Qu’est ce que le SASE ? Réseaux, cybersécurité

Le SASE, c’est quoi et à quoi ça sert ?

🎧 Vous avez moins de 10 mn ? Découvrez en audio l’essentiel à savoir sur le Secure Access Service Edge en écoutant notre podcast !

Vous souhaitez aller plus loin pour bien comprendre ce que peut vous apporter le SASE ?
C’est ici 👇

Depuis quelques temps, les professionnels monde des réseaux et de la cybersécurité se mettent à employer un nouvel acronyme : le SASE. Qu’est ce que c’est et pourquoi ce mot fait le Buzz ?
Nous avons posé la question à Patrick Szafir, Responsable de la Transformation Digitale, de la Sécurité et de l’International chez NXO France.

Voici ses explications :

SASE signifie Secure Access Service Edge

Le modèle SASE (Secure Access Service Edge), on prononce « sassy », est un modèle qui regroupe les besoins de sécurité et de réseaux des Entreprises. Il apporte une réponse aux problématiques d’orchestration SDN des réseaux étendus, notamment avec la mise en place des solutions de SDWAN, tout en prenant en compte les aspects Sécurité avec une approche Cloud.

Ce « concept » repris par le Gartner cherche à proposer une norme pour valider le fonctionnement complexe conjoint de toutes ces technologies :

Sase convergence, Synoptique NXO. Description du SASE vu du Gartner — Description du SASE. Source Gartner

Dans un modèle de traditionnel, les utilisateurs accèdent à leurs données en se connectant, via un réseau local ou privé, sur leurs Data Centers centralisés. Ce modèle ne répond plus aux contraintes des utilisateurs itinérants, répartis sur de nombreuses sites et agences, voire même en télétravail. En complément les Applications ne sont plus uniquement dans un Data Center centralisé, mais bien distribuées sur un ensemble de DataCenters privés et Public (Cloud avec par exemple les applications Microsoft 365).

Il faut garantir un accès uniforme et sécurisé pour l’accès aux ressources IT. C’est l’objectif du SASE.

Le modèle SASE regroupe de nombreuses fonctions de réseau et de sécurité qui étaient généralement proposées par des solutions en silos, dans un seul service cloud intégré. En consolidant leur infrastructure avec une solution SASE, les entreprises profitent des bénéfices suivants :

Une réduction des coûts et une simplification des processus
Une orchestration centralisée et une optimisation des applications en temps réel
Un accès fluide et sécurisé pour les utilisateurs
Un accès sécurisé à distance et mobile
Une limitation des accès en fonction de l’identité de l’utilisateur, de l’équipement et de l’application
Un renforcement de la sécurité par l’application d’une politique cohérente
Une amélioration de l’efficacité des collaborateurs chargés de la sécurité et du réseau grâce à une gestion centralisée

Quels sont alors les composants du SASE ?

SASE reprend dans un premier temps l’ensembles des fonctionnalités apportées par le SDWAN, on y trouve en particulier :

Les fonctions réseau WAN avancées, telles que la sélection dynamique des chemins en s’appuyant sur des critères de QOS ou de disponibilité des liens pour améliorer l’expérience utilisateur tout en gardant un contrôle centralisé sur les règles, les applications et le reporting de bout en bout.
Des CPE physiques et virtuels (qui peuvent être notamment déployés au plus proche des applications Cloud).
La capacité de reprendre avec une gestion centralisée la gouvernance et le choix des fournisseurs de réseaux WAN
L’optimisation des performances applicatives pour améliorer l’expérience utilisateur en apportant continuité de service, voir bande passante à la demande.
L’utilisation de solutions ZTP (Zero Touch Provisionning ou préintégration) pour simplifier le déploiement, la création, la gestion, l’exploitation et le reporting des « Branch Offices ».
La réduction des coûts d’exploitation avec une gestion centralisée, simplifiée et performante.
L’adapter en temps réel aux contraintes techniques organisationnelles et applicatives.

En complément au niveau Sécurité, SASE intègre :

Une appliance ou Pare-feu (basé sur cloud) FWaaS : pour protéger les utilisateurs interne et externe. Ceci via des règles de sécurité communes quel que soit les lieux et moyens d’accès des utilisateurs. Un FWaaS protège les plates-formes, les infrastructures et les applications basées sur le cloud contre les cyberattaques. Contrairement aux pare-feux traditionnels, le FWaaS est en réalité un ensemble de dispositifs de sécurité regroupant le filtrage d’URL la protection contre les intrusions et la gestion des politiques de sécurité sur l’ensemble du trafic réseau.

Des Passerelles Internet (SWG) pour lutter contre les attaques et les fuites de données en filtrant les contenus indésirables qui proviennent d’Internet, en bloquant les comportements indésirables des utilisateurs et en appliquant les politiques de sécurité globales.

Un service CASB (Cloud Access Security Broker), qui est un type de logiciel qui permet de sécuriser les applications SaaS des entreprises (Salesforce, Box,…) et IaaS (OCI, AWS, Azure,..) de manière à sécuriser l’ensemble des données. Un CASB permet de sécuriser les données de bout en bout, depuis le Cloud au périphérique :

visibilité sur l’utilisation des applications cloud de l’entreprise et détection du shadow IT
analyse des comportements utilisateurs (UEBA)
contrôle des accès utilisateurs
conformité : application des politiques de sécurité et aide à la mise en conformité avec le RGPD
alerte sur les menaces de sécurité
détection des malwares, etc.

Un mode Zero Trust (ZTNA Zero Trust Network Access) qui est un modèle de sécurité qui vise à ne faire confiance à personne par défaut, en gérant l’autorisation d’accès au niveau de l’application et non au niveau de l’accès au réseau comme le propose le VPN (Virtual Private Network). Le ZTNA permet donc de donner des accès sécurisés au système d’information à tout type d’utilisateurs (collaborateurs ou prestataires externes), pour tout type d’usage (interne à l’organisation, télétravail, mobilité, astreinte, infogérance, etc.), de façon beaucoup plus sécurisée que le VPN.

SASE renvoie avant tout à la sécurisation de l’accès. En plus de la connectivité, chaque stratégie SASE doit inclure un ensemble fondamental d’éléments de sécurité essentiels :

Cloud delivered Sase - NXO. Source : Fortinet — Synoptique SASE. Source : Fortinet et Gartner

En résumé, le modèle SASE place les dispositifs de contrôle du réseau à la périphérie du cloud et non dans le DataCenter de l’entreprise. Au lieu de superposer des services cloud nécessitant une configuration et une gestion distincte, le modèle SASE simplifie les services réseau et de sécurité afin de créer une périphérie de réseau sûre et homogène.

Pourquoi le SASE devient de plus en plus nécessaire ?

Comme nous l’avons vu précédemment, SASE permet de disposer d’un accès sécurisé, peu importe où sont physiquement leurs utilisateurs et les applications.

La mobilité et la disponibilité devient une force et permet de disposer des ressources (utilisateurs, applications, machines, …) nécessaires simplement et de manière sécurisée.

Et donc plus précisément, SASE va apporter :

Réduction du coût total de possession. SASE regroupe plusieurs solutions de sécurité Cloud pilotées via un point central. Cette approche permet de faire appel à moins de fournisseurs et de consacrer moins de temps, d’argent et de ressources internes à la configuration et à l’entretien d’une infrastructure physique.
Réduction de la complexité. Au lieu de jongler avec plusieurs politiques s’appliquant à plusieurs solutions distinctes, SASE permet de définir, surveiller, ajuster et appliquer des politiques d’accès pour tous les emplacements, utilisateurs, appareils et applications à partir d’un seul portail.
Sécurité flexible et cohérente. SASE s’appuie essentiellement sur un modèle de sécurité de type Zero Trust, qui ne permet pas aux utilisateurs d’accéder aux applications et aux données tant que leur identité n’a pas été vérifiée. Lors de l’élaboration de politiques d’accès, l’approche SASE ne tient pas seulement compte de l’identité d’une entité, mais aussi de facteurs tels que l’emplacement de l’utilisateur, l’heure de la journée, les règles de sécurité de l’entreprise, les politiques de conformité et une évaluation continue des risques et de la confidentialité.
Optimisation des performances. Via L’ensemble des mécanismes de gestion centralisée et d’optimisation des flux apporté par la mise en place d’une solution de type SDWAN.

Quelles sont les offres Sase disponibles ?

Comme décrit précédemment, l’ensemble de l’écosystème informatique est désormais connectés avec migration des applications de plus en plus vers le Cloud et des utilisateurs répartis entre bureau, sites distants et télétravail.

Les aspects réseaux de connexion intelligent de type SDWAN et la sécurité de l’ensemble de la chaine sont désormais couplés et obligatoire.

Sase Internet Cloud - NXO. Situations, localisation

Maintenant fournir les accès de manière intelligente et sécuriser l’ensemble, ce n’est pas simple pour tout le monde, surtout qu’il ne s’agit plus de sécuriser les sites (avec des Pare-Feux classiques) mais globalement avec des environnements, des applications physiques, virtuelles et directement sur le réseau Internet.

Pour répondre à ces nouvelles problématiques, les acteurs traditionnels qui proposent SDWAN et/ou sécurité ne sont pas tous armés de la même manière.

Les acteurs SDWAN intègrent généralement des capacités de sécurisation des sites et des individus. C’est le cas par exemple de Cisco, Versa, Fortinet. Mais pour faire la sécurisation SASE Cloud décrite, il faut ajouter une brique SECURITE complémentaire. C’est d’ailleurs déjà le cas pour les acteurs SDWAN qui n’ont pas de solution de sécurité « embarquée » comme SilverPeak par exemple et donc s’appuient sur un tiers reconnu pour le faire. On retrouve alors des solutions complémentaires chez Zscaler, Checkpoint, Netskope ou Umbrella pour les plus connus.

Dans ce modèle on aura au moins 2 plateformes de management. Une pour l’orchestration du SDWAN et une seconde pour la gestion et le management de la Sécurité. Les 2 orchestrations sont interconnectées afin d’assurer le service de bout en bout.

L’importance dans l’association des 2 modèles est que pour être cohérent au modèle SASE, l’ensemble des services doit être administrable de manière centralisée et unique.

Cela signifie que sur les équipements SDWAN (physiques & virtuels) de la solution, les technologies SDWAN & Sécurité choisies doivent fonctionner ensemble sur cette plateforme, soit directement dans l’équipement de proximité soit en montant un tunnel sécurisé depuis le routeur vers l’orchestrateur Sécurité pour assurer le fonctionnement.

Les acteurs Sécurité disposent de toutes les solutions pour la sécurisation globale des sites, des utilisateurs et du Cloud. Mais pour la plupart l’ensemble de ces solutions sont réalisées par des équipements (ou logiciels) différents avec des exploitations différentes fonction par fonction.

Le modèle Sécurité SASE qui intègre l’ensemble des solutions n’existe pas encore à ce jour. Le principe est comme décrit précédemment avec l’association des orchestrations SDWAN & Sécurité, sur une association de solutions.

Quels sont le positionnement et la valeur ajoutée de NXO ?

Depuis la mise en place du SASE plébiscité par le Gartner dès 2019, où ce dernier estime que d’ici à 2024, au moins 40% des entreprises auront mis en place du politique de type SASE pour la gestion des politiques de sécurité et d’accès aux réseaux, cette approche est une manne pour toutes les éditeurs de solution de sécurité pour faire adopter leurs solutions. En complément l’ensemble des éditeurs de solutions SDWAN poussent la solution pour conforter besoin des entreprises et stratégie.

D’ici à 2024, au moins 40% des entreprises auront mis en place du politique de type SASE
Gartner

Maintenant toutes les solutions disponibles ne se valent pas et ne sont pas forcément adaptée aux environnements et contraintes des entreprises.

NXO se positionne depuis toujours dans un rôle de conseil, à l’écoute et l’accompagnement de ses clients, partenaires et prospects pour la mise en place des solutions d’Infrastructure et de Sécurité.

Cette approche est aujourd’hui déclinée avec le SASE où nous avons fait « merger » nos 2 laboratoires SDWAN et Sécurité de veilles et d’analyse des solutions du marché afin de valider et accompagner nos partenaires et clients :

Synoptique offres réseaux et infrastructures digitales NXO — Les offres d’infrastructures digitales NXO

Nos solutions d’infrastructures digitales couvrent l’ensemble des blocs technologiques nécessaires à la construction d’une solution performante, fiable, virtualisée et automatisée.

Nous intervenons des étapes amont de conseil technologique jusqu’aux phases d’exploitation des infrastructures, ceci en proposant déjà le meilleur des mondes entre Réseaux, Orchestrations (Campus, DataCenter, WAN) et donc SDWAN.

En complément nos solutions couvrent le spectre complet des technologies de la sécurité. Nos spécialistes maîtrisent les technologies d’analyse des menaces (« threat intelligence »).

Synoptique offres de cybersécurité NXO — Les offres de cybersécurité NXO

Conclusion

En conclusion avec l’aide de NXO, les Entreprises pourront migrer en douceur du modèle traditionnel vers le nouveau modèle global d’accès sécurisé et de pilotage du réseau. Les nouveaux projets intégrant obligatoirement les contraintes télécom et sécurité le rapprochement des toutes les équipes devient incontournable.

Maintenant chaque client, chaque application, chaque architecture est différente et il faut prendre le temps de l’analyse entre l’existant et le modèle futur d’orchestration unique pour l’ensemble des besoins. Ceci via un accompagnement d’experts des domaines.

Qu’est ce que la SASE ?
Patrick Szafir, Responsable de la Transformation Digitale, de la Sécurité et de l’International chez NXO

Pour aller plus loin

Enquête : évaluez-vous sur les bénéfices du SASE pour votre entreprise

En remplissant cette enquête, générez votre guide personnalisé sur les bénéfices du SASE grâce à NXO et Cisco

Découvrir l’offre

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
JSESSIONID	session	The JSESSIONID cookie is used by New Relic to store a session identifier so that New Relic can monitor session counts for an application.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durée	Description
__cf_bm	30 minutes	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
bcookie	2 years	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
bscookie	2 years	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.

Cookie	Durée	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_01CQSTSNYF	2 years	This cookie is installed by Google Analytics.
_gat_gtag_UA_92794824_2	1 minute	Set by Google to distinguish users.
_gat_UA-92794824-2	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
ln_or	1 day	Linkedin sets this cookie to registers statistical data on users' behaviour on the website for internal analytics.
pardot	past	The pardot cookie is set while the visitor is logged in as a Pardot user. The cookie indicates an active session and is not used for tracking.

Cookie	Durée	Description
DEVICE_INFO	5 months 27 days	YouTube: Utilisé pour suivre l'interaction de l'utilisateur avec le contenu intégré.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
lpv983551	30 minutes	Ce cookie empêche le suivi de chaque rechargement en tant que vue de page.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
visitor_id983551	1 year	Le cookie visiteur inclut un identifiant unique de visiteur et l'identifiant unique de notre unité commerciale.
visitor_id983551-hash	1 year	Ce cookie est une mesure de sécurité qui empêche un utilisateur malveillant de se faire passer pour un visiteur et d’accéder aux informations du prospect correspondant.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Durée	Description
AnalyticsSyncHistory	1 month	No description
li_gc	2 years	No description
SGPBShowingLimitationPage65978	session	No description
SGPBShowingLimitationPage68398	session	No description

Qu’est-ce que le SASE ?