Le modèle SASE tient-il ses promesses ?

C'est à Gartner que l'on doit le terme de SASE pour Secure Access Service Edge en 2019. Si le concept de proposer toutes les briques de sécurité réseau sous forme de plateforme Cloud était inscrit à la roadmap de nombreux fournisseurs de solution de sécurité, le cabinet d'étude a formalisé ce mouvement en un terme unique. L'idée est alors d'allier l'approche réseau SD-WAN à des services Cyber délivrés dans le Cloud. Accès Web sécurisé (SWG), ZTNA, FWaaS, CASB et DLP, tous ces services peuvent être activés d'un clic, puis paramétrés en fonction de l'environnement de l'entreprise et de sa politique de sécurité.

Consommer de la Cyber comme un simple service SaaS est une révolution, alors que pendant des décennies, les RSSI ont empilé des appliances spécialisées dans les datacenters de leur entreprise. Cette approche "Best of Breed" a permis certes de couvrir les risques liés à chaque menace avec les meilleures solutions du marché, mais au prix d'une complexité soutenable uniquement par les entreprises capables de se doter d'équipes Cyber conséquentes.

Pour autant, remplacer ces piles d'appliances par une plateforme Cloud avec les promesses de simplicité et de maîtrise des coûts a-t-elle été tenue ? Pour Ivan Rogissart, Sales Engineer Director pour l'Europe du sud chez Zscaler, cela ne fait aucun doute : « La promesse de simplicité opérationnelle a été tenue. Nous comptons plus des trois quart du CAC 40 parmi nos clients et ceux qui ont signé avec nous en 2010/2012 ont déjà renouvelé leurs confiance au moins 3 fois. » Pour cette éditeur venu du SWG ( Secure Web Gateway), il n'y a aujourd'hui plus de débat sur le fait que SASE va dans le sens de histoire.

1 Les acteurs du Cloud ont choisi le SASE

Pionnier du SASE, Cato Networks livre quelques chiffres sur les gains réellement engrangés par ses clients. L'étude Total Economic Impact (TEI) de Forrester attribue à l'éditeur un ROI moyen de 246 % et un projet remboursé en moins de 6 mois. « Le cas de chaque entreprise est différent » prévient Sylvain Chareyre, Vice President Sales Engineering EMEA de Cato Networks. « Le ROI va notamment dépendre de la rapidité de déploiement. La valeur de SASE est dans la simplification de l'IT et le fait de rendre l'IT lisible. L'humain est sans doute le levier le plus puissant dans cette réduction des coûts. Notre vision est que SASE ne va pas réduire de 50% les équipes Cyber, mais faire que ces effectifs qui maintiennent une quinzaine d'équipements en écrivant des lignes de commande puissent être affectés sur des projets de développement plus intéressants avec le temps dégagé. »

L'étude Forrester est avancée par de nombreux acteurs du SASE, avec des résultats finalement proches les uns des autres.

Magic Quadrant for single

Editeur venu du Cloud, Cloudflare est bien connu pour son CDN, mais il est aussi un acteur majeur du SASE. Il propose une plateforme SASE et SSE complète, avec des briques ZTNA, SWG, CASB, le FWaaS, la sécurité email, le DLP, RBI et DEX. Boris Lecoeur, Directeur général de Cloudflare France met en avant les résultats de l'étude TEI (Total Economic Impact) du Forrester sur les offres SASE : « Forrester a calculé un ROI de 238% auprès de nos clients, avec une amélioration de l'efficacité de la réponse à incident de l'ordre de 30%, de l'efficacité opérationnelle, etc. Le levier le plus puissant porte sur la consolidation des solutions. Par le passé, les entreprises choisissaient une solution VPN, puis une solution Anti-DDoS, puis une protection WaaF, une CASB. Maintenant, elles ajoutent du ZTNA. » Le porte-parole de l'éditeur de services souligne que plus un client va activer des briques SSE sur la plateforme, plus les gains et les économies d'échelle seront importants. « Ils obtiennent des gains en termes de ressources, de formation de leurs équipes, de MCO, de licences. Déployer une même solution qui gère les flux entrants vers leurs applicatifs et les flux sortant représente des gains très conséquents. »

Stan Nabet, Country Director pour la France chez Netskope, un acteur né sur le Cloud pointe le rôle de la pénurie de talents Cyber dans l'adoption de SASE. « On peut toujours trouver un expert des solutions Cisco, un champion des firewalls Check Point, mais la façon de consommer l'IT a changé. Aujourd'hui, les entreprises recrutent des gens capables de gérer toutes les technologies empilées dans les SI ces dernières années. C'est très compliqué. »
Le responsable pointe aussi les limites de l'approche Best-of-Breed qui peine à sécuriser une surface d'attaque de plus en plus étendue. « Gartner est lui-même revenu de cette approche " best of breed " car la couverture du risque n'est pas optimale avec une telle approche. Il reste toujours des trous dans la raquette qui ne sont pas couverts. S'appuyer sur une seule solution est le meilleur moyen d'obtenir un bon ROI et le TCO le plus faible. A travers une solution unique, on délivre un portfolio complet de solutions Cyber, mais géré depuis un seul agent et une seule console d'administration.

2 La cybersécurité ralliée au modèle SASE

@Fortinet

Face à ces nouveaux acteurs venus du Cloud, les acteurs traditionnels de la cybersécurité se sont ralliés au modèle, et se sont lancé dans la restructuration de leurs offres et à de longs et coûteux projets de convergence des offres en une plateforme unifiée.

Parmi les leaders du marché, Fortinet qu compte une cinquantaine d'offres Cyber à son catalogue a entrepris la consolidation de ce catalogue dans une offre SASE intégrée. « Notre stratégie est claire : fournir une offre SASE complète pour nos clients et qui intègre à la fois la partie SD-WAN et Cyber » argumente Tarik Boumaza, Business Development Manager Cloud chez Fortinet France. « Aujourd'hui, 32 solutions de sécurité ont rallié ce modèle, à commencer par le firewall, Secure Internet Access, ZTNA, le CASB, le DLP etc. De nouvelles solutions viennent s'y ajouter régulièrement, pour faire face aux nouveaux types d'attaques et aux nouveaux usages. »

Parmi les principaux leviers de réduction des coûts de sa plateforme, le responsable souligne un licencing plus intéressant pour ses clients : « Un certain nombre de solutions Fortinet sont intégrées dans la même licence FortiSASE. Il n'y a pas de notion de package où les offres sont activées en fonction du niveau choisi. La Secure Gateway, le Firewall, la partie CASB ou DLP, le ZTNA et le SD-WAN sont inclus par défaut dans l'offre standard.

L'offre avancée via ajouter le volet RBI (Remote Browser Isolation) et une troisième offre baptisée compréhensive qui permet aussi au client de mettre en oeuvre des Pop Google avec qui nous avons un partenariat sans passer par nos propres infrastructures Fortinet. »

3 Des projets SASE de 3 à 5 ans

Eric Antibi, Directeur Technique de Palo Alto Networks, souligne que l'adoption du Cloud a beaucoup participé au succès du SASE : « Les projets SASE ont rarement vocation de remplacer l'existant. Il s'agit souvent d'une extension de ce qui est en place en on-premise. » Les entreprises adressent les nouveaux cas avec SASE comme une simple extension à ce qu'ils faisaient depuis des années. « Le différentiateur de Palo Alto est d'être capable de gérer un utilisateur, un device qui doit accéder à une application où qu'il soit, que ce soit en local ou en télétravail, et ou que se trouve l'application. Entre les deux, on place des meilleurs moteurs de sécurité. »

Il affirme que le "Big Bang" SASE n'existe pas. Il s'agit généralement de projet de 3 à 5 ans, avec une plateforme qui est exploitée sur un premier cas d'usage, comme par exemple le proxy web, puis le CISO va capitaliser cette plateforme lorsqu'il remplace son VPN en place par une solution ZTNA. Les projets s'enchaînent alors sur la plateforme. Selon lui, la brique RBI (Remote Browser Isolation) sera la prochaine évolution majeure de la sécurité des entreprises. « Alors qu'on considérait qu'il ne s'agissait que d'un module de plus dans une plateforme SASE, on se rend compte que ce sont de vrais projets structurants. Le RBI devient le nouveau navigateur d'entreprise. Gartner estime que l'approche Enterprise Browser aura remplacé plus du tiers des solutions VDI actuellement exploitées. Ce sont des projets qui vont avoir un fort impact dans les entreprises. »
Ivan Rogissart ajoute : « Le RBI se pose aujourd'hui en alternative aux fermes de serveurs Citrix pour accorder des accès en VDI. Cela vient simplifier énormément ce type d'accès et les économies sont évidentes puisque l'entreprise n'a plus à acquérir et maintenir en production des fermes de serveurs complètes ! »

4 MSSP : un rôle clé dans la migration

Une limite des études de ROI et du discours marketing des éditeurs est qu'aucune entreprise ne peut migrer de manière instantanée vers SASE. Toute entreprise a un existant, des dates de fin de contrat pour chacun de ses opérateurs réseau et éditeurs de solutions. Migrer vers SASE va demander des années d'évolutions progressives.

« Tous les clients ont un historique dont il faut tenir compte, un business spécifique » explique Eric Bohec, COO de Nomios, un MSSP. « Les solutions SSE déjà en place vont imposer des choix dans la transition. Aller vers SASE ne se fait jamais sur un mode Big Bang . Nous allons analyser cet existant pour définir le mode de migration le plus doux et passer sur 2 ou 3 ans d'un réseau MPLS et des appliances de sécurité vers SASE. »

La promesse du SASE est bien réelle : on sort des datacenters du client tout le volet réseau et sécurité pour le placer dans le Cloud. Les entreprises passent d'une logique d'investissement à une logique de souscription et ces plateformes SaaS sont opérées et maintenues par les éditeurs. Tout le MCO (Maintien en Conditions Opérationnelles) jusque-là à la charge du client revient maintenant à l'éditeur