Sécurité réseau : si c’est « sassy », c’est fantastique
Gartner entrevoit une convergence complète des technologies et services de connectivité et de sécurisation de celle-ci. Jusqu’à l’émergence du concept de SASE combinant l’ensemble. Une direction déjà anticipée par certains.
Il est temps de passer à autre chose. Pour Neil MacDonald, Lawrence Orans et Joe Skorupa, du cabinet Gartner, les « architectures de sécurité réseau qui placent le centre de calcul d’entreprise au centre des besoins de connectivité » constituent un frein, et empêchent de retirer pleinement les fruits de la transformation numérique : cette moisson nécessite des accès beaucoup plus dynamiques. Car en fait, désormais, données et applications peuvent être n’importe où et accessibles depuis n’importe où.
Dès lors pour les analystes, l’heure est à l’adoption du concept de SASE (prononcer « sassy ») : un ensemble consolidé de capacités de connectivité et de contrôles de sécurité associés, proposé sous forme de service, à l’extrémité, mais produit en mode cloud – d’où l’acronyme SASE, pour secure access service edge. Plus loin, « les entreprises ont besoin d’offres SASE assorties d’une infrastructure de points de présence mondiaux et d’accords de peering ».
Pour le volet connectivité, on trouve là le SD-WAN, réseaux de distribution de contenu (CDN), services d’optimisation WAN, ou encore agrégateurs de bande passante. Tout y est, en entrant comme en sortant. Côté sécurité, Gartner positionne la sécurité réseau traditionnelle, les passerelles d’accès cloud sécurisé (CASB), les passerelles d’accès Web sécurité (SWG), les services de VPN et d’accès distant sans VPN (ZTNA, ou zero-trust network access), mais également pare-feu en mode service, pare-feu applicatif (WAF) en mode service, etc. L’éventail n’apparaît pas moins vaste et là encore, bidirectionnel. Dans l’idéal, l’approche se centre sur l’identité pour appliquer des stratégies de contrôle d’accès dites sans confiance, ou zero-trust, du sol au plafond, que ce soit pour des utilisateurs, pour leurs terminaux, ou pour des services.
Pour les analystes, l’adoption d’offres SASE devra permettre de réduire complexité et coût du côté des entreprises, tout en ouvrant la porte à de nouveaux scénarios métiers numériques, et en renforçant la posture de sécurité dans son ensemble, notamment. Mais les fournisseurs devront s’attacher à travailler leur infrastructure pour limiter la latence et garantir une expérience de qualité.
Selon Gartner, au moins 40 % des entreprises devraient avoir pris le virage de la SASE à l’horizon 2024. Et l’année suivante, au moins un fournisseur IaaS leader devrait proposer en une offre complète. Mais le chemin ne manque pas d’être semé d’embûches. Parmi les risques, les analystes mentionnent sans trop de surprises les différences culturelles entre équipes sécurité et réseau traditionnellement distinctes dans les entreprises.
Mais il y a également la possibilité que certains acteurs du réseau ne réussissent pas à proposer des composants sécurité à la hauteur – et réciproquement. Sans compter le fait que « les fournisseurs historiques n’ont pas un état d’esprit cloud-native », ou encore qu’il faille prévoir des investissements significatifs dans les points de présence.
En l’état, Gartner n’identifie pas un seul fournisseur capable de proposer une offre SASE complète. Il dresse toutefois une liste de prétendants : Akamai, Cato Networks, Cisco, Cloudflare, Forcepoint, Fortinet, McAfee, Netskope, Palo Alto Networks, Proofpoint, Symantec, Versa, VMware et encore Zscaler.
VMware apparaît effectivement travailler dans cette direction, notamment après le rachat d’AVI Networks. Mais il est loin d’être le seul et plusieurs ont commencé à adopter, sinon le concept, au moins l’acronyme.
Il en va ainsi de Bitglass qui, dans un communiqué de presse, revendique rien moins qu’une « architecture révolutionnaire SASE », pour le lancement de son offre SmartEdge combinant SWG, CASB, et ZTNA. Palo Alto assure quant à lui propose la solution SASE « la plus complète du marché » avec Prisma Access, tout juste étendue avec un service SD-WAN ou encore un nouveau service de prévention des fuites de données (DLP).
Cela ne s’arrête pas là : Infoblox vient d’annoncer le rachat de SnapRoute, précisément pour collecter les briques manquantes à son offre pour positionner une offre complète sur le marché de la SASE. Surtout, certains ont pris une longueur d’avance.
Il en a va ainsi de Symantec, pour lequel Broadcom a récemment signé un chèque à 11 chiffres. De quoi espérer profiter des acquisitions successives de Luminate, Fireglass, Skycure, ou encore Blue Coat avant cela – avec en toile de fond celle d’Elastica par celui-ci un peu plus tôt. Et cela ne s’arrête pas là.
McAfee s’est invité sur le marché des CASB avec le rachat Skyhigh Networks. Il a depuis amélioré les mécanismes permettant d’obtenir une visibilité et un contrôle effectif sur les contenus sensibles. Cisco est également entré sur le marché du CASB par voie d’acquisition : celle de Cloudlock, en juin 2016. En 2017, il a lancé Umbrella, une offre complète de sécurisation des accès Internet, combinant les fruits de multiples acquisitions, de Sourcefire à Cloudlock, en passant par OpenDNS. Et d’ajouter plus récemment Duo Security à l’édifice. Umbrella s’intègre en outre avec AMP, notamment avec sa base de connaissance des menaces, le Threat Grid. Mais l’agent AnyConnect VPN n’est pas oublié. Et que dire de Palo Alto Networks, entre un Traps récemment dopé à l’EDR, et une offre de sécurité Web/Cloud de plus en plus complète ?
Si Microsoft a développé une offre de protection du poste de travail convaincante, il a adopté une approche prudente de l’exploitation de la technologie d’Adallom, avec son service Cloud App Security. Ce que Sanjay Beri, de Netskope, ne manquait pas de souligner il y a un an dans nos colonnes.
Et justement, si le marché de la sécurité du cloud est marqué depuis quelques années par les efforts de concentration, certains acteurs semblent se détacher. Cela vaut notamment pour Netskope. Comme l’indiquait l’an dernier Sanjay Beri à la rédaction, son objectif consiste à « fournir des services de sécurité par et pour le cloud ». Difficile de s’inscrire plus en ligne avec le concept de la SASE avancé par Gartner.
Les idées sous-jacentes ne manquent en outre pas de rappeler Zscaler. Engie expliquait d’ailleurs récemment dans nos colonnes pourquoi il avait retenu son offre de ZNTA. Et ce n’est encore qu’une petite partie d’un paysage considérablement plus vaste ayant déjà engagé sa recomposition. Mais justement, son volet de la protection des actifs Web n’est guère plus calme. Le seul domaine de la lutte contre les bots l’illustre bien : Check Point a annoncé en janvier dernier l’acquisition de ForceNock. Un an plus tôt, Oracle se lançait dans celle de Zenedge, quelques mois après qu’Instart ait levé 30 M$ (portant le total de son financement à 140 M$ depuis sa création en 2012). Et tout récemment, c’est Barracuda qui s’est offert Infisecure pour protéger applications, services Web, et API contre les bots, en s’appuyant notamment sur l’apprentissage automatique.
Dès lors, des jeunes pousses telles que Reblaze, DataDome et Arkose Labs semblent déjà engagées dans la voie de la SASE. Une voie qui apparaît déjà bien tracée, du moins dans ses contours et en attendant une consolidation prévisible du marché.