Les environnements de réseaux actuels, de plus en plus ouverts et distribués, exigent une refonte complète de leur stratégie de sécurité. En effet, l’hybridation du travail conduit de plus en plus de collaborateurs à accéder au réseau depuis leur domicile ou des sites distants. Les applications sont désormais très distribuées et ne résident plus seulement on-premise, mais dans plusieurs environnements cloud de fournisseurs tiers.
Un changement que l’on retrouve également dans les schémas de circulation des informations/données. Au lieu de schémas de trafic clairs, la multitude d’applications et d’utilisateurs, associée aux vagues successives de numérisation qu’ont connues les entreprises, a complexifié le contrôle de l’utilisation du réseau. Dans ce contexte, les stratégies de sécurité cloisonnées ne sont plus viables. Le besoin de contrôle et de sécurité s’est déplacé vers la périphérie du réseau, et c’est là que le SASE (Secure Access Service Edge) intervient.
L’association d’une approche SASE et Zero Trust
Le SASE est un bon moyen d’illustrer et d’expliquer le changement de paradigme qui se produit et la façon dont les entreprises repensent actuellement leurs architectures de sécurité. Les réseaux vont avoir besoin de plus de sécurité à la périphérie (edge), et la meilleure façon de le faire est d’intégrer cette sécurité dans le système lui-même.
Une approche SASE combine les technologies existantes, mais les aborde et les orchestre d’une manière différente. Autrement dit, les composants clés d’une architecture SASE sont une infrastructure de réseau étendu définie par logiciel (SD-WAN) à laquelle nous ajoutons un contrôle d’accès au réseau basé sur le principe de Zero Trust (ZTNA).
Le Zero Trust est étroitement lié à la technologie SD-WAN. L’adoption d’un contrôle d’accès au réseau basé sur cette notion de confiance zéro lors de la construction d’une architecture SASE permet d’atteindre un niveau d’intégration entre le réseau et la sécurité qui n’a jamais été atteint auparavant. En d’autres termes, alors qu’auparavant la sécurité était une couche supplémentaire venant s’ajouter à l’infrastructure du réseau, avec SASE la sécurité est intégrée.
Un principe clé du Zero Trust est celui « du moindre privilège », qui consiste à gérer l’accès à tous les actifs d’une entreprise. Il permet de donner à l’utilisateur l’accès uniquement à ce dont il a besoin pour travailler. Dans une entreprise, un utilisateur n’a accès qu’aux informations nécessaires à la réalisation de sa mission, quel que soit son niveau d’habilitation de sécurité ou ses autres privilèges. Cette approche, si elle est correctement mise en œuvre, c’est-à-dire appliquée à n’importe quel point du réseau de l’entreprise, du campus de l’entreprise aux bureaux distants en passant par le lieu de télétravail, réduit considérablement la surface d’attaque et l’exposition aux menaces potentielles.
Une autre pratique courante dans les environnements de réseau avec un accès Zero Trust consiste à utiliser l’identité, tant de l’utilisateur que du dispositif, non seulement pour accorder spécifiquement l’accès aux ressources et aux applications, mais aussi pour segmenter les utilisateurs, les groupes et les applications en petits (micro ou hyper) segments. La segmentation permet de limiter davantage l’exposition et d’empêcher le déplacement latéral des menaces au sein du réseau.
La mise en œuvre d’un modèle de Zero Trust tend à permettre aux utilisateurs de travailler efficacement et de ne pas entraver les opérations quotidiennes. Si les besoins des utilisateurs ne sont pas satisfaits et que la sécurité est placée en couche additionnelle au-dessus de la solution plutôt que d’y être intégrée, le système ne fonctionnera pas, même si la posture de sécurité de l’entreprise est solide. En revanche, une solution intégrée au système, qui tient compte des besoins de l’utilisateur, augmentera la productivité des collaborateurs et facilitera l’adoption de cette stratégie de sécurité. Dans ce contexte, les solutions et architectures « Zero Trust » qui offrent une approche centrée sur l’utilisateur sont les plus bénéfiques.
Je suis convaincu qu’il est possible de construire un environnement de réseau SASE et qu’une architecture SASE est nécessaire pour assurer la sécurité et l’accès sécurisé différemment au niveau du réseau. Il existe de nombreuses façons de mettre en œuvre une architecture SASE. Dans ce contexte, des solutions personnalisées seront nécessaires pour répondre aux besoins spécifiques des entreprises et industries, dont certaines auront besoin d’écosystèmes complets pour qu’une telle configuration fonctionne correctement.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));