En matière de sécurité d’entreprise, plusieurs questions doivent se poser pour définir la bonne approche. Où sont les utilisateurs – sur site ou à distance ? Leur situation va-t-elle prochainement changer ? Où les applications sont-elles exécutées ? – sur site, dans le datacenter, ou dans le cloud ? De quelles applications et données dépend la productivité des utilisateurs ?

Il n’y a pas deux entreprises pareilles. Certaines possèdent des applications propres à leur secteur, quand d’autres utilisent des applications de productivité plus générales pour simplifier leur environnement. Ajoutons à cela des sites distribués géographiquement, chacun ayant ses propres fournisseurs et systèmes de gestion, et l’on commence à entrevoir le nombre de variables à prendre en compte.

Une fois ces concepts entendus, la complexité de la sécurisation d’une infrastructure se dessine plus clairement. Finalement, sécuriser son infrastructure en jonglant avec toutes les technologies est un peu un exercice d’équilibrisme depuis plus de 20 ans.

IDS, IPS, pare-feu, passerelle web sécurisée… De nombreuses technologies requièrent une expertise spécifique non seulement pour être déployées mais aussi pour continuer à fonctionner efficacement au fil du temps. La sécurité n’est pas un problème qui peut être réglé une fois pour toute. C’est un chantier permanent et évolutif, les cybercriminels restant rarement inactifs !

A l’heure où l’intérêt pour les services cloud se précise et mûrit, qui mieux que les acteurs qui les développent, les déploient et les exploitent chaque jour pour les sécuriser efficacement ? Si cette idée a trouvé son chemin dans l’industrie, c’est Gartner qui l’a le mieux labellisée sous le concept de Secure Access Service Edge (SASE).

Des voies différentes pour des besoins différents

Pouvant être embrassé par des entreprises de toutes tailles, SASE est un concept qui promet d’apporter la plupart des capacités que l’on peut espérer en matière de sécurité, comme la flexibilité de déploiement ou la facilité d’utilisation.

Pour être efficace, SASE doit être dimensionné à l’échelle de toute l’infrastructure. Facile pour les nouveaux sites, mais plus complexe en réalité pour de nombreuses entreprises qui ont déjà investi dans d’autres technologies ou approches. Le virage SASE sera donc pour la plupart un projet de longue haleine, en raison de la dépendance des services et des applications, ainsi que du besoin d’adhésion des parties prenantes et des mandats de temps de fonctionnement qui ne permettent pas de disposer d’un guichet opérationnel unique pour effectuer une transition rapide.

Autre limite : les approches hybrides. Les entreprises qui hébergent des applications dans le datacenter tout en utilisant des applications SaaS et/ou des applications hébergées dans le cloud public ne peuvent bénéficier de tout le potentiel de SASE. Pour résoudre les problèmes liés à l’expérience utilisateur ou aux applications, la cohérence des politiques est essentielle pour ne pas opacifier la visibilité. Si l’agilité opérationnelle est l’un des principes de cette nouvelle vision de la sécurité, l’objectif devrait être d’unifier les politiques. Sinon, cela créera de nouveaux défis de maintenance et d’exploitation pour les activités quotidiennes, voire retarderont les temps de réponse aux incidents.

Et quid de la performance depuis ou vers le point de présence (POP) pour le service SASE ? Ou encore de l’agrégation de liens multiples, avec à la fois des liens point-à-point entre les datacenters et les campus, ou entre les bureaux à domicile et le cloud ? Le SD-WAN résout une partie de ces problèmes ; néanmoins, il peut être difficile de garantir une expérience utilisateur de haute qualité lorsque des services de sécurité sont introduits, masquant la télémétrie et certains détails sur lesquels repose souvent la santé du service.

« Choisissez votre propre aventure »

Aujourd’hui, les offres disponibles sur le marché proposent tout un tas de politiques de configuration et mécanismes de déploiement pour les différents points du réseau. Sachant que chaque instance a sa propre interface de gestion, structure de politique et format d’événement, la maintenance est un véritable défi, encore plus en ce qui concerne la visibilité du comportement d’un service ou d’une application donnée dans l’environnement. La sécurité hébergée dans le cloud devrait rendre la consommation opérationnelle plus simple, pas plus complexe.

Une chose est sûre : c’est l’expérience utilisateur qui reste la mesure du succès. Une sécurité d’excellence doit aspirer à être aussi transparente que possible pour l’utilisateur final. Cependant, certaines approches impliquent de nouvelles interfaces utilisateur ou du matériel supplémentaire sur site, augmentant la complexité. La meilleure solution pour relever ces défis sans compliquer davantage les opérations est d’envisager la transition sur le long terme avec des étapes. Rome ne s’est pas faite en un jour !
___________________

Par Mike Spanbauer, consultant sécurité, Juniper Networks.