SASE

Fonctionnement technique

SASE (Secure Access Service Edge), prononcé « sassy », est une architecture convergente définie par Gartner en 2019 qui fusionne les fonctions réseau (SD-WAN) et les services de sécurité cloud (CASB, SWG, ZTNA, FWaaS) dans une plateforme unifiée délivrée en mode cloud. L'objectif est de fournir un accès sécurisé et performant aux applications depuis n'importe quel emplacement, pour n'importe quel utilisateur ou appareil.

Les composants réseau incluent le SD-WAN (optimisation du routage entre sites, sélection dynamique du meilleur lien WAN) et le WAN Optimization (compression, déduplication, accélération protocolaire). Les composants sécurité comprennent le SWG (Secure Web Gateway, filtrage web et inspection TLS), le CASB (Cloud Access Security Broker, visibilité et contrôle des SaaS), le ZTNA (accès Zero Trust aux applications), et le FWaaS (Firewall as a Service, filtrage réseau cloud).

L'architecture SASE place les politiques de sécurité et le routage réseau dans des PoPs (Points of Presence) distribués mondialement, aussi proches que possible des utilisateurs. Contrairement à l'architecture traditionnelle qui force le trafic à transiter par le datacenter central (backhaul), SASE applique les politiques au point le plus proche de l'utilisateur, réduisant la latence et améliorant l'expérience.

Cas d'usage

Les entreprises avec des effectifs distribués (télétravail, multi-sites, nomades) adoptent SASE pour remplacer l'architecture réseau traditionnelle (MPLS + proxy on-premise + VPN) par une solution cloud unifiée. La consolidation des outils réduit la complexité opérationnelle : un seul dashboard remplace les consoles multiples de pare-feu, proxy, CASB et VPN.

Les migrations vers le cloud (SaaS, IaaS) bénéficient particulièrement du SASE. Quand les applications ne sont plus dans le datacenter, forcer le trafic à y transiter pour l'inspecter est contre-productif. SASE inspecte le trafic au PoP le plus proche, puis le route directement vers le cloud, optimisant les performances des applications SaaS comme Microsoft 365, Salesforce ou SAP.

Outils et implémentation

Zscaler est le leader du SSE (Security Service Edge) avec ZIA (Internet Access), ZPA (Private Access) et ZDX (Digital Experience). Palo Alto Prisma SASE combine Prisma Access (sécurité) et Prisma SD-WAN dans une plateforme unifiée. Netskope excelle dans le CASB et l'inspection de trafic cloud avec son moteur Cloud XD.

Cato Networks est le premier fournisseur SASE « single-vendor » avec un backbone privé mondial. Fortinet FortiSASE intègre FortiGate (SD-WAN) et FortiGuard (sécurité). Cisco combine Meraki (SD-WAN), Umbrella (SWG/DNS) et Duo (ZTNA). Cloudflare One offre une plateforme SASE avec son réseau edge de plus de 300 PoPs.

Défense / Bonnes pratiques

La migration vers SASE doit être progressive et planifiée. Commencez par le cas d'usage le plus impactant (typiquement le remplacement du VPN par le ZTNA pour les utilisateurs distants ou le SWG cloud pour le filtrage web). Évitez le « big bang » qui risque de perturber les opérations.

Évaluez les fournisseurs sur la couverture géographique de leurs PoPs (critique pour la latence), la profondeur d'inspection (TLS 1.3, inspection de contenu cloud, DLP), l'intégration avec votre IdP existant, et la maturité du SD-WAN si vous avez des sites physiques. Les solutions « single-vendor » simplifient l'intégration mais peuvent être moins « best-of-breed » sur certains composants.

Définissez des métriques de succès avant la migration : latence applicative, temps de connexion, taux de faux positifs du filtrage, et satisfaction utilisateur. Surveillez ces métriques pendant et après la migration pour valider les bénéfices. Assurez la résilience en planifiant des scénarios de panne du fournisseur SASE avec des chemins de fallback pour les applications critiques.

Articles associés

Voir nos articles détaillés sur ce sujet.