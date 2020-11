Oublions les anciens modèles pour accompagner la vague du télétravail !

novembre 2020 par Nathan Howe, responsable EMEA de la stratégie de transformation chez Zscaler

Nathan Howe, responsable EMEA de la stratégie de transformation chez Zscaler, revient sur le travail à distance, l’irruption du Cloud et les applications collaboratives qui ont provoqué une onde sismique dans notre façon de travailler, modifiant profondément nos habitudes et les processus des entreprises.

Pour gérer avec succès cette transition, la sécurité de l’information doit être repensée avec en ligne de mire une main-d’œuvre résolument et, désormais durablement, mobile. Ce qui fait dire à l’analyste Gartner que les solutions de sécurité doivent migrer du réseau, où elles sont aujourd’hui, à la périphérie – et donc plus près de l’employé. Et c’est justement toute la philosophie du modèle SASE.

L’époque où seuls les véritables « road warriors », ces nomades numériques permanents, profitaient vraiment de l’agilité offerte par l’accès mobile aux applications du bureau est révolue. Les pandémies, les catastrophes météorologiques ou les grèves générales nous ont tous amenés à considérer les avantages du bureau à domicile, ce qui a renforcé la popularité du travail à distance sur de longues périodes et de manière massive.

Pour soutenir ces nouvelles façons de travailler, les entreprises doivent être en mesure de fournir à leurs employés, où qu’ils se trouvent dans le monde, un accès totalement sécurisé aux applications dont ils ont besoin. L’objectif principal est de permettre aux employés d’accéder aux applications de manière sûre et fluide, sans aucun obstacle et par le chemin le plus direct et le plus efficace. Aujourd’hui déjà, quel que soit l’endroit où se trouve l’utilisateur mobile, lorsqu’il accède à une application dans un réseau ou un environnement multicloud, la sécurité et la rapidité sont les priorités absolues. Mais cela peut pousser les architectures de réseau traditionnelles aux limites de leurs capacités. Nous devons alors envisager de passer d’une infrastructure informatique centrée sur le réseau à une infrastructure centrée sur l’utilisateur et, ce faisant, réaligner notre architecture réseau et nos priorités en matière de sécurité.

De nouvelles exigences pour les environnements de travail

Pour réaliser cette vision de rapidité et de sécurité, il est essentiel que la DSI soit prête à changer ses mentalités. Car dans un modèle SASE, les données de l’entreprise seront distribuées via des applications Cloud extérieures à celle-ci, à travers des fournisseurs de services tiers avec lesquels elle n’a aucun contact, et les utilisateurs travailleront depuis une multitude d’endroits différents qui ne sont pas sous son contrôle. De fait, la migration des systèmes essentiels à l’entreprise vers le cloud nécessite que celle-ci repense la manière dont les employés peuvent y accéder. Et l’accès à Internet à bas prix en tout lieu devenant rapidement la norme, les attentes des employés en termes de vitesse et d’accès pratique et illimité aux applications évoluent.

Toutefois, lorsque les entreprises font de l’internet leur nouveau réseau « local », leurs employés sont également exposés à des risques nouveaux, face à une cybercriminalité en constante évolution. L’effet le plus visible de ce changement est l’évolution du rôle de la sécurité, qui s’éloigne de la vérification et du contrôle (mode réactif) pour s’orienter de plus en plus vers la minimisation des risques.

Ainsi lorsque les applications sont hébergées dans le datacenter de l’entreprise, l’équipe informatique connaît intimement les systèmes techniques qui fournissent chaque service, et elle en garde le contrôle total. Mais une fois que ces applications quittent le centre de données et que les utilisateurs sont libérés des confins du LAN, la nature des responsabilités change ! L’objectif n’est plus alors simplement de sécuriser le réseau grâce à une infrastructure de sécurité basée sur le périmètre et à l’administration du matériel, mais de fournir une expérience d’accès complète et sécurisée à toutes les applications, quel que soit leur lieu d’hébergement, et donc potentiellement sur des systèmes d’information que l’entreprise ne maîtrise pas. Seule une approche globale entre le réseau et la sécurité au plus près de l’utilisateur peut permettre d’y parvenir en conservant au RSSI toute sa santé mentale !

Et c’est précisément pour cela que l’analyste Gartner a développé un nouveau modèle associant réseau et sécurité capable de répondre aux besoins des entreprises engagées dans leur transformation numérique. Le modèle SASE (Secure Access Service Edge) combine des capacités WAN complètes avec une série de fonctions de sécurité réseau (telles que la passerelle web sécurisée, le pare-feu en mode SaaS, le CASB pour l’accès contrôlé aux ressources Cloud et le modèle dit « Zéro Trust », ou ZTNA).

La sécurité se déplace du réseau à l’utilisateur

Plutôt que de tenter d’utiliser un concept traditionnel pour résoudre un problème moderne, le SASE bouleverse l’ordre des choses. Alors que les approches dites traditionnelles se concentrent sur la sécurisation des applications au sein d’un réseau bordé par un périmètre à défendre, SASE met l’accent sur l’utilisateur et les solutions de sécurité protégeant les différentes routes vers les applications auxquelles il souhaite accéder, et cela aussi bien dans des environnements multicloud privés que publics ou dans le LAN.

Dans ce cadre, le trafic de données est sécurisé tout au long de son trajet entre un utilisateur et une application, quel que soit le lieu où il se trouve et l’endroit où l’application est hébergée. Le facteur de différenciation crucial est le bord (« edge », en anglais), qui fait référence à ce à quoi l’utilisateur souhaite accéder, et non à l’endroit où il se trouve actuellement. Cette approche signifie que la sécurité est garantie à tout moment, et non pas seulement en fonction du réseau où se trouve l’utilisateur ou du dispositif qu’il exploite.

Ce type de solutions de sécurité peut être fourni via un Cloud de transit qui surveille le cheminement de l’utilisateur depuis la demande initiale jusqu’à l’application. Une telle plateforme de sécurité dans le nuage — utilisée pour mettre en œuvre les politiques de sécurité qui s’appliquent au trafic de données entre l’utilisateur et l’application — est d’ailleurs l’une des composantes importantes du modèle SASE.

Ainsi, la fonction de sécurité n’est plus centrée sur un lieu physique ; elle est plutôt hébergée dans le nuage, là où les filtres et les directives peuvent être appliqués au trafic de données entrant et sortant entre l’utilisateur et l’application en temps réel et en continu. Il s’agit alors désormais de connecter les utilisateurs aux applications via un accès réseau dit « zéro confiance » (ZTNA). Le ZTNA garantit que seuls les utilisateurs qui sont autorisés à accéder à une application peuvent effectivement y accéder, peu importe leur localisation. Les autorisations sont définies dans des directives qui sont mises en œuvre via le nuage de sécurité, permettant une microsegmentation au niveau de chaque application individuelle. Une telle approche supprime ainsi le besoin d’un accès complet à un réseau, souvent source de compromissions multiples dans les cyberattaques.

Se concentrer sur l’expérience de l’utilisateur

Jusqu’à présent, les utilisateurs travaillaient sur des réseaux d’entreprises et les applications auxquelles ils accédaient étaient hébergées dans les centres de données de cette dernière. Les serveurs et l’infrastructure informatique étaient donc du ressort de la DSI. Dans un tel modèle, il est facile de contrôler l’expérience de l’utilisateur. Cependant les applications et les données sont désormais souvent réparties dans plusieurs environnements Cloud, à l’extérieur. Mais la DSI les rend encore souvent accessibles de manière traditionnelle via des connexions VPN, pour ensuite ressortir vers l’application Cloud. Cette approche nécessite un détour vers le datacenter, ce qui prolonge forcément le chemin de l’utilisateur vers l’application.

Pour établir une connexion Internet directe pour chaque site, le modèle SASE s’appuie sur d’autres technologies réseau émergentes, telles que le SD-WAN. Le fait que chaque site d’entreprise soit un point indépendant réduit le besoin de déviations et d’itinéraires indirects, et permet la mise en œuvre d’un concept de sécurité basé sur le cloud. Les points de peering entre les fournisseurs d’applications et les fournisseurs de services dans le nuage peuvent également être utiles pour garantir une faible latence et permettre à l’utilisateur d’être connecté à l’application requise par la route la plus directe.

En associant toutes ces approches connues dans un modèle radicalement nouveau, le SASE est l’outil parfait pour gérer les défis que posent les nouvelles organisations du travail et nos emplois de plus en plus connectés. Grâce à cette approche, outre un accès plus rapide et plus efficace aux services dans le Cloud, les entreprises bénéficient également d’une sécurité informatique renforcée, avec des coûts et une complexité moindres, une charge d’administration réduite et la mise en œuvre centralisée de nouvelles politiques de contrôle dans tous les systèmes. Ainsi, les DSI sont non seulement en mesure d’offrir une expérience utilisateur rapide et sécurisée, mais aussi de retrouver une vue d’ensemble sur tous les flux de données de l’entreprise via une plate-forme unique dans le Cloud, ce qui leur permet de faire d’Internet le nouveau réseau local de l’entreprise, une approche essentielle lorsque les employés sont de moins en moins souvent au bureau !