On entend souvent que le Firewall est une solution dépassée. Quelle est la réalité ?
Les annonces sur l’obsolescence du Firewall peuvent prêter à confusion. Beaucoup de PME ont encore besoin d’une défense périmétrique traditionnelle. Tout dépend de leur contexte. Une petite entreprise qui n’utilise qu’un serveur local, avec des accès internes, n’a pas forcément besoin d’aller au-delà d’un Firewall couplé à un filtrage DNS. En revanche, dès que les collaborateurs deviennent plus mobiles et que l’adoption du cloud s’accélère, le périmètre du SI se dilate et devient flou, voire hybride. Il faut alors se poser la question de la protection de ce nouveau périmètre et de l’accès sécurisé à ces ressources.
La transition vers le cloud change-t-elle radicalement l’approche de la sécurisation du SI ?
Absolument. Avec le cloud, les applications SaaS et l’infrastructure as a service (IaaS), couplés au télétravail, les entreprises font face à une complexité croissante. Elles s’appuient souvent sur un ensemble d’outils pour protéger les accès cloud et on-premise, gérer les postes clients et sécuriser la navigation. Ce mille feuilles technologique peut rapidement devenir coûteux mais également générer des erreurs de configuration. C’est là qu’une solution Security Service Edge (SSE) prend tout son sens : elle améliore la posture de sécurité des entreprises et consolide la gestion des différents outils, réduisant ainsi les coûts et les risques d’erreur.
Quelles sont les briques technologiques d’une approche SSE et quels bénéfices concrets peut-elle apporter ?
Le SSE repose sur trois briques principales. Premièrement, le Zero Trust Network Access (ZTNA) protège l’accès aux ressources internes, que ce soit en mode cloud ou on-premise, en validant continuellement l’identité de l’utilisateur et de son appareil. Deuxièmement, le Cloud Access Security Broker (CASB) garantit une sécurité homogène pour les applications SaaS telles qu’Office 365 ou Salesforce. Enfin, le Secure Web Gateway (SWG) protège la navigation internet et prévient les menaces provenant des emails ou du web. Ensemble, ces solutions assurent une protection complète et cohérente pour tous les accès.
Cette architecture décentralisée présente-t-elle d’autres avantages, notamment en termes de performance ?
Oui, l'approche SSE décentralise la sécurité en apportant plus d’intelligence sur l’appareil de l’utilisateur. Contrairement à un Firewall centralisé qui inspecte tout le trafic, le SSE permet notamment une inspection locale des activités sur l’appareil, ce qui réduit les goulots d’étranglement sur le réseau et améliore l’expérience utilisateur. Cette approche plus légère et distribuée évite d’acheminer tout le trafic vers un point unique pour inspection.
La transition vers le SSE implique-t-elle un changement radical des pratiques de sécurité ?
Non, et c’est là que SonicWall se distingue. Contrairement à d’autres éditeurs qui prônent une rupture complète avec les anciennes pratiques, nous proposons une transition progressive qui accompagne l’évolution de l’entreprise. Nous nous intégrons facilement dans les environnements existants, qu’ils utilisent ou non des produits SonicWall. Cela permet d’évoluer vers une architecture SSE sans devoir tout remplacer. Notre approche s’adapte aux besoins de chaque entreprise, que ce soit pour un Firewall local ou une architecture plus complexe.
Peut-on commencer par un périmètre restreint et étendre progressivement la solution SSE ?
Absolument. Chez SonicWall, nous préconisons une démarche progressive, en identifiant d’abord un cas d’usage clé où notre solution Cloud Secure Edge (CSE) peut apporter des bénéfices rapides.
Par exemple, la modernisation des VPN et des firewalls, qui ne suffisent plus à sécuriser les accès dans un contexte de mobilité croissante des utilisateurs et d’augmentation de la consommation du cloud. Cela simplifie la gestion opérationnelle tout en renforçant les performances réseau.
Autre cas d’usage, la sécurisation des accès internet est essentielle pour bloquer les sites malveillants et renforcer la sécurité des connexions, notamment en combinant l’authentification de l’utilisateur avec la vérification de l’identité de l’appareil et de sa posture. Ainsi, même si des identifiants sont compromis, l’appareil doit être conforme avant d’accéder aux ressources critiques.
Un autre axe de priorité concerne la sécurisation des utilisateurs à haut risque, tels que les tiers, les utilisateurs BYOD, ou encore dans le cadre de fusions-acquisitions (FUSAC).
Vous évoquez les fusions-acquisitions, un contexte assez courant pour les PME en croissance. Quels sont les enjeux spécifiques de sécurité dans ce type de situation ?
Dans le cadre des fusions-acquisitions, les enjeux de sécurité sont multiples. Il s'agit non seulement d'intégrer des systèmes et des utilisateurs provenant de plusieurs organisations différentes, mais aussi de gérer des risques accrus liés à des appareils ou des réseaux externes qui ne respectent pas forcément les mêmes normes de sécurité.
L'un des principaux défis est de sécuriser rapidement l'accès aux ressources critiques tout en limitant les privilèges. Les équipes IT doivent s'assurer que seuls les utilisateurs autorisés accèdent aux données sensibles, souvent en provenance de multiples entités, sans compromettre la sécurité globale du réseau. Leur mission implique d'établir des contrôles stricts sur les nouveaux appareils introduits dans l'environnement.
Une architecture SSE permet d'unifier ces accès rapidement de manière sécurisée. En vérifiant en permanence la posture des appareils – par exemple en s'assurant que les disques sont chiffrés ou que les mises à jour de sécurité sont bien réalisées – il devient possible de restreindre les actions de chaque utilisateur en fonction de l'état de son appareil et de ses besoins spécifiques. Cette granularité garantit que l’accès aux ressources critiques, comme les bases de données clients ou les systèmes de production, est contrôlé de manière stricte, même lors d’une transition complexe comme une fusion-acquisition.
L’avantage d’une telle solution est qu’elle permet de configurer des profils d’accès adaptés à chaque groupe d’utilisateurs, qu'il s'agisse de nouveaux collaborateurs ou de tiers ayant besoin d’un accès temporaire. Cette flexibilité rend le processus de fusion plus fluide, tout en maintenant un niveau élevé de sécurité. Il n’est donc pas nécessaire de revoir l’ensemble de l’infrastructure d’un coup ; la solution évolue en fonction des besoins, permettant aux PME en croissance de gérer progressivement l'intégration des nouvelles entités sans s’exposer à des failles de sécurité.