- Accueil
- Gestion des risques
- « SASE » et « PoPS », des solutions pour se protéger des cyberattaques de nouvelle génération
« SASE » et « PoPS », des solutions pour se protéger des cyberattaques de nouvelle génération
Les réseaux, le télétravail et Internet jouent des rôles de plus en plus importants dans nos sociétés. Tous les ans, un nombre croissant d’appareils du quotidien sont connectés à Internet. Que ce soient les serrures connectées de nos portes d’entrée, les maisons intelligentes, les babyphones ou les caméras de surveillance, l’omniprésence des appareils IoT rend vulnérables aux cyberattaques.
Les réseaux d’entreprises (et d’usines) connectés à Internet continuent de se développer, formant souvent une infrastructure mondiale hybride de services cloud, de SaaS et d’applications ou de réseaux hébergés localement. Ceux-ci nécessitent une protection qui va au-delà de ce que peut fournir un simple antivirus ou pare-feu. Les architectures de sécurité traditionnelles sont trop lourdes car conçues pour stocker les données dans des centres de données sur place. Elles ne peuvent de surcroît satisfaire toutes les exigences du cloud. Cependant, des solutions existent.
SASE (Secure Access Service Edge) est l’avenir de la sécurité de réseau pour les infrastructures hybrides. C’est pourquoi il est nécessaire d’avoir de nouvelles approches qui puissent se développer avec Internet et avec nos réseaux, afin de protéger données, infrastructures et appareils de manière fiable. SASE déplace la sécurité et les réseaux vers le cloud en ce qui concerne les utilisateurs, les applications et les données. La protection est mise en place là d’où proviennent les attaques, c’est-à-dire dans le cyberespace.
Tel qu’il est défini par Gartner en 2019, SASE permet de connecter et de sécuriser chaque entité de l’entreprise : succursales, banques de données, utilisateurs éloignés, ressources d’infrastructures et de logiciels en tant que services (IaaS et SaaS). Sécurité et processeurs réseau s’exécutent principalement dans le cloud SASE, chaque « périphérie » s’appuyant sur la technologie adaptée pour se connecter au cloud SASE. Ceci protège les unités de production ainsi que les réseaux de caméras de surveillance, les utilisateurs de mobiles et les petites et grandes filiales
Cette approche de la sécurité de l’infrastructure réseau est à la pointe en matière de sécurité des réseaux communiquant en ligne. SASE emploie des pare-feux et des solutions de sécurité avancées se fondant sur le cloud pour fournir une sécurité maximale. C’est une évolution d’architecture qui modifie de manière fondamentale la façon dont les réseaux ordinaires et fonctions de sécurité sont livrés aux usagers, aux sites et aux applications dans le monde.
La plateforme de sécurité est exploitée par un prestataire de services spécialisé qui protège les réseaux de ses clients grâce à des technologies de pointe. SASE n’est pas un produit technologique en soi, mais un concept permettant de construire une structure de sécurité qui protège de manière fiable les réseaux contre tous types d’attaques.
Un bouclier protégeant les entreprises à la fois dans le cloud et in situ
Ce bouclier couvre le réseau informatique mais aussi des régions du cloud et d’Internet. Il comprend un pare-feu nouvelle génération (NGFW), une passerelle web sécurisée (SWG) avec filtrage URL, un logiciel anti-malware nouvelle génération, ainsi qu’un système de prévention des intrusions (IPS). Ce dispositif de sécurité forme la base d’un service de détection et réponse (MDR) complet. Il est extensible et peut gérer les flux chiffrés et non chiffrés sans obliger les clients à installer des corrections ou mettre à niveau leurs appareils et leurs solutions.
SASE protège les lieux de travail à distance ainsi que les bureaux du siège social, les salariés en télétravail et les utilisateurs à domicile, même les clients qui mettent en réseau les produits d’un fabricant et se servent d’Internet, comme c’est le cas pour les serrures intelligentes et les caméras de surveillance. De plus en plus d’utilisateurs ont besoin d’accéder à leurs applications et leurs données en se déplaçant. Le modèle de sécurité fondé sur une banque de données locales est donc obsolète.
C’est là tout l’avantage de l’approche SASE : la protection est omniprésente et ne se limite pas au centre de données. D’après les experts, SASE constitue la prochaine étape de la transition numérique. En fusionnant sécurité et réseaux pour les déplacer vers le cloud, des services de sécurité solides seront disponibles partout et seront facilement exploités, surveillés et optimisés en permanence par les opérateurs. Grâce à SASE, la sécurité devient un service, matériel informatique et logiciels ne font plus qu’un, et les pare-feux de matériel se transforment en sécurité de réseaux étendus (WAN) moderne, fondée sur des composants logiciels.
PoP, un facteur important dans le déploiement SASE
Étant donné que SASE s’appuie sur le cloud pour bâtir l’infrastructure de sécurité, des nœuds de connexion doivent relier utilisateurs, entreprises, succursales et sites importants au sein du cloud. En matière de SASE, ceux-ci s’appellent les « points de présences » (PoPs). Ces PoPs constituent les nœuds du réseau SASE connectés à Internet. Pour un maximum de sécurité, ces nœuds individuels devront bien sûr être aussi proches que possible des objets connectés au réseau SASE.
Cette proximité sera également synonyme de plus de vitesse et de moins de latence. Toutefois, le nombre de PoPs n’est pas un indicateur de performance du réseau, principalement car il existe différentes sortes de PoPs. La plupart des clients de fournisseurs cloud, y compris dans l’espace SASE, partent du principe que le PoP représente le centre de données d’un fournisseur, ainsi que les fonctionnalités, les serveurs et les services qui en font partie.
Par souci de simplicité, nous appelons ces PoPs des PoPs de centres de données, ce qui est aussi le cas des fournisseurs faisant de la transparence et de la performance une priorité. Un exemple bien connu : CATO Networks, expert en SASE. Leurs logiciels gèrent toutes les fonctions de réseau, y compris le choix du meilleur routage général, le routage dynamique, l’optimisation des flux, le chiffrement de bout en bout, ainsi que les fonctions d’inspection et d’application.
En revanche il existe aussi des PoPs de connexion. A l’inverse des PoPs de centres de données complets, les PoPs de connexion sont des PoPs légers, avec des performances moindres et une latence plus élevée. En effet, afin d’augmenter le nombre de PoPs, certains fournisseurs exploitent des PoPs qui ne servent que de points d’accès au réseau et ne sont dotés d’aucun serveur ou service. Toutes les requêtes doivent donc être d’abord acheminées vers un PoP de centre de données, qui est souvent éloigné.
Ce procédé présente plusieurs inconvénients. Tout d’abord, la latence augmente de manière considérable car le nœud ne fournit aucun service, ou des services limités. D’autre part, la sécurité en souffre. L’approche SASE dans le PoP sécurisé ne protège pas complètement l’accès de manière immédiate : les paquets de données doivent auparavant transiter inutilement par Internet.
Pour cette raison, les PoPs de centres de données jouent un rôle clé dans le déploiement d’un réseau SASE. Toutefois, le client devra être au courant des différences dans les PoPs de centres de données avant de signer un contrat. Chez certains fournisseurs, les PoPs ne peuvent pas tous être utilisés par le client. Dans ce cas, la simple quantité de PoPs ne donne aucune indication à celui-ci, et il doit donc savoir à quels PoPs il a accès.
la newsletter
la newsletter