Du fait de la généralisation soudaine des possibilités de télétravail, les collaborateurs ne travaillent plus dans les limites du périmètre réseau traditionnel. En fait, ce sont les utilisateurs eux-mêmes qui définissent le périmètre, en accédant au réseau, aux applications et aux ressources depuis divers endroits et souvent par le biais de terminaux personnels.
Cette migration vers le cloud oblige les entreprises à mettre à jour et améliorer leur stratégie et leurs outils de sécurité existants afin d'assurer la protection de tous les utilisateurs, terminaux, données, infrastructures, réseaux et ressources, quels que soient les personnes qui y accèdent et l'endroit d'où elles le font.
Dans ce contexte, deux solutions sont apparues comme des éléments essentiels d'une stratégie de sécurité du cloud robuste : le modèle Zero Trust et le modèle SASE (Secure Access Service Edge). Mais si ces termes sont devenus courants dans le monde de la cybersécurité, une certaine confusion demeure quant aux capacités spécifiques de chacun d'eux et à leur relation.
Dans cet article, nous examinons de plus près les modèles Zero Trust et SASE, et répondons aux questions que se posent généralement les entreprises lorsqu'elles les intègrent dans leur cadre général de cybersécurité.
Qu'entend-on par Zero Trust ?
Le Zero Trust est un cadre de sécurité qui exige que tous les utilisateurs, qu'ils soient internes ou externes au réseau de l'entreprise, soient authentifiés, autorisés et continuellement validés en ce qui concerne leur configuration et leur niveau de sécurité, avant de se voir accorder ou de conserver l'accès aux données et aux applications. Le Zero Trust part du principe qu'il n'existe pas de périmètre réseau au sens habituel du terme. Les réseaux peuvent être locaux, dans le cloud ou hybrides.
Pour implémenter ce cadre, il vous faut combiner plusieurs technologies avancées, telles que l'authentification à plusieurs facteurs basée sur le risque, la protection de l'identité, la sécurité des endpoints de nouvelle génération et une protection robuste des workloads cloud pour vérifier l'identité des utilisateurs et des systèmes, prendre en compte le moment précis de l'accès et gérer la sécurité du système. Le cadre Zero Trust prévoit aussi le chiffrement des données, la sécurisation de la messagerie et la vérification de l'hygiène des ressources et des endpoints avant qu'ils se connectent aux applications.
Qu'est-ce que le SASE ?
Le SASE (Secure Access Service Edge) est un modèle de sécurité qui offre un accès sécurisé aux données et applications sur la base d'une identité numérique forte.
Inventée par Gartner, l'architecture SASE regroupe plusieurs composants de sécurité distincts au sein d'une solution cloud unique intégrée. Ces composants sont les suivants :
- Services réseau et de sécurité du réseau, tels qu'un accès réseau Zero Trust (ZTNA)
- Solution CASB (Cloud Access Security Broker)
- Service FWaaS (Firewall-as-a-Service)
- Passerelle web sécurisée (SWG)
- Solutions SD-WAN
- Prévention des fuites de données (DLP)
Comme la solution SASE intègre plusieurs outils et composants de sécurité du cloud distincts, elle offre de nombreuses fonctionnalités robustes, notamment :
- Gestion du trafic réseau, des utilisateurs, des applications, des terminaux et des composants de l'infrastructure
- Authentification des utilisateurs grâce à des fonctionnalités d'identité numérique robustes
- Identification et correction proactives des menaces de sécurité
Sécurité Zero Trust ou solution SASE : questions fondamentales
Les modèles Zero Trust et SASE se ressemblent en ce sens qu'il s'agit de deux systèmes d'infrastructure liés à la sécurité qui permettent aux entreprises de sécuriser leurs ressources et de se protéger contre les cybermenaces. Cependant, même si d'aucuns utilisent ces termes de façon interchangeable, voire supposent que l'implémentation du premier permet automatiquement d'obtenir le second, il s'agit en fait de fonctionnalités distinctes, bien qu'apparentées.
Nous examinons ci-après certaines des questions les plus courantes que se posent les équipes informatiques sur les fonctionnalités des modèles SASE et Zero Trust et sur leur relation.
Quelle est la différence entre le modèle SASE et le modèle Zero Trust ?
La principale différence entre les modèles SASE et Zero Trust réside dans le champ d'application de la solution. Le modèle Zero Trust sert uniquement à assurer la gestion et le contrôle des accès pour les utilisateurs authentifiés. En revanche, une solution SASE a une portée plus large, en ce sens qu'elle regroupe toute une série de services réseau et de sécurité, notamment l'accès réseau Zero Trust, au sein d'une solution unique.
Une autre différence fondamentale tient à l'identité. Dans un modèle Zero Trust, le principe d'utilisateur de confiance n'existe pas. Au contraire, le terminal ou l'utilisateur doit être authentifié dans le cadre de chaque demande d'accès. En comparaison, le modèle SASE est fondé sur l'identité, ce qui signifie qu'il utilise l'identité numérique du demandeur pour déterminer l'accès.
L'implémentation d'une solution SASE fournit-elle automatiquement un accès Zero Trust ?
Pas nécessairement. Bien que le modèle SASE repose sur les principes Zero Trust et que l'accès Zero Trust constitue un élément essentiel de celui-ci, l'implémentation d'une solution SASE n'implique pas nécessairement que l'entreprise disposera d'une protection Zero Trust par voie de conséquence. Cela est dû au fait que la stratégie Zero Trust comporte plusieurs composantes en plus de l'accès réseau Zero Trust (ZTNA).
Vaut-il mieux choisir le modèle SASE ou Zero Trust ?
Les entreprises ne doivent pas envisager les modèles SASE et Zero Trust de façon exclusive. Il s'agit en fait de deux composantes fondamentales complémentaires de toute stratégie complète de cybersécurité.
Une solution SASE offre un ensemble de fonctionnalités plus complet, mais est également beaucoup plus complexe et plus longue à intégrer, déployer et gérer, et elle monopolise d'importantes ressources. En comparaison, les fonctionnalités d'une solution Zero Trust sont plus restreintes, mais le modèle est aussi généralement beaucoup plus simple à implémenter et à gérer.
C'est pourquoi la plupart des entreprises se concentrent sur le Zero Trust comme objectif à court terme et envisagent de déployer une solution SASE à plus long terme.
Quels avantages la combinaison des modèles Zero Trust et SASE peut-elle offrir à votre entreprise ?
Les entreprises en mesure de fusionner leurs modèles SASE et Zero Trust en une fonctionnalité unique intégrée peuvent bénéficier de plusieurs avantages importants :
1. Sécurité complète : une fois correctement déployés et intégrés, les modèles SASE et Zero Trust offrent aux entreprises une meilleure visibilité sur leur environnement informatique et suppriment les failles et les silos au sein de l'architecture de sécurité.
2. Réduction de la complexité : en associant le modèle Zero Trust au modèle SASE, les entreprises peuvent centraliser l'ensemble des outils de sécurité tout en rationalisant certains aspects de l'environnement informatique. Cela peut contribuer à réduire la complexité du réseau en évitant les intégrations entre les terminaux, les services et les utilisateurs.
3. Évolutivité améliorée : contrairement aux fonctionnalités VPN traditionnelles, dont l'extension nécessite des investissements matériels et logiciels supplémentaires, l'approche SASE/Zero Trust permet une montée/descente en charge aisée en fonction des besoins de l'entreprise. Cela contribue à améliorer les performances et l'agilité de l'entreprise, et permet de réduire les coûts.
4. Optimisation des ressources : comme c'est le cas pour de nombreuses solutions de sécurité avancées, l'implémentation réussie des principes SASE et Zero Trust permet d'automatiser certains aspects routiniers et récurrents du programme de sécurité, ce qui permet à l'équipe informatique de se concentrer sur des tâches à plus forte valeur ajoutée.