Des plans de continuité d’activité efficaces exigent des CISO qu’ils repensent la connectivité WAN

Alors que de plus en plus d’entreprises tirent parti de la main-d’œuvre à distance, mobile et temporaire, les éléments de la planification de la continuité des activités évoluent et exigent que les professionnels de l’informatique examinent en profondeur les rouages de la connectivité.

Les CISO et les membres de leur équipe sont confrontés chaque jour à de nouveaux défis, dont beaucoup sont dus à la transformation numérique, ainsi qu’à l’adoption d’autres technologies améliorant la productivité.

Un exemple en est l’évolution rapide de la nécessité d’aider les utilisateurs à distance et mobiles à mesure que les entreprises modifient leur mode d’interaction avec leur personnel.

Par exemple, la récente crise COVID-19 a obligé la majorité des entreprises du monde entier à soutenir les employés qui travaillent à domicile ou dans d’autres lieux éloignés.

De nombreuses entreprises rencontrent de nombreux problèmes de fiabilité de connexion, ainsi que les défis posés par l’évolution rapide de la connectivité pour répondre à un nombre croissant de travailleurs à distance.

Si l’on ajoute à cela les questions de sécurité et de respect de la vie privée, il devient évident que les RSSI pourraient bien être confrontés à des défis qui pourraient devenir insurmontables pour assurer le fonctionnement et la sécurité des choses.

C’est le potentiel de perturbation qui place la planification de la continuité des activités (PCA) au premier plan de nombreuses conversations sur les technologies de l’information. De plus, de nombreux professionnels de l’informatique arrivent rapidement à la conclusion que la persistance de la connectivité WAN et Internet s’avère être le fondement d’un plan de continuité des activités efficace.

Les VPN ne tiennent pas leurs promesses

Les réseaux privés virtuels (VPN) sont souvent le premier choix pour créer des connexions sécurisées dans un réseau d’entreprise depuis le monde extérieur.

Cependant, les VPN ont été initialement conçus pour permettre à un point d’extrémité distant de se connecter à un réseau local interne et de donner à ce système l’accès aux données et aux applications stockées sur le réseau.

Pour une connectivité occasionnelle, en mettant l’accent sur la facilité d’utilisation.

Pourtant, les VPN commencent rapidement à montrer leurs limites lorsqu’on leur demande de soutenir une main-d’œuvre distante rapidement déployée.

L’une des questions les plus importantes concernant les VPN se pose dans le contexte de l’évolutivité ; en d’autres termes, les VPN peuvent être compliqués à faire évoluer rapidement.

Pour la plupart, les VPN sont autorisés par connexion et sont soutenus par un appareil côté réseau pour crypter et décrypter le trafic. Plus le nombre d’utilisateurs de VPN est élevé, plus il faut de licences et de puissance de traitement, ce qui entraîne des coûts imprévus, ainsi qu’une latence supplémentaire sur le réseau.

Les VPN peuvent finir par se rompre sous la pression, ce qui crée un problème de continuité des activités. En termes simples, si les VPN sont submergés par un trafic accru, la connectivité peut tomber en panne et la capacité des employés à accéder au réseau peut être affectée, le concept de continuité des activités en souffre.

Les VPN sont également utilisés pour les connexions de site à site, où la bande passante peut être partagée non seulement d’une succursale à un bureau du siège, mais aussi avec des utilisateurs distants. Une situation comme celle-là peut complètement faire dérailler la capacité d’une organisation à faire des affaires si ces VPN tombent en panne.

La cybersécurité est peut-être encore plus préoccupante dans le cas des VPN. Les VPN qui sont utilisés pour permettre à des utilisateurs distants d’accéder à un réseau ne sont fiables que dans la mesure où les informations d’identification sont fournies à ces utilisateurs distants.

Dans certains cas, les utilisateurs peuvent partager leurs mots de passe et leurs informations de connexion avec d’autres, ou exposer négligemment leurs systèmes à des intrusions ou à des vols. En fin de compte, les VPN peuvent ouvrir la voie à des attaques sur le réseau d’entreprise en permettant à de mauvais acteurs d’accéder aux systèmes.

Le ZTNA va au-delà des VPN

La technologie VPN devenant suspecte dans l’expansion rapide de la main-d’œuvre à distance, les CISO et les professionnels de l’informatique cherchent des alternatives pour assurer des connexions fiables et sécurisées au réseau à partir des travailleurs à distance.

Le désir de jeter un pont entre la sécurité et la fiabilité est motivé par la continuité, ainsi que par des questions opérationnelles. Les RSSI cherchent à maintenir des coûts bas, à assurer un niveau de sécurité, sans compromettre les performances, tout en répondant à la croissance prévue.

De nombreuses entreprises pensaient que la réponse au dilemme du VPN pouvait être trouvée dans SDP (Software Defined Perimeters) ou ZTNA (Zero Trust Network Access), deux acronymes qui sont devenus interchangeables dans le domaine de la cybersécurité.

La ZTNA a été conçue pour le cloud comme une solution qui a fait passer la sécurité du réseau aux applications. En d’autres termes, la ZTNA est centrée sur les applications, ce qui signifie que les utilisateurs ont accès aux applications et non au réseau complet.

Bien sûr, le ZTNA fait beaucoup plus que cela. Le ZTNA peut « cacher » des applications, tout en accordant l’accès aux utilisateurs autorisés. Contrairement aux VPN, la technologie ZTNA ne diffuse aucune information en dehors du réseau pour l’authentification, tandis que les concentrateurs VPN se trouvent à la périphérie du réseau pour que tous puissent les voir, ce qui en fait une cible pour les attaquants malveillants.

De plus, la ZTNA utilise des connexions « inside-out », ce qui signifie que les adresses IP ne sont jamais exposées à l’internet. Au lieu d’accorder l’accès au réseau comme un VPN, la technologie ZTNA utilise une approche de micro-segmentation, où un segment sécurisé est créé entre l’utilisateur final et l’application nommée.

La ZTNA crée un environnement d’accès qui fournit un accès privé à une application pour un utilisateur individuel, et n’accorde que le niveau de privilèges le plus bas à cet utilisateur.

La technologie ZTNA découple l’accès aux applications de l’accès au réseau, créant ainsi un nouveau paradigme de connectivité. Les solutions basées sur la technologie ZTNA permettent également de capturer beaucoup plus d’informations qu’un réseau privé virtuel, ce qui facilite l’analyse et la planification de la sécurité.

Alors qu’un VPN peut uniquement suivre l’adresse IP, les données de port et les protocoles d’un appareil, les solutions ZTNA capturent des données autour de l’identité de l’utilisateur, de l’application nommée, de la latence, des emplacements et bien plus encore. Cela crée un environnement qui permet aux administrateurs d’être plus proactifs et de consommer et d’analyser plus facilement les informations.

Si la ZTNA peut constituer une avancée monumentale par rapport aux anciens systèmes VPN, les solutions ZTNA ne sont pas sans poser de problèmes. Les solutions ZTNA ne répondent pas aux problèmes de performance et d’évolutivité et peuvent manquer des éléments essentiels de la continuité, tels que le basculement et le réacheminement automatique du trafic.

En d’autres termes, le ZTNA peut exiger que ces solutions tierces supplémentaires soient ajoutées au mélange pour soutenir le PCA.

Résoudre les problèmes de ZTNA et de VPN avec SASE

Une technologie plus récente, qui porte le nom de SASE (Secure Access Service Edge)Les réseaux de données, comme les réseaux de données à valeur ajoutée, peuvent très bien avoir la réponse aux dilemmes de sécurité, de continuité et d’échelle que les ZTNA et les VPN introduisent dans l’équation de la mise en réseau.

Le modèle SASE (Secure Access Service Edge) a été proposé par les principaux analystes de la sécurité du Gartner, Neil MacDonald, Lawrence Orans et Joe Skorupa. Gartner présente SASE comme un moyen de réduire les piles de réseaux et de sécurité des SD-WAN en une offre totalement intégrée, facile à déployer et à gérer.

Gartner considère SASE comme un facteur de changement dans le monde des réseaux étendus et de la connectivité dans le nuage. La maison de la recherche prévoit que 40 % des entreprises adopteront SASE d’ici 2024. Cependant, un défi important demeure, les fournisseurs de réseaux et de cybersécurité sont encore en train d’élaborer leurs offres SASE, et très peu sont réellement disponibles à l’heure actuelle.

L’un de ces vendeurs est Réseaux Catoqui propose une solution SASE entièrement cuite et qui a été identifiée comme l’un des leaders du jeu SASE par Gartner.

SASE diffère considérablement des modèles VPN et ZTNA en s’appuyant sur une architecture en nuage native qui repose sur les concepts suivants SD-WAN (Réseau étendu défini par logiciel). Selon Gartner, SASE est une plateforme de connectivité basée sur l’identité qui utilise une architecture en nuage native pour prendre en charge une connectivité sécurisée à la périphérie du réseau qui est distribuée dans le monde entier.

SASE donne aux organisations l’accès à ce qui est essentiellement un réseau privé qui fonctionne dans le cadre de l’internet mondial. De plus, SASE intègre un basculement automatique, un réglage des performances en fonction de l’IA et de multiples chemins sécurisés dans le réseau fédérateur privé.

Le SASE est déployé à la périphérie du réseau, là où le réseau local se connecte à l’internet public pour accéder à des services en nuage ou autres. Et comme pour les autres offres SD-WAN, la périphérie doit se connecter à quelque chose au-delà des quatre murs du réseau privé.

Dans le cas de Cato, l’entreprise a créé un réseau fédérateur privé mondial, qui est connecté via plusieurs fournisseurs de réseau. Cato a construit un nuage privé qui peut être accessible sur l’internet public.

Le SASE offre également la possibilité de combiner les avantages du SDP avec la résilience d’un SD-WAN, sans introduire aucun des défauts d’un VPN.

L’accès instantané de Cato, un modèle de connectivité sans client qui utilise une solution de périmètre défini par logiciel (Software-Defined Perimeter, SDP) pour accorder aux utilisateurs distants autorisés un accès sécurisé aux applications diffusées dans le nuage, en est un bon exemple.

L’accès instantané offre une authentification à plusieurs facteurs, une signature unique, l’accès le moins privilégié et est intégré dans les piles combinées de réseau et de sécurité. Comme il est basé sur SASE, la visibilité totale de l’administrateur est une réalité, de même que le déploiement simplifié, l’évolutivité instantanée, la gestion intégrée des performances et le basculement automatisé.

Dans le cas de Cato, la protection continue contre les menaces protège les travailleurs à distance, ainsi que le réseau, contre les menaces basées sur le réseau. La pile de sécurité de Cato comprend le NGFW, le SWG, l’IPS, l’anti-malware avancé et le service de détection et de réponse aux menaces gérées (MDR). Bien entendu, Cato n’est pas le seul joueur dans le jeu SASE ; d’autres fournisseurs poussent dans le territoire SASE, notamment Cisco, Akamai, Palo Alto Networks, Symantec, VMWare et Netskope.

SASE s’attaque aux problèmes des VPN, des ZTNA — et plus

Avec les VPN qui se font rares et les ZTNA qui manquent de fonctionnalités essentielles, telles que la facilité d’extension et la gestion des performances, il devient rapidement évident que les CISO pourraient avoir besoin de se pencher longuement sur le SASE.

SASE s’attaque aux problèmes trop courants que les VPN introduisent dans un paradigme de travail à distance qui évolue rapidement, tout en offrant la sécurité centrée sur les applications que le ZTNA apporte à la table.

De plus, SASE apporte une sécurité avancée, une visibilité accrue et une fiabilité qui contribueront grandement à améliorer la continuité, tout en réduisant potentiellement les coûts.