Alors que le concept de SASE (Secure Access Service Edge) a émergé il y a quelques années maintenant, l’idée de consommer des services de réseau et de sécurité à partir du cloud a trouvé un écho sur le marché. Selon Gartner, au moins 40 % des entreprises adopteront le modèle SASE d’ici 2024. Rien d’étonnant donc à ce que les fournisseurs de services Internet (FSI) se soient penchés sur la manière de proposer un ensemble de services SASE.

Aujourd’hui, les entreprises adoptent de manière croissante le Security Service Edge (SSE) qui représente l’ensemble des outils de sécurité au sein d’une architecture SASE. Aussi, les équipes de gestion des produits des FSI examinent les implications du SSE pour leurs activités. S’agit-il d’une nouvelle concurrence menaçante provenant des fournisseurs de services cloud ? Ou bien est-ce l’opportunité de lancer un nouveau service sur le marché ?

Le SSE constitue la moitié du cadre SASE. C’est le cerveau qui intègre un ensemble spécifique de services de sécurité. L’autre moitié est constituée des services WAN Edge — SD-WAN, d’optimisation des applications, de connectivité et tout ce qui concerne les réseaux.

Les fournisseurs de services internet bons pour le SASE

Si un fournisseur de services internet propose un SASE géré, il doit être doté de fonctionnalités SSE. Toutefois, Gartner souligne que la stratégie SASE à l’épreuve du temps et fondée sur le SSE doit présenter les propriétés suivantes : Une application cohérente des politiques, quel que soit le lieu, un plan de contrôle consolidé des politiques, une visibilité et un contrôle des données sensibles. Par conséquent, si un fournisseur propose déjà un service SASE géré, il doit vérifier que ses capacités répondent à ces critères, puis s’assurer que le service va au-delà de la simple offre de produits distincts et satisfait aux toutes dernières exigences.

Les prestataires de services internet sont idéalement placés pour donner vie au cadre SASE en offrant un service complet. Au lieu de proposer un patchwork de solutions diverses adaptées à des cas d’utilisation de niche, ils peuvent tirer parti de leur vaste réseau et de leur expertise dans la desserte de grands marchés pour lancer un service cohérent qui respecte l’esprit du SASE ; à savoir connecter n’importe quel utilisateur à n’importe quel service cloud et garantir la protection des données.

L’intégration des fonctionnalités SSE dans le SASE

En essayant de réduire le délai de mise sur le marché, les fournisseurs de services internet peuvent envisager de positionner leurs fonctionnalités déjà exploitées de services WAN Edge en tant que SSE. L’offre SD-WAN actuelle est probablement dotée de certains éléments de sécurité, tels qu’un pare-feu (de nouvelle génération) ou un système de gestion unifiée des menaces (UTM), qui ne peuvent cependant pas à elles seules être qualifiées de SSE.

Le SSE dépasse en effet largement les fonctionnalités des pare-feu classiques, en offrant davantage de contrôles de sécurité pour un éventail plus large de cas d’usage. La combinaison du CASB (Cloud Acess Security Broker) et SWG (Passerelle Web Sécurisée) permet d’élaborer une politique unique pour contrôler le trafic du cloud et du web, et ce, pour toute application et tout utilisateur. L’isolation du navigateur à distance et l’accès au réseau zero trust (ZTNA) font partie de cette politique, en tirant parti du contexte des données recueillies par le CASB et SWG. L’ensemble de ces services est étroitement intégré au sein du SSE et s’articule autour du concept de protection des données.

Pour déployer efficacement un service SSE, il est primordial d’analyser les attentes des utilisateurs finaux qui influenceront le processus de décision :

1/ Une seule console, un seul ensemble de politiques, un seul lac de données pour les journaux. Le concept de SSE est né d’une consolidation du marché des composants SWG, CASB et ZTNA. La dernière chose que souhaitent les utilisateurs est de gérer plusieurs produits en passant par plusieurs consoles et API. En outre, les prestataires de services cherchent à éviter que les opérations reproduisent les mêmes politiques à travers plusieurs outils, augmentant ainsi les coûts opérationnels internes.

2/ Une visibilité des activités du cloud qui soit facile à comprendre. Les clients apprécient les tableaux de bord intuitifs qui les aident à mieux cerner les zones à risque et à savoir où ils doivent porter leur attention. Quelles sont les applications utilisées ? Les employés partagent-ils les données de l’entreprise en utilisant des instances SaaS personnelles (comme Gmail ou Office365) ? Où sont les données sensibles ? Y a-t-il des signes de comportement à risque chez les utilisateurs ? En parvenant à répondre à ces questions, il est possible de démontrer une capacité à fournir des fonctionnalités très complexes de manière conviviale.

3/ Absence d’impact sur les performances lorsque tous les contrôles de sécurité sont activés. Lorsqu’elles utilisent les services de sécurité d’un fournisseur de services cloud, les entreprises s’attendent à bénéficier de performances constantes, où qu’elles se trouvent. Pour ce faire, un fournisseur de services internet doit déterminer à partir de quels points de présence (PoP) les services de sécurité seront fournis et en quoi l’emplacement du PoP a un impact sur le marché adressable. Dans le même temps, au sein de chaque PoP, les performances ne doivent pas dépendre du type de contrôles de sécurité qui sont activés. Les architectures à « passage unique » doivent être privilégiées par rapport aux « chaînes de services » où le trafic utilisateur passe par une pile de fonctions de sécurité multiples selon un processus en série.

4/ Coûts. Pour rester compétitif, un fournisseur de services internet doit impérativement trouver le juste prix pour son service et maîtriser ses coûts internes. La décision la plus importante est peut-être de déterminer s’il va mettre en place l’infrastructure nécessaire pour fournir des services SSE ou s’il va s’associer à un fournisseur de sécurité dans le cloud existant. Si la mise en place de ses propres capacités SSE est bien souvent logique à long terme, il est important de tenir compte des inconnues susceptibles de faire grimper les coûts. Les coûts des licences de fonctions réseau sont généralement sous-estimés, tout comme ceux associés au développement de l’orchestration de la virtualisation des fonctions réseau ; sans oublier les éventuelles limitations en matière d’évolutivité et l’instabilité des performances qui font également varier les coûts.

Le SSE en tant que composante du SASE n’est pas une menace, mais plutôt une opportunité à saisir pour les fournisseurs de services Internet. À mesure que les organisations se lancent dans la transformation de leur réseau et de leur sécurité, elles ont besoin d’un fournisseur reconnu et mature, capable de les aider et de les accompagner. Dans cette quête, les FSI sont idéalement positionnés pour proposer un service SASE de haute qualité.
___________________

Par Julien Fournier, VP Southern Europe chez Netskope

 

À lire également :

Cybersécurité : les exceptions ne doivent pas devenir la règle…

SASE & Zero Trust : la combinaison clé pour la sécurité…

SASE : une technologie qui s’inscrit naturellement dans la création des réseaux du futur.

Pourquoi trouver le bon fournisseur de SASE assurera l’avenir du réseau?