreprises réfléchissent à la manière dont leurs applications peuvent être regroupées en catégories de services pour faciliter (et unifier) les règles de contrôle d’accès.
4) Définir les règles
Pour être tout à fait franc, le SASE peut être complexe à mettre en œuvre, mais seulement si une organisation s’y précipite et cherche à tout faire d’un coup. La bonne pratique consiste plutôt à appliquer les règles du SASE à un périmètre connu et maîtrisé, et à observer au fil du temps où il est possible d’étendre ce modèle (à la mise en ligne de nouvelles applications, à l’intégration d’un nouvel outil en mode SaaS, etc.). Il s’agit d’un processus itératif et il n’y a pas vraiment d’urgence.
D’autant qu’un service SASE doit être adaptable, de sorte que l’entreprise devra définir différentes règles pour différents types de circonstances (élever le niveau d’authentification demandé en fonction du facteur de risque donné par l’utilisateur, l’application et le chemin pour y arriver). Pour y parvenir, il sera nécessaire de gérer le contrôle d’accès aux points d’origine et de destination pour décider si une connexion doit être établie entre l’utilisateur et l’application et, si oui, comment. C’est là que les solutions de type « Zero Trust » peuvent être utilisées pour guider l’utilisateur vers l’application concernée en fonction des règles et du contexte applicables.
5) Le chemin optimal vers l’application
La dernière étape consiste à diriger le trafic des utilisateurs vers l’application par le chemin le plus court possible. Ici, une définition statique du chemin est rarement la plus efficace : il est nécessaire de tenir compte de la mobilité des collaborateurs, qui doivent pouvoir être dirigés de manière dynamique vers l’application requise à partir de n’importe quel endroit. Et pour cela, un critère important doit être pris en compte : celui de l’optimisation de la bande passante, afin que la priorité soit donnée aux applications critiques. C’est là qu’interviendront les ruptures locales d’Internet avec les modèles SD-WAN et la gestion de la bande passante, ainsi que le contrôle de la qualité de service.
Une fois qu’une organisation aura franchi ces cinq étapes, elle sera en excellente position pour s’essayer au modèle SASE : sélectionner une seule application ou un groupe d’utilisateurs et entamer le processus de mise en œuvre sur ce périmètre réduit.
En fin de compte, l’objectif de la transformation numérique devrait être d’accélérer l’innovation plutôt que de freiner les processus commerciaux. Le modèle SASE peut aider les entreprises à construire une infrastructure informatique globale, capable d’évoluer sans limite et qui tiendra compte de toutes les exigences liées aux applications, aux réseaux et à la sécurité.