Le SASE (Security Access Service Edge) associait WAN et sécurité réseau. Désormais, un nouveau concept s’impose, le SSE pour Security Service Edge, dans lequel le réseau n’entre plus dans le contrôle de la sécurité.

L’impact d’une météorite sur la Terre il y a des millions d’années a changé la surface de notre planète à tout jamais, entraînant l’extinction des dinosaures. Il est possible de faire un parallèle entre la façon dont des événements naturels peuvent provoquer des changements fondamentaux et l’évolution du monde numérique. Alors que la modernisation du secteur de l’IT avait déjà commencé, la pandémie a agi tel un vaste moteur de changement. D’une manière jusqu’alors imprévue, les entreprises du monde entier ont été contraintes de transformer leurs paysages informatiques pour s’adapter, à une vitesse sans précédent. Alors que nous commençons à avoir un peu de recul sur la situation, il est intéressant de se questionner sur les infrastructures traditionnelles qui seront tôt ou tard laissées pour compte dans l’ère post-COVID.

Conscient du bouleversement mondial auquel les organisations ont été confrontées, Gartner contribue à fixer le cap de la réorganisation de l’infrastructure informatique avec son nouveau pilier de sécurité, le Security Service Edge (SSE) du cadre SASE. Ce nouveau modèle, avec son unification des paramètres de sécurité en tant que “fonction as a service”, représente l’évolution naturelle du cadre SASE. En éliminant le « A » (pour « Accès »), la baisse de l’importance de la pile de sécurité au périmètre du réseau, qui régulait auparavant les autorisations d’accès au réseau de l’entreprise et garantissait ainsi la sécurité informatique à l’intérieur des frontières étanches, devient évidente. Aujourd’hui, le réseau lui-même n’est plus considéré comme faisant partie de l’organe de contrôle de la sécurité, mais seulement comme un moyen de transporter les flux de données vers un nouveau modèle de sécurité.

Le réseau traditionnel perd de son importance

Le SSE reflète ainsi les circonstances auxquelles les entreprises ont été confrontées au cours des deux dernières années. Les employés ont quitté le réseau sécurisé et accèdent à leurs applications à partir d’un grand nombre de nouveaux environnements de travail (dans de nombreux cas, en raison des restrictions de contact imposées). Depuis une dizaine d’années, les applications ont trouvé leur place dans des environnements cloud, réduisant encore l’importance du centre de données. Cependant, sous l’impulsion de la pandémie, même ceux qui étaient auparavant réticents se sont tournés vers le cloud. Mais s’il n’y a ni applications ni employés dans le réseau de l’entreprise, quel sens a une pile de sécurité à la périphérie du réseau ? La réponse à la réorientation de l’infrastructure de sécurité est le Security Service Edge.

Dans les environnements de travail modernes, la sécurisation du chemin direct des utilisateurs vers leurs applications joue un rôle décisif – sans l’étape intermédiaire d’un périmètre de réseau. Et c’est précisément autour de cette idée centrale que s’articule l’approche Security Service Edge, le Zero Trust étant la pierre angulaire de la mise en œuvre. Si un utilisateur a besoin d’accéder à une application ou à un service, cet accès doit être défini en fonction des rôles et surveillé en permanence. Quel que soit l’endroit où les applications sont stockées, la sécurité doit fonctionner en ligne entre l’utilisateur et l’application. Une fonction cloud fournit cette autorité de contrôle et offre l’agilité et la flexibilité nécessaires à une grande variété de scénarios d’application.

Dans un déploiement de Security Service Edge, les utilisateurs ne sont plus liés à un réseau pour accéder aux applications, mais bénéficient d’un accès universel basé sur leur identité, quel que soit le lieu depuis lequel ils se connectent. Le concept de moindre privilège montre ses points forts dans tous les modules du SSE et constitue donc également la base du CASB ou du DLP. L’accent est toujours mis sur les droits d’accès basés sur des politiques, que ce soit pour l’accès à des applications ou à des services web autorisés, ou au niveau des documents individuels.

Un accès universel pour les scénarios futurs

Pour suivre ces changements, les services informatiques doivent systématiquement choisir le bon outil pour chaque tâche. Pour ce qui est de la sécurité informatique, les services en question doivent abandonner les appareils réseau qui jouaient le rôle de gardiens des tâches de sécurité pour suivre une nouvelle approche basée sur le SSE qui fait passer la sécurité directement entre l’utilisateur et l’application ou le service. Dans le même temps, les départements IT ouvrent la voie aux entreprises pour franchir les prochaines étapes de la numérisation. Le Zero Trust est une architecture idéale non seulement pour les autorisations d’accès des utilisateurs, mais aussi pour les appareils ou les charges de travail.

Avec les applications externalisées à l’Edge ou l’IIoT et la technologie opérationnelle (OT), les prochaines applications numériques qui doivent être sécurisées sont dans les starting-blocks. Le cloud ne sera pas le seul « outil » pour garantir l’accès, l’Internet jouera un rôle clé, voire également la dernière norme sans fil, la 5G. La 5G permet déjà des scénarios d’application complètement nouveaux, au-delà du réseau traditionnel, dont la transmission des données et les autorisations d’accès doivent également être sécurisées. Le réseau traditionnel a été complètement et définitivement transformé. Alors que les entreprises réalisent tout le potentiel du cloud pour sécuriser les utilisateurs, les applications et les appareils, le SSE fournit quant à lui un cadre prospectif qui peut les guider dans cette démarche de sécurisation.
___________________

Par Nathan Howe, vice-président en charge des technologies émergentes chez Zscaler

 

À lire également :

Zero Trust : sécuriser la communication entre les workloads dans le cloud

Cybersécurité : 10 prévisions pour 2022

La sécurité muticouche comme ligne de défense optimale.

SASE : une technologie qui s’inscrit naturellement dans la création des réseaux du futur.

La route vers SASE promet sans doute d’être longue…