Le passage au télétravail a poussé les entreprises à repenser leurs architectures réseau et de sécurité. L’entreprise distribuée a des besoins commerciaux uniques, et de nombreuses organisations explorent les services basés sur le cloud et Secure Access Service Edge (SASE) comme options pour répondre à ces besoins.
Plus de 80 % des personnes interrogées dans le cadre du rapport ont constaté une augmentation du travail à distance depuis la pandémie de Covid-19 et 66 % utilisent des services de sécurité basés sur le cloud pour développer l’accès à distance. Grâce à un vaste réseau de points de présence (POP) cloud et à l’omniprésence des applications et des services cloud, les entreprises disposent de nombreuses options pour connecter les utilisateurs distants aux applications d’entreprise et à Internet.
Les modèles antérieurs de backhauling des connexions des succursales et des utilisateurs distants vers les piles de sécurité résidant dans les bureaux de l’entreprise, puis vers le cloud, ajoutent une latence importante et entraînent une mauvaise qualité d’expérience utilisateur. Avec l’avènement du SD-WAN (Software-Defined WAN), les entreprises sont en mesure d’optimiser les connexions des sites distants et des utilisateurs au cloud ou aux ressources sur site en sélectionnant le meilleur chemin réseau pour l’application. Il peut s’agir d’une liaison de réseau privé virtuel (RVP) ou de commutation d’étiquettes multiprotocole (MPLS) vers un réseau d’entreprise ou d’une connexion haut débit ou sans fil directe à Internet via un point d’accès Internet local sur l’appareil SD-WAN local.
Le SD-WAN est une solution optimale pour la connectivité des succursales, mais de nombreux utilisateurs travaillent à domicile où ils ne disposent généralement pas d’un appareil SD-WAN appartenant à l’entreprise. L’un des principaux défis du travail à distance signalés dans l’enquête était la prise en charge des appareils BYOD. 40 % ont cité le BYOD comme l’un des principaux défis de l’administration, ainsi que la mise à l’échelle des performances (46 %) et la confidentialité et la conformité (42 %). Dans le modèle Zero Trust Edge (ZTE) de Forrester, qui complète le modèle SASE de Gartner, ils voient les premiers utilisateurs appliquer les principes d’accès réseau Zero Trust (ZTNA) pour connecter en toute sécurité les utilisateurs et les bureaux distants à Internet et aux applications d’entreprise. Le ZTNA améliore les performances en rapprochant la pile de sécurité de l’utilisateur et de l’application lorsqu’elle est fournie en tant que service cloud.
En plus d'améliorer les performances, une solution ZTNA sans client résout également le problème du BYOD. L’accès à l’application d’entreprise est disponible à partir d’un navigateur en authentifiant d’abord fortement l’utilisateur avec l’authentification multi-facteurs (MFA). Ensuite, l’accès n’est accordé qu’en cas de besoin au Bureau à distance, à SSH, aux applications Web et aux applications de base de données.
Un RVP est un autre moyen de connecter les utilisateurs distants, mais dans le rapport, les problèmes liés au RVP étaient l’une des principales plaintes des utilisateurs signalées (62 %). Un autre problème avec les VPN est qu’ils fournissent à un utilisateur authentifié un accès total au réseau, ce qui augmente la surface d’attaque de l’entreprise et l’expose à des cybermenaces. Mis en œuvre parallèlement à une solution SD-WAN ou SASE, le ZTNA offre la possibilité d’intégrer le Zero Trust dans une solution d’accès à distance, ce qui réduit l’accès réseau des travailleurs distants à ce dont ils ont absolument besoin pour leur travail.
Dans le rapport, près de la moitié (45 %) des professionnels de l'informatique et de la sécurité font état d'une recrudescence des cyberattaques depuis le passage au télétravail. Les principales préoccupations étaient la perte de données (55 %), l’hameçonnage (51 %) et le piratage de compte (44 %). Les professionnels de la sécurité informatique d’entreprise sont familiers avec les solutions de sécurité avancées sur site telles que les passerelles Web sécurisées (SWG ) ou les pare-feu de nouvelle génération (NGFW) avec des capacités de sandboxing qui contrent l’hameçonnage et les menaces zero-day. La prévention est sans doute encore plus nécessaire pour sécuriser le personnel à distance que pour sécuriser le personnel sur site.
Envisagez une solution de sécurité qui détecte une menace mais ne l'empêche pas. Si un utilisateur se trouve sur site, l’entreprise dispose probablement d’un réseau segmenté et est en mesure d’isoler rapidement l’hôte infecté, qui peut se trouver à quelques pas du service d’assistance. Lorsqu'un travailleur est distant, l'accès depuis l'hôte infecté peut être bloqué, mais le temps nécessaire pour remédier à la situation et remettre le travailleur en ligne augmente considérablement. Avoir le même niveau de prévention des menaces pour les travailleurs à distance et au bureau est l’un des principaux avantages d’une solution SASE sécurisée.
Dans le modèle de sécurité Zero Trust, les données constituent le nouveau périmètre, et cela se reflète également dans le rapport. 55 % des personnes interrogées ont déclaré que l'exfiltration et la fuite de données étaient l'un des principaux vecteurs de violations et d'attaques depuis que la COVID-19 a imposé le passage au télétravail. Dans la section ci-dessus, nous avons discuté de la façon dont le ZTNA fournit un accès réseau sécurisé et évolutif aux applications d’entreprise. Il est tout aussi important de disposer d’une politique de sécurité qui unifie le ZTNA avec la prévention de la perte de données, l’utilisation sécurisée du Web et la prévention avancée des menaces dans une seule console Web gérée depuis le cloud.
En plus d’offrir une sécurité renforcée qui est cohérente avec les technologies connues de prévention des menaces d’entreprise (et plus proche de l’utilisateur et de l’application), le SASE unifie la gestion des politiques de sécurité pour plusieurs technologies de sécurité sous un même toit. Cela inclut le filtrage d’URL (via un SWG), le contrôle application (via un pare-feu de nouvelle génération), la prévention de la perte de données (DLP), un système de prévention des intrusions (IPS), la prévention avancée des menaces (via le sandboxing) et l’accès sécurisé aux applications d’entreprise (via ZTNA).
Dans la section ci-dessus, nous avons expliqué comment l'unification de la gestion de la sécurité améliore la sécurité des sites et des utilisateurs distants. Le SASE unifie ou consolide également plusieurs services de sécurité et services réseau sous un même toit.
Le SD-WAN améliore la fourniture de réseaux étendus (WAN) en définissant l’intention métier dans le logiciel, ce qui permet d’optimiser la sélection des chemins pour le trafic des différentes applications qui circulent sur les chemins réseau disponibles sur le WAN. Les politiques de service réseau sont gérées de manière centralisée par des orchestrateurs cloud qui gèrent également la livraison des équipements réseau sans aucune intervention. Avec un déploiement sans contact, il n’y a pas besoin de personnel technique sur site. Les boîtiers sont simplement connectés et mis sous tension, puis reçoivent leur configuration et leur stratégie de l’orchestrateur cloud.
Cette prestation flexible, agile et efficace de services réseau s’applique également à la sécurité lorsqu’elle est fournie à partir d’une périphérie de service de sécurité du cloud. L’appareil de succursale distante est simplement configuré pour se connecter en toute sécurité à un dispositif local de service Sécurité du cloud à l’aide d’un tunnel RVP. Dans la stratégie réseau, le trafic vers Internet qui doit être sécurisé peut être acheminé via le VPR vers le service Sécurité du cloud. La même chose peut être faite à l’aide d’applications installées sur les ordinateurs portables et les appareils mobiles des utilisateurs distants.
La gestion centralisée du réseau et de la politique de sécurité ne réduit pas seulement le coût de la gestion du réseau et de la politique de sécurité. Il permet également de gagner du temps pour fournir des services de réseau et de sécurité aux sites et aux utilisateurs distants. Toutes les modifications nécessaires sont effectuées dans le cloud et transmises aux sites et aux utilisateurs distants sans avoir besoin d’une assistance technique sur site.
Étant donné que le réseau et la sécurité sont gérés et orchestrés de manière centralisée, l’intégrité du réseau et les menaces pesant sur les sites distants et les utilisateurs sont également visibles par les administrateurs réseau et de sécurité qui surveillent le WAN et la sécurité de l’organisation. Cela leur permet de réagir plus rapidement aux menaces et aux problèmes du réseau au fur et à mesure qu’ils se produisent. 61 % des personnes interrogées dans le rapport sur la sécurité du travail à distance et hybride qui sont passées à la sécurité basée sur le cloud considèrent qu’il s’agit d’une solution hautement stratégique pour faire évoluer l’accès à distance.
The advantages of securely connecting remote sites and remote users to Check Point’s Harmony SASE solution, include:
Pour en savoir plus sur l’adoption du SASE, nous vous invitons à lire l’intégralité du rapport sur la sécurité du travail à distance et hybride, à consulter l’infographie récapitulative ou à lire le Guide d’adoption de la sécurité réseau Secure Access Service Edge d’ESG.