Transformation SASE par CATO Networks & SASETY Retour d’expérience

février 2023 par Marc Jacob

1. Rappel du contexte

La transformation numérique se traduit par deux phénomènes majeurs : d’une part, l’adoption massive des infrastructures et des applications délivrées dans le Cloud et d’autre part, l’explosion de la mobilité, du télétravail et des besoins de collaboration à distance.

Les applications, les données et les utilisateurs sont désormais éparpillés aux quatre coins de la planète, sur des réseaux et des infrastructures dont les équipes IT n’ont pas la maîtrise complète.

Pire encore, les nouveaux usages engendrent une augmentation de la surface d’attaque puisque de plus en plus de ressources se retrouvent directement exposées sur Internet.

Garantir la performance et maîtriser la sécurité du système d’information sont devenus un véritable casse-tête pour les équipes IT.

Pour tenter de répondre aux besoins métiers, les organisations ont d’abord multiplié les solutions technologiques (passerelles VPN, SD-WAN, FW, boitiers d’accélération, etc.) engendrant des coûts importants d’acquisition et de maintien en conditions opérationnelles et générant une forte complexité et peu de visibilité globale.

Le résultat est sans appel : chaque jour en France, trois intrusions dans les systèmes d’information sont enregistrées par l’ANSSI.

2. Modèle SASE

Pour répondre à ces enjeux de performance et de sécurité, le cabinet Gartner a introduit en 2019 le modèle SASE (Secure Access Service Edge).

Il consiste à s’appuyer sur une architecture de réseau et de sécurité de nouvelle génération, qui permet aux organisations de connecter de façon sécurisée n’importe quel utilisateur à n’importe quelle application, partout dans le monde.

Le SASE combine au sein d’une même solution exécutée dans le Cloud :

– Les capacités de transport des données privées

– Toutes les fonctions de sécurité nécessaires : pare-feu, passerelle web, passerelle Cloud et contrôle des données échangées

L’unification complète de ces fonctions au sein d’une même solution permet de garantir la politique de sécurité de l’entreprise selon l’approche Zero Trust.

Le regroupement de différentes solutions de sécurité dans un seul et même service intégré simplifie considérablement l’infrastructure informatique, facilite sa gestion et élimine les frais liés à l’achat séparé de solutions disparates.

Au final, ce modèle améliore la détection des menaces et la protection des données dans la mesure où les fonctions de sécurité sont gérées par une solution unifiée.

À travers ces éléments, l’approche SASE est donc une brique unique qui est de plus en plus appréciée par les décideurs informatiques en quête d’infrastructures de confiance pour mener à bien leur mutation vers le Cloud. D’ici à 2024, on estime que plus de 40 % des organisations utiliseront le Cloud pour transporter et sécuriser leurs données.

3. CATO Networks

Dès son lancement, SASETY a fait le choix de CATO Networks pour délivrer les services SASE de ses clients. Pionnière dans l’implémentation du modèle SASE depuis sa création en 2015, la société CATO Networks est le seul acteur capable aujourd’hui de délivrer de façon unifiée les services de transport et de sécurité sur l’ensemble de la planète. Disposant d’un réseau privé mondial interconnectant près d’une centaine de points de présence (PoPs), la solution CATO Cloud offre une capillarité unique pour optimiser les performances et assurer la sécurité des flux des organisations.

Olivier PERICAT, CTO de SASETY : « Que ce soit pour interconnecter leurs sites ou leurs utilisateurs mobiles aux applications de l’entreprise, nos clients n’ont plus besoin de déployer d’équipements, de monter des solutions complexes et coûteuses, ni de souscrire à des circuits vers leurs fournisseurs de Cloud. Un à deux accès Internet par site pour l’agrégation des débits et la redondance suffisent pour permettre l’accès à toutes les fonctions de transport et de sécurité. Les PoPs de CATO Networks sont colocalisés dans les centres d’hébergement carrier class des grands fournisseurs de Cloud offrant des temps de transit et des débits excellents. »

4. Principaux cas d’usage

4.1 Accès Cloud

L’un des principaux cas d’usage est le besoin de performance d’accès aux infrastructures et aux applications Cloud.

Deux cas de figure sont rencontrés. Le premier concerne des clients disposant d’un réseau privé virtuel de type MPLS ou IP VPN dont la sortie Internet est concentrée en un point unique, en cœur de réseau opérateur ou sur l’un de ses centres d’hébergement.

Ce type d’architecture limite la performance d’accès à Internet et au Cloud car la bande passante des accès est mutualisée à l’ensemble des flux. Les règles de classification des applications sont limitées et la priorité est en général donnée aux flux critiques internes et à la téléphonie. Enfin, la centralisation des flux Internet en un point unique induit des temps de transit conséquents et requiert un dimensionnement et une disponibilité importants. Les circuits mis en place par exemple vers Azure ou AWS permettent d’optimiser l’accès à leurs services mais ils sont onéreux et n’apportent pas de réponse à tous les cas d’usage Cloud.

Le second cas de figure concerne les organisations qui ont introduit la technologie SD-WAN sur leurs sites en utilisant un ou plusieurs accès Internet. L’évasion locale mise en place pour les applications Cloud permet de bénéficier de la bande passante Internet disponible. Néanmoins, la diversité des opérateurs Internet entre l’utilisateur et les solutions Cloud n’est pas maîtrisable par les clients et aucun mécanisme de priorisation ou d’optimisation ne peut être mis en œuvre de bout en bout.

Pour les utilisateurs en situation de mobilité ou de télétravail, les flux Cloud sont acheminés vers des concentrateurs centralisés, à l’instar des sites IP ou MPLS VPN ou directement orientés sur la connexion Internet de l’utilisateur engendrant les mêmes limitations de performance de bout en bout.

Jérôme BEAUFILS, CEO de SASETY « En connectant les sites et les utilisateurs mobiles au CATO Cloud, les flux de nos clients sont transportés à l’intérieur du réseau privé de CATO Networks avec une performance garantie jusqu’aux centres de données hébergeant les infrastructures ou les applications des fournisseurs Cloud. Les flux peuvent être priorisés par application et par cas d’usage métier et la sécurité est gérée de bout en bout par l’analyse des flux et la gestion des identités. »

Anthony GACHET, Responsable IT de BAKER TILLY « Grâce à cette solution, il est désormais possible de bénéficier de flux Cloud performants et sécurisés. Tous les collaborateurs peuvent travailler en toute sécurité sur site ou en mobilité avec le client VPN. Nous n’avons plus à gérer d’infrastructures en datacenter car les accès des sites sont directement collectés dans le ring CATO Networks. Enfin et surtout, nous disposons désormais d’une métrologie applicative complète qui nous permet de maîtriser la performance de nos environnements, d’analyser le trafic et même de détecter des problèmes ou des attaques. »

4.2 Echanges internationaux

Les entreprises internationales ont de plus en plus besoin de performance entre leurs sites pour répondre aux besoins de production et de collaboration de leurs équipes.

Equipées jusqu’alors principalement de réseaux MPLS ou IP VPN, elles sont souvent confrontées à des problèmes de performance entre les sites.

Les nombreuses entreprises françaises présentes en Chine sont également bridées par la réglementation en vigueur en matière d’usages Internet, rendant souvent inutilisables les applications « corporate », en particulier les solutions de collaboration.

Charles-Frédéric HONG, Responsable Infrastructures et Opérations d’ACRELEC « La collaboration entre nos équipes françaises et chinoises sur notre solution de C.A.O. était très limitée avec la solution VPN MPLS en place. En quelques minutes, nous avons monté une maquette avec SASETY qui a raccordé notre site chinois et notre site en Ile de France sur les PoP CATO Networks les plus proches et aussitôt nous avons été en mesure d’échanger en temps réel nos plans à plusieurs dizaines de Mbps. A l’issue de ce test, nous sommes passés directement en production ».

Nicolas LAGARDERE, Responsable Système d’Information de MECADAQ « Le réseau privé mondial de CATO Networks nous permet de rationaliser nos infrastructures distribuées en les centralisant en France tout en assurant une excellente qualité de service à nos équipes outre-Atlantique »

4.3 Accès mobiles

L’explosion de la mobilité amène les organisations à repenser l’accès au système d’information.

Jusqu’alors, les utilisateurs se connectaient à un concentrateur VPN ou à un portail d’applications internes publiées, la plupart du temps centralisé en traversant différents opérateurs Internet. Ce mode de fonctionnement, compatible avec un usage ponctuel, s’avère inadapté pour une utilisation intensive de type télétravail.

Olivier PERICAT « En se connectant dynamiquement sur le POP CATO Networks le plus proche au travers de leur client ZTNA (Zero Trust Network Access) installé sur leur poste ou leur smartphone, les utilisateurs rentrent au plus tôt dans le réseau privé mondial de CATO Networks et leurs flux y transitent jusqu’à l’application interne ou Cloud recherchée. La performance est optimale aussi bien pour des applications requérant des débits importants que pour des applications transactionnelles très sensibles à la latence ».

David ANCELOT, Directeur des Systèmes d’Information de SUPERGROUP « En choisissant cette solution, nous avons à la fois répondu aux besoins de performance de nos utilisateurs sur le terrain tout en maîtrisant la sécurité au travers de l’approche granulaire du Zero Trust Networks Access. Chaque utilisateur n’a accès qu’à ses applications même lorsqu’il revient au bureau. »

Anthony GACHET « La solution étant interconnectée avec notre Azure Active Directory (SSO & Provisioning), nous pilotons automatiquement le cycle de vie de nos comptes utilisateurs, ce qui constitue un gain de temps important pour les équipes ».

Par ailleurs, les utilisateurs mobiles bénéficient du même niveau de sécurité que sur les sites. Les flux sont analysés et historisés et les utilisateurs sont protégés contre les tentatives d’intrusion et les logiciels malveillants. Les droits d’accès aux applications sont rattachés à des utilisateurs (ou des groupes), quelle que soit leur localisation géographique, et non à des adresses IP.

4.4 Sécurité d’accès au système d’information

Pour faire face au risque d’attaque, le réflexe de beaucoup d’organisations a été de multiplier les solutions de sécurité. Les attaques constatées sur toutes les tailles d’organisation démontrent l’inefficacité de cette approche. En effet, l’empilement des solutions augmente la complexité d’intégration, de maintien en conditions opérationnelles et multiplient les interfaces de gestion et d’analyse.

Le modèle SASE apporte une unification de ces fonctions de cyberdéfense, un pilotage et une supervision unifiés.

Olivier PERICAT « Au sein du CATO Cloud, les sites, les utilisateurs et les infrastructures sont protégés en permanence et de façon uniforme contre les intrusions et les logiciels malveillants. Aucun déploiement n’est nécessaire et les mises à jour sont réalisées automatiquement par CATO Networks sur tous les composants de l’infrastructure. »

David ANCELOT « Les mises à jour de sécurité ne nécessitent aucune action de la part des équipes. Nous recevons chaque semaine la liste des nouvelles vulnérabilités pour lesquelles CATO Networks a mis en place une protection. Même si certaines peuvent concerner nos ressources, nous n’avons pas d’urgence à les mettre à jour puisque nous sommes protégés par la solution aussi bien depuis l’externe que depuis nos autres sites. De plus, nous avons accès en temps réel à l’ensemble des évènements de sécurité, ce qui nous permet de mesurer l’efficacité de cette protection ».

5. Importance du dernier kilomètre

La capillarité du réseau de Points de Présence constitue un élément clé pour capturer le trafic au plus proche des utilisateurs et des sites de l’organisation et l’acheminer à haut débit au travers du réseau privé jusqu’aux applications.

Avec sa centaine de points de présence et ses interconnexions avec les principaux opérateurs nationaux, CATO Networks permet aux clients d’être libres dans le choix des accès Internet pour leurs sites.

En fonction de leur criticité, plusieurs accès peuvent être déployés sur les sites.

Jérôme BEAUFILS « La plupart du temps, nos clients disposent déjà d’un accès Internet sur leurs sites. Lorsqu’il est nécessaire de le sécuriser, nous les accompagnons afin qu’ils sélectionnent un deuxième accès qui reposera sur un opérateur d’infrastructure et de transit Internet complètement distincts du premier. C’est un élément essentiel car les incidents ne concernent pas seulement la boucle locale. Le transit Internet d’un opérateur peut également être impacté par un incident ou dans le cadre d’une maintenance et dans ce cas, la connectivité globale du site peut être interrompue. »

Anthony GACHET « Dans le cadre de notre projet nous souhaitions offrir plus de bande passante aux métiers en éliminant les accès cuivre. En moins de cinq mois avec SASETY nous avons déployé sur près de 60 sites deux fibres en répartition de charge et en haute disponibilité, lorsque la technologie FTTH était disponible, sinon une combinaison de fibres et de backup 4G ».

David ANCELOT « Sur nos centres logistiques qui produisent en permanence, nous avons cumulé jusqu’à trois accès d’opérateurs différents : une fibre garantie, une fibre FTTH à faible coût mais sans garantie et un backup 5G ».

Olivier PERICAT « Les accès Internet de nos clients font partie intégrante de notre supervision 24x7. Peu importe qu’ils aient été souscrits au travers de SASETY ou localement, la solution de CATO Networks permet d’identifier tout incident ou dégradation de qualité, de mener automatiquement les reconfigurations techniques nécessaires et d’alerter les équipes opérationnelles. Nous pilotons la résolution des incidents directement avec les opérateurs, notamment pour des clients qui nous délèguent la gestion opérationnelle de leurs contrats. »



6. Mise en œuvre de la transformation

6.1 Lancement du projet

En engageant l’étude d’une transformation SASE, les organisations cherchent à répondre à un ou plusieurs des enjeux suivants :

– Résoudre les problèmes de performance réseau

– Améliorer la visibilité sur les flux

– Gagner en agilité dans la mise en œuvre des changements et la création de nouveaux sites

– Mieux maîtriser la sécurité

– Réduire les coûts

Pour rendre cette transformation possible, elles profitent d’une des opportunités suivantes :

– Renouvellement de contrat opérateur

– Rafraichissement réseau ou sécurité

– Projet métiers, par exemple le déploiement d’une application Cloud nécessitant de repenser les infrastructures de transport et de sécurité

La première étape de l’étude consiste à établir une vision des périmètres techniques, contractuels et financiers des infrastructures en place.

6.2 Trajectoire de transformation

La connaissance précise de l’existant permet de construire la trajectoire de transformation à 1 à 3 ans en répondant aux facteurs clés de succès fonctionnels et financiers.

6.2.1 Définition de la trajectoire

Olivier PERICAT « Chaque projet est unique. Certains clients profitent de la fin de leur contrat WAN pour déployer la première brique SD-WAN et la sécurité des flux Internet et inter-sites de la solution. Puis, ils basculent progressivement les fonctions de sécurité au rythme du cycle de vie de leurs solutions existantes.

Pour d’autres, le projet démarre sous l’angle de la mobilité ou de services de sécurité SSE (Secure Service Edge) de type Firewall, Proxy, IPS, Anti-malware ou encore CASB et DLP pour piloter les applications Cloud et maîtriser la nature des données échangées. Dans ce cas, nous délivrons les services en nous appuyant sur leurs infrastructures WAN existantes que nous raccordons au CATO Cloud. Puis, au rythme de la fin des engagements WAN, nous basculons chaque site sur le CATO Cloud et mettons en place les fonctionnalités SD-WAN. »

Cette approche fine de la transformation évite aux clients de SASETY de cumuler les coûts entre les solutions tout en garantissant une migration sans impact sur la production.



6.2.2 Hybridation et migration

Tout projet démarre par la mise en place d’un site pivot qui correspond en général au centre d’hébergement par lequel transitent les principaux flux de l’organisation. Cette hybridation permet de faire cohabiter les deux mondes pour délivrer les services SSE ou migrer au fil de l’eau chaque site en SD-WAN SASE. Dans ce cas, le site migré bénéfice de l’ensemble des services délivrés par le CATO Cloud et accède aux infrastructures hébergées et aux autres sites de l’organisation au travers du site pivot. Lorsque tous les sites ont été basculés sur le CATO Cloud, l’infrastructure initiale peut être complètement décommissionnée.

Nicolas LAGARDERE « Avec SASETY, nous avons organisé le déploiement des nouveaux accès Internet et l’utilisation des accès existants ainsi que le basculement de chaque site sur le CATO Cloud afin de réduire au maximum les coûts de migration tout en sécurisant le déploiement pour éviter tout impact sur notre production. »



7. Bénéfices constatés

Le modèle SASE constitue de plus en plus la cible recherchée par les décideurs IT pour unifier le transport et la sécurité de leurs flux, gagner en agilité lors de leurs évolutions et simplifier les opérations.

Après quelques mois, nos clients constatent les principaux bénéfices suivants.

7.1 Satisfaction utilisateurs

L’amélioration des performances des solutions métiers associée à une meilleur prise en charge des demandes concourent à la satisfaction des utilisateurs.

La mise à disposition d’accès Internet reposant sur des fibres optiques à haut débit et faible coût (quelques dizaines d’euros pour une FTTH 1 Gbps) associée à l’agrégation des accès et au transport garanti au sein du réseau privé de CATO Networks décuplent la performance des flux utilisateurs sur site et en situation de mobilité.

La métrologie complète des accès et des flux permet également de leur apporter un support très efficace.

7.2 Résilience

La redondance automatique des accès associée au niveau de disponibilité mensuel de 99,999% du CATO Cloud permettent d’assurer une très forte disponibilité de l’accès au système d’information.

Par ailleurs, les mécanismes de défense et leur mise à jour automatique permet de réduire l’exposition aux menaces de 95%.

7.3 Gains opérationnels

La solution CATO Cloud apporte les fonctionnalités permettant aux équipes opérationnelles de réduire leur charge de 60% en moyenne :

– Les mécanismes de configuration Zero Touch Provisioning permettent de déployer un site disposant d’une connexion Internet en moins de trente minutes

– La métrologie et l’historisation des métadonnées associées aux flux échangés permettent de réaliser un gain de 70% dans la durée de traitement d’un incident

Associé aux réductions de coûts sur les infrastructures historiques, les clients réalisent une amélioration de leur TCO global de l’ordre de 25%.

Jérôme BEAUFILS « Le modèle de services managés délivrés par SASETY permet à nos clients d’adapter à la demande le niveau d’accompagnement dont ils ont besoin pour déployer et opérer leurs services SASE et leurs accès Internet. Nous réalisons également une veille continue pour apporter les nouvelles fonctionnalités et identifier les évolutions télécoms susceptibles d’apporter plus de capacité ou de réduire les coûts ».

Anthony GACHET « Nous apprécions notre collaboration avec SASETY qui a su mener à bien notre projet dans les meilleures conditions. Au-delà de la solution technique, leur proximité et leur implication sont à la base du succès de cette transformation.

Nous bénéficions désormais d’une infrastructure adaptée à notre stratégie de croissance et d’un véritable outil d’aide à la décision pour analyser, prioriser et piloter nos flux applicatifs. »



8. Partenariat CATO Networks - SASETY

Engagé dès 2021, le partenariat entre CATO Networks et SASETY repose sur une expertise commune et une forte complémentarité qui font de SASETY l’un de ses tous premiers partenaires français.

Associée à la technologie de CATO Networks, SASETY apporte à ses clients :

– Une expertise reconnue dans les réseaux et la sécurité

– Une couverture opérateurs complète pour apporter les meilleurs débits, SLAs et résilience au meilleur prix

– La capacité à intégrer les accès Internet existants dans la solution et en assurer l’exploitation

– Une méthodologie éprouvée permettant d’assurer une migration maitrisée et un engagement de résultat

– Un accompagnement au quotidien et sur mesure d’une équipe d’experts certifiés

– Une exploitation et des services managés sur mesure adaptée à l’organisation des organisations

– Des SLAs forts et de bout en bout : de l’accès à la performance du SD-WAN/SASE

Christophe LOPEZ-CASTEL, South EMEA Channel Manager CATO Networks « SASETY est au cœur et à la pointe de la stratégie channel en France avec une dizaine de clients CATO Networks managés par leurs équipes.

SASETY fait partie des très rares partenaires MSP et accrédités CDSP (le plus haut niveau de certification chez CATO Networks) ayant la capacité d’intervenir en tant qu’experts Réseau, Cloud & Cybersécurité auprès des Entreprises de Taille Intermédiaire et des Grands Comptes, dans tous les secteurs d’activité, en France et à l’international.

L’alignement de nos stratégies et de notre vision de l’évolution des architectures réseaux et sécurité vers le modèle SASE font de notre partenariat un asset très précieux pour le développement de nos activités en France. »

Jérôme BEAUFILS, CEO de SASETY « L’offre de CATO Networks n’a pas d’équivalent sur le marché car elle est à la fois la plus avancée d’un point de vue fonctionnel mais surtout elle est la seule à offrir une capillarité mondiale et à s’engager contractuellement sur ses performances.

Avec cette solution, nous sommes capables de couvrir tous les cas d’usages de nos clients. Nous apprécions également la forte proximité développée avec les équipes françaises et de développement produit qui nous permet de contribuer à l’évolution de la solution en tenant compte des retours de nos clients.

La souplesse de la solution et de l’organisation de CATO Networks nous aide à démontrer la valeur de la solution lors des phases de consultation en mettant en place très rapidement des POC (Proof Of Concept). Ils permettent aux sociétés non seulement de valider la performance et le périmètre fonctionnel mais également la puissance et la simplicité du management. »