SSE ou SASE – Quelle stratégie adopter ?
Par Olivier PERICAT, Directeur technique de SASETY (www.sasety.com)
Les organisations deviennent chaque jour un peu plus hybrides. L’explosion de la mobilité et des usages Cloud conduisent les équipes IT à reconsidérer les moyens nécessaires pour délivrer des services performants et sécurisés.
Elles doivent faire face à deux défis :
- Garantir une qualité de service à des collaborateurs qui utilisent leurs propres moyens de connexion
- Maîtriser la surface d’attaque engendrée par toutes les ressources directement connectées sur Internet
Les cyberattaques quotidiennes qui impactent nos entreprises et nos services publics mettent en évidence le chemin qu’il reste à parcourir.
Pourtant des solutions simples existent pour répondre à ces défis.
Elles ont été conceptualisées par le Cabinet Gartner avec les modèles SASE (2019) et SSE (2021).
SSE pour la sécurité
Le modèle SSE (Secure Service Edge) apporte une réponse pour protéger l’ensemble des actifs.
Il consiste à délivrer tous les mécanismes de protection (firewall, filtrage web, IDS, IPS, anti-malware, CASB, DLP, RBI, etc.) au travers d’une solution exécutée dans le Cloud et reposant sur une approche basée sur l’identité (Zero Trust Network Access).
Le maintien en conditions opérationnelles et les mises à jour sont réalisés par le fournisseur et ne requièrent aucune opération pour les équipes IT.
Avec ce type de solution, toutes les ressources de l’entreprise sont protégées vis-à-vis de l’Internet de façon pérenne.
SASE pour y ajouter le transport et la performance
Le modèle SASE vient compléter le modèle SSE en y intégrant l’accès et le transport. En plus des fonctionnalités SSE, le modèle SASE intègre tous les mécanismes d’accès SD-WAN, de routage, de transport sécurisé entre les sites de l’organisation, ainsi que tous les mécanismes d’optimisation de la performance : priorisation de flux et classes de service.
A l’instar du modèle SSE, le maintien en conditions opérationnelles et les mises à jour sont réalisés par le fournisseur et ne requièrent aucune opération pour les équipes IT.
Avec ce type de solution, toutes les ressources de l’entreprise qu’elles soient sur site ou en situation de mobilité sont protégées et accèdent aux applications internes et externes avec des garanties de performance.
SSE ou SASE ?
Pour une organisation disposant d’un site unique, le modèle SSE apporte une réponse adaptée aux enjeux de sécurité des ressources sur site et en situation de mobilité.
Le modèle SASE s’avère particulièrement adapté dès que l’entreprise dispose de plusieurs sites amenés à communiquer entre eux.
Il vient remplacer les infrastructures WAN traditionnelles de type MPLS ou IP VPN tout en apportant des garanties de performances similaires au MPLS.
« La mise en œuvre complète du modèle SASE permet aux entreprises de s’affranchir de toutes leurs infrastructures de réseau WAN et de sécurité périmétrique. C’est la cible ultime de la transformation qui va permettre de réduire au maximum les coûts, la complexité et la charge opérationnelle sur les équipes IT. Cependant, il est rare que les contrats WAN, les contrats de maintenance et les amortissements des solutions en place coïncident. C’est alors, que la mise en place de la première brique SSE s’avère pertinente pour apporter immédiatement le niveau de protection aux ressources de l’entreprise. Le passage au modèle SASE s’opère dans un second temps, à l’expiration du contrat WAN. » souligne Olivier PERICAT.
Le choix entre SSE et SASE dépend donc de la typologie d’entreprise et de l’analyse de son existant financier et contractuel.
« Les acteurs du SSE sont bien plus nombreux que ceux du SASE. Les clients doivent choisir une solution capable d’évoluer avec eux. Aussi, une organisation multisites qui démarre par un projet de sécurisation de ses flux Internet aura un intérêt à choisir une solution SSE capable d’évoluer nativement vers le SASE. Sans quoi, elle devra soit l’abandonner, soit l’interopérer avec une solution d’accès de type SD-WAN. Cette seconde option engendrera des coûts plus importants, une complexité technique, des performances moindres, un management multiple et une visibilité fragmentée. » précise-t-il.
Illustration avec la solution CATO Networks
Créée en 2015 avec comme vision la convergence des fonctions de transport et de sécurité dans le Cloud, CATO Networks a inspiré la conceptualisation du modèle SASE.
Disposant d’un backbone mondial d’environ 80 points de présence, le CATO Cloud transporte et sécurise plusieurs centaines de milliers de sites et plusieurs millions d’utilisateurs mobiles à travers le monde.
Pour accompagner la mutation des organisations, CATO Networks a décliné une offre SSE360, comme première étape d’une transformation vers le SASE.
Au travers de l’offre SSE360, les sites d’une organisation se connectent au CATO Cloud au travers de tunnels IPSec initiés depuis leurs propres infrastructures de sécurité. Les utilisateurs mobiles utilisent le client VPN CATO pour se connecter au point de présence CATO le plus proche.
Toutes les ressources se retrouvent alors protégées par l’ensemble des fonctionnalités de sécurité (firewall, filtrage web, IDS, IPS, anti-malware, CASB, DLP, RBI, etc.) et les équipes IT disposent d’un outil de management unifié offrant une vision complète des flux et permettant une gestion des accès aux ressources basée sur l’identité (Zero Trust Network Access).
Par la suite, il sera très simple d’évoluer progressivement vers la solution SASE en déployant des passerelles CATO, physiques sur les sites, et virtuelles sur les tenants Cloud Azure ou AWS afin de bénéficier des fonctionnalités de transport avancées SD-WAN.
Parmi les fonctionnalités de protection avancée délivrées par les offres SASE et SSE360 de CATO Networks, on retrouve le contrôle des applications Cloud (CASB) et la maîtrise des données (DLP).
En effet, plus de 97 % des applications Cloud utilisées dans les entreprises sont inconnues des équipes IT. Ceci représente près d’un millier d’applications pour une ETI et concerne 80 % des utilisateurs en moyenne.
De plus, 40% des organisations ont vécu une fuite de données dans les 12 derniers mois.
Ces deux briques deviennent incontournables.
Le CASB (Cloud Access Security Broker) se caractérise par deux éléments clés :
- La visibilité sur les applications SaaS / Cloud : connaître l’ensemble des applications Cloud et SaaS consommées au sein du réseau, qu’elles soient approuvées ou non (découverte du Shadow-IT) en associant un indice de risque.
- Le filtrage des activités dans les applications : une fois la visibilité complète obtenue, il est possible d’appliquer des règles d’usage aux différentes applications Cloud, en autorisant ou bloquant des activités au sein de ces applications : restreindre les logins d’accès à certaines apps, l’envoi ou la réception de fichiers, etc.
Le DLP (Data Loss Prevention) est quant à lui un mécanisme généralement lourd et complexe à implémenter. Les solutions SASE et SSE360 de CATO permettent de simplifier considérablement l’approche puisque le CATO Cloud possède déjà une visibilité complète sur tous les flux transitant sur le réseau. Il suffit de sélectionner le type de données à sécuriser (données personnelles, PCI DSS, santé, finance…) et d’appliquer les règles adéquates. Exemple de scénario concret : “interdire la diffusion de numéros de cartes de paiement ou d’informations bancaires sur les réseaux sociaux”.
L’ajout du CASB ou du DLP n’entraine aucune adjonction d’équipements. L’ensemble des flux sont déchiffrés une seule fois sur le point de présence CATO le plus proche pour appliquer tous les traitements de sécurité, offrant ainsi une protection et une visibilité unifiée.