Nos pratiques professionnelles quotidiennes s’effectuent de plus en dans le cloud. Une grande partie de nos données s’y trouvent stockées, et notamment les données sensibles, lesquelles sont confrontées à de nombreux risques émergents. Quid des pratiques de sécurité ? Conçues sous une forme traditionnelle, lorsque les données sensibles restaient essentiellement sur site, elles se révèlent anachroniques, pour ne pas dire dépassées. En effet, plupart des personnes accédant aux données ne sont pas équipées pour faire face à l’ampleur de l’infrastructure du cloud et aux vulnérabilités correspondantes. Aujourd’hui, les données circulent partout et les organisations ont besoin d’un cadre de sécurité conçu pour protéger ces données.
L’un des cadres conçus pour relever les défis de l’environnement de sécurité du cloud moderne est le SASE (Secure Access Services Edge).
Qu’est-ce que le SASE ?
Le SASE est un cadre de cybersécurité conçu pour l’environnement actuel de travail à distance, où le périmètre ou la « périphérie » des réseaux d’entreprise n’est plus défini par les quatre murs de votre organisation. Il vise à faire converger les fonctionnalités de sécurité et de réseau dans l’environnement de travail.
Chaque application ou plateforme cloud possède des politiques standards de sécurité différentes, voire aucune politique de sécurité par défaut. Gérer chacune d’entre elles individuellement prendrait tout le temps et toutes les ressources de l’équipe IT, et vous ne pouvez pas être sûr que les mêmes politiques sont appliquées à l’ensemble de votre infrastructure. En outre, les employés utilisent souvent des appareils personnels ou non gérés. Par conséquent, la capacité d’une organisation à voir ce qui se passe dans les services cloud et à appliquer des politiques de sécurité commune est réduite.
Pour déterminer ce qui représente une menace, les équipes de sécurité doivent être en mesure de comprendre le contexte dans lequel un employé tente d’accéder à certaines données. Pour cela, la visibilité et le contrôle sont essentiels. Les solutions CASB (Cloud Access Security Broker) et ZTNA (Zero Trust Network Access) vous permettent de le faire à travers les infrastructures et les applications cloud, privées ou sur site. Les passerelles web sécurisées (SWG) vous permettent de surveiller et de contrôler l’accès à l’informatique parallèle sur Internet. Si vous pouvez ajouter les signaux contextuels provenant des ordinateurs portables et des appareils mobiles à la protection des endpoints, vous avez plus de chances de mettre en œuvre des politiques uniformes sur l’ensemble de votre infrastructure et de vos données.
Plus vous disposez de points de données contextuelles, plus vous pouvez vous assurer que seuls les utilisateurs accrédités accèdent à vos données sensibles via des terminaux connus et sécurisés. Ensemble, ces éléments constituent les composantes essentielles d’une stratégie SASE réussie.
Il existe une idée fausse selon laquelle le SASE n’est utile qu’aux grandes entreprises, mais toutes les organisations qui utilisent des données sensibles dans un environnement hybride (cloud et on-premise) peuvent considérer le SASE comme une option pour retrouver la visibilité et le contrôle que les produits de sécurité traditionnels n’ont plus dans un environnement de type « cloud ».
Comment mettre en œuvre une politique SASE
Comme pour toute mise en œuvre importante de la sécurité, le déploiement d’une politique SASE est un parcours qui peut varier d’une organisation à l’autre.
L’un des plus grands défis est lié à la stratégie et à l’état d’esprit. Pendant des décennies, les équipes informatiques et de sécurité ont considéré les différentes parties de la sécurité comme une spécialité, qu’il s’agisse de la prévention de la perte de données (DLP) ou des GDS. En conséquence, même avec les produits de sécurité fournis par défaut dans les services du cloud, les organisations continuent d’acheter des produits dédiés à différents cas d’utilisation et divisent leurs opérations de sécurité en équipes cloisonnées. Pour tirer parti des SASE, vous devez adopter une approche de plateforme unifiée plutôt qu’une mentalité de type « check-the-box ».
À l’échelle du déploiement, la mise en œuvre d’une politique SASE peut se faire dans un temps réduit mais il ne s’agira pas d’un changement radical qui se produira du jour au lendemain. Pour toute organisation, il faut commencer par les domaines à plus forte valeur ajoutée. Il peut s’agir d’un logiciel propriétaire que vous exécutez sur site et qui nécessite désormais un accès à distance. Cela implique des accès Zéro trust Network Access (ZTNA) pour garantir que l’accès est granulaire et dynamique et qu’il n’expose pas le reste de votre réseau d’entreprise. Il se peut que vous ayez des applications cloud qui contiennent des données sensibles et exclusives, que vous pouvez commencer à placer derrière un Cloud Access Security Broker (CASB).
L’une des principales questions sera de savoir si ces différentes fonctions – par exemple, ZTNA, CASB ou SWG – peuvent s’intégrer les unes aux autres. Certains fournisseurs vendent ces technologies SASE séparément, mais elles risquent de ne pas bien s’intégrer. Une façon de surmonter cet obstacle est d’utiliser une plate-forme unifiée.
Un test important pour savoir si une plateforme est intégrée consiste à évaluer ses capacités de surveillance et d’application des politiques. Une solution SASE adéquate doit offrir une visibilité totale du comportement des utilisateurs, de l’état de santé des terminaux ainsi que de la sensibilité des données manipulées. La plateforme doit ensuite être en mesure d’exploiter ces données et d’appliquer des politiques cohérentes pour les applications cloud, les applications privées et l’accès à Internet.
L’avenir de la sécurité
En résumé : Il est désormais nécessaire d’étendre votre dispositif de sécurité au-delà du périmètre traditionnel. Les architectures de sécurité doivent s’adapter aux modèles d’entreprise actuels, de plus en plus basés sur le cloud, et s’adapter à un périmètre qui est désormais constamment en mouvement.
Par Bastien Bobe, Directeur technique Europe Continentale, chez Lookout