SASE et le modèle Zero Trust : faux jumeaux ou vrais amis ?
La sécurité informatique a toujours été un enjeu majeur pour les entreprises de toutes tailles et de tous secteurs. Plusieurs tendances sont nées au fil du temps pour essayer de contrecarrer des menaces en constante évolution. Les deux tendances du moment sont SASE et Zero Trust.
Devant la confusion créée pour les campagnes de marketing de la part d’acteurs de la sécurité, vantant l’une et/ou l’autre de ces tendances, plusieurs questions sont soulevées chez plusieurs de nos clients ; Que veulent dire ces concepts ? Quelle est la différence ? Est-ce que l’un fait partie de l’autre ?
La suite de l’article vous donnera des axes pour répondre à ces interrogations.
Networks & Security - SASE et le modèle Zero Trust
Qu’est-ce que le Zero Trust ?
Le terme « zero trust » a été popularisé en 2010 par le cabinet Forrester, qui repose sur un concept de sécurité encore plus ancien (Jericho Forum, 2004), qui avait pour but de proposer un modèle qui s’affranchit de la sécurité périmétrique au profit d’une sécurité centrée sur l’utilisateur et des ressources. Ci-dessous quelques principes qui composent le Zero Trust :
Le réseau (interne et externe) est toujours considéré comme hostile,
Toutes les communications doivent être vérifiés explicitement
Les politiques d’accès doivent être dynamiques et non statiques : le cycle de vie est à traiter spécifiquement.
Ces principes doivent s’appliquer à l’ensemble des parties prenantes qui composent le SI, que ce soit les équipements, les utilisateurs, mais aussi le réseau, les applications et les données.
Qu’est-ce que SASE ?
Le SASE, pour Secure Access Service Edge, est un terme beaucoup plus récent (Gartner, 2019) qui fait référence à une approche/une architecture qui permet de combiner les fonctionnalités WAN classiques (SD-WAN, CDN, WOC...) avec des fonctionnalités plus orientées sécurité (CASB, SWG, ZTNA...). Ce nouveau service devrait idéalement être :
Consommé à la demande (As a Service) dans le cloud
Globalement distribué et au plus proche de l’utilisateur
Basé sur l’identité de l’entité et non pas sur son adresse IP
Compatible avec un large éventail d’équipements (Mobiles managés/non managés, objets connectés…)
Quelle est la différence entre SASE et Zero Trust ?
Pour faire une analogie, si le Zero Trust est une destination, SASE est le chemin pour y aller. C’est-à-dire que le Zero Trust est une notion plus globale, qui a une visée plus long terme, qui implique une amélioration continue dans le temps, et qui ne s’appuie pas sur une technologie en particulier.
De l’autre côté, SASE est beaucoup plus concret, puisque principalement axé sur des technologies et sur une consommation des services dans le cloud.
Est-ce qu’on peut dire que SASE fait partie du Zero Trust, ou inversement ? La réponse est non, mais il y a certainement des points d’intersection entre les deux, comme décrit dans l’image ci-dessous :
Quelles que soient les architectures et les concepts choisis, il est primordial que vous connaissiez parfaitement votre environnement, quels actifs vous avez, comment vous gérez leurs identités, leur cycle de vie, que vous soyez capable de mesurer leurs valeurs et que vous sachiez les classifier. Sans cela, les apports du SASE ou d’une démarche Zero Trust ne seront pas optimisés ni même adaptés à votre environnement.