Sécurité du réseau à l’ère de la transformation : Zero Trust, SASE et conception de réseaux sécurisés
Les réseaux d’entreprise ne sont plus confinés aux immeubles de bureaux, aux centres de données privés et aux points d’extrémité contrôlés. Les utilisateurs se connectent de partout, les applications fonctionnent à la fois dans le nuage et sur place et les données critiques de l’entreprise circulent en continu entre des emplacements distribués. À mesure que la transformation numérique s’accélère, le réseau est devenu à la fois un vecteur d’innovation et un point de contrôle de sécurité critique.
Ce changement entraîne une nouvelle attention portée à la modernisation de la sécurité des réseaux. Les modèles de sécurité traditionnels étaient construits autour d’un périmètre fixe, où les utilisateurs et appareils à l’intérieur du réseau étaient généralement dignes de confiance. Mais dans une entreprise hybride axée sur le nuage, ce périmètre n’est plus clair. La sécurité doit désormais suivre les utilisateurs, charges de travail, appareils et applications peu importe où ils opèrent.
Pour les responsables TI, la priorité n’est pas simplement d’ajouter plus d’outils de sécurité. Il s’agit de concevoir une stratégie de transformation réseau sécurisée qui intègre la sécurité à l’architecture du réseau dès le départ.
Pourquoi les réseaux hérités créent des vulnérabilités de sécurité modernes
Les réseaux hérités étaient souvent conçus comme des environnements plats, basés sur le périmètre. Une fois qu’un utilisateur ou appareil obtenait l’accès au réseau interne, il pouvait souvent atteindre plusieurs systèmes avec peu de segmentation. Ce modèle fonctionnait mieux lorsque les employés, les applications et l’infrastructure étaient principalement centralisés.
Aujourd’hui, cette hypothèse n’est plus valable. Le travail hybride, l’adoption du nuage, les applications SaaS, les appareils connectés et les emplacements en périphérie ont élargi la surface d’attaque de l’entreprise. Un utilisateur peut accéder à des applications à partir de son réseau domestique. Une charge de travail peut fonctionner dans un nuage public. Un emplacement de succursale peut se connecter directement à Internet. Dans cet environnement, l’idée d’un réseau interne digne de confiance devient risquée.
C’est ici que le débat autour de zero trust vs la sécurité périmétrique pour les réseaux d’entreprise devient important. La sécurité périmétrique vise à défendre la limite. Zero trust part du principe qu’aucun utilisateur, appareil ou connexion ne doit être automatiquement approuvé, même s’il se trouve déjà à l’intérieur du réseau.
Les architectures plates accroissent également le risque de mouvements latéraux d’attaquants. Si ces derniers compromettent un identifiant ou un point d’extrémité, ils peuvent être en mesure de se déplacer à travers les systèmes et accéder à des données sensibles. Pour les entreprises en transformation, moderniser le réseau sans moderniser la sécurité peut engendrer de nouvelles vulnérabilités au lieu de réduire les risques.
Accès réseau Zero Trust (ZTNA) : principes et mise en œuvre
La philosophie zero trust repose sur un principe simple : ne jamais faire confiance par défaut, toujours vérifier. L’accès réseau zero trust (ZTNA) applique ce modèle en accordant aux utilisateurs uniquement l’accès aux applications et ressources précises pour lesquelles ils sont autorisés, au lieu d’un accès généralisé au réseau.
Les principes de base du ZTNA incluent l’accès basé sur l’identité, le principe du moindre privilège, la vérification continue, l’évaluation de l’état de l’appareil et l’application de politiques contextuelles. Plutôt que de supposer qu’un utilisateur est sécuritaire parce qu’il se trouve sur le réseau d’entreprise, le ZTNA évalue chaque demande d’accès selon des facteurs comme l’identité de l’utilisateur, la santé de l’appareil, l’emplacement, le niveau de risque et la sensibilité de l’application.
Pour les équipes TI, la mise en œuvre débute par une compréhension de qui doit accéder à quoi. Cela implique de cartographier les utilisateurs, applications, flux de données et rôles d’affaires. Les politiques d’accès devraient ensuite être conçues selon les besoins de l’entreprise et non l’emplacement réseau. Par exemple, un utilisateur de la finance peut avoir besoin d’accéder à une application de rapports précise, mais pas à l’infrastructure plus large.
Le ZTNA permet aussi une meilleure segmentation. En limitant l’accès aux applications approuvées, les entreprises peuvent réduire leur exposition inutile et limiter l’impact d’identifiants ou d’appareils compromis. Pour les organisations qui remplacent les modèles VPN traditionnels, le ZTNA offre une méthode plus précise et évolutive d’accès sécurisé.
SASE comme architecture réseau axée sur la sécurité
La Secure Access Service Edge, ou SASE, rassemble réseautique et sécurité dans une architecture unifiée livrée dans le nuage. Une architecture SASE combine généralement des capacités telles que SD-WAN, passerelle web sécurisée, courtier de sécurité d’accès au nuage, pare-feu en tant que service, ZTNA, isolement du navigateur à distance, prévention des pertes de données et sécurité DNS dans un cadre en nuage.
La valeur du SASE réside dans la convergence. Plutôt que de gérer des outils de réseautique et de sécurité séparés sur différents environnements, les entreprises peuvent appliquer des politiques cohérentes grâce à un modèle intégré. Cela contribue à réduire la complexité tout en améliorant la visibilité et le contrôle.
SASE est particulièrement pertinent pour les entreprises réparties. Les utilisateurs n’ont plus à retourner au centre de données central pour l’inspection de sécurité. La sécurité peut être livrée plus près de l’utilisateur, de la succursale, du service ou de l’application en nuage. Cela soutient une meilleure performance tout en maintenant une protection cohérente.
Une architecture SASE priorisant la sécurité aide les entreprises à sécuriser l’accès à Internet, aux applications infonuagiques, aux applications privées et à la connectivité de succursale à travers un cadre de politiques commun. Pour les DSI et les CTO, cela fait du SASE non seulement une mise à niveau du réseau, mais un fondement stratégique pour des opérations numériques sécurisées.
La valeur que le SASE livre à une organisation réside dans la cohésion de la sécurité offerte par le SSE et les divers cas d’utilisation fournis par le SDWAN.
Nous recommandons fortement aux dirigeants d’entreprises de prendre la décision de transformation SASE en évaluant en détail complet ce que chaque sous-composant du SASE peut offrir, puis en l’alignant avec la carte des besoins de l’organisation :
Accès réseau Zero Trust (ZTNA) : la sécurité ZTNA applique une approche « ne jamais faire confiance, toujours vérifier, appliquer le moindre privilège ». Elle met en œuvre le contrôle d’accès centré sur l’identité, l’accès au moindre privilège, la vérification continue, l’évaluation de la posture de l’appareil, le masquage d’application et le micro-tunnelage chiffré pour offrir un accès sécurisé aux utilisateurs.
Passerelle web sécurisée (SWG) : offre des fonctions de sécurité comme la détection de logiciels malveillants, le bac à sable de fichiers, l’intelligence dynamique des menaces, le déchiffrement SSL, le filtrage du contenu applicatif.
Cloud Access Security Broker (CASB) : Identifie l’utilisation d’applications en nuage à travers des plateformes infonuagiques. Il détecte les usages non sanctionnés, applications à haut risque et profils. Offre aussi la capacité de détecter et d’alerter lors d’activités utilisateur anormales.
Pare-feu en tant que service : offre une visibilité et un contrôle de niveau 3 et 4 (IP, port et protocole) ainsi que des règles de niveau 7 (contrôle des applications) et l’anonymisation IP.
Sécurité des noms de domaine (DNS) — Sécurité de couche DNS : offre une sécurité au niveau du DNS et du protocole Internet. Fournit une sécurité à chaque fois qu’un utilisateur tente d’accéder à un site web ou tout autre service ou Internet.
SDWAN : Résout des cas d’utilisation clés, notamment le besoin d’un WAN sécurisé automatisé, l’optimisation de la performance applicative, l’accès direct à Internet sécurisé et la connectivité multinuage. Les solutions SDWAN modernes offrent NBAR – reconnaissance des applications basée sur le réseau, classification du trafic de couche 7, permettant un routage distinct, une sécurité et une QoS au niveau applicatif, ce qui permet aux organisations de concevoir une véritable infrastructure réseau centrée sur l’application.
Sécuriser les environnements réseau hybrides et multinuages
L’une des plus grandes questions pour les responsables TI est de savoir comment sécuriser un réseau hybride pendant une transformation. Les environnements hybrides sont complexes puisqu’ils couvrent des centres de données sur place, des nuages publics, des plateformes SaaS, des succursales, des utilisateurs à distance et des emplacements périphériques. Chaque environnement peut avoir des contrôles, niveaux de visibilité et modèles opérationnels différents.
Le premier défi est la cohérence. Les politiques de sécurité ne devraient pas changer selon l’emplacement d’une application ou de la provenance de la connexion d’un utilisateur. Les entreprises ont besoin de contrôles d’accès unifiés, de visibilité centralisée et d’application cohérente entre environnements infonuagiques et sur site.
Le deuxième défi est la segmentation. Les réseaux hybrides devraient être conçus pour limiter la circulation inutile entre les environnements. Les charges de travail critiques, les données sensibles et les systèmes privilégiés doivent avoir des contrôles d’accès et une surveillance renforcée.
Le troisième défi est la visibilité. Les équipes TI doivent comprendre les flux de trafic, le comportement des utilisateurs, la posture des appareils et les dépendances applicatives à travers les environnements. Sans cette visibilité, il devient difficile de détecter les risques, d’appliquer les politiques ou de répondre rapidement aux incidents.
Sécuriser les réseaux hybrides et multinuages nécessite un modèle où l’identité, les politiques, le chiffrement, la surveillance et la protection contre les menaces fonctionnent ensemble dans tout le domaine du réseau.
Élaborer une stratégie de modernisation réseau axée sur la sécurité par conception
Un solide programme de modernisation devrait traiter la sécurité comme principe de conception et non comme un ajout. Trop souvent, les entreprises modernisent d’abord leur connectivité puis tentent d’ajouter des contrôles de sécurité par la suite. Cela peut créer des lacunes, accroître la complexité et ralentir la transformation.
Une approche “sécurité par conception” intègre les contrôles à chaque phase du processus de transformation du réseau. Lors de l’évaluation, les entreprises doivent identifier les risques actuels, les dépendances héritées, les modèles d’accès et les exigences de conformité. À la conception de l’architecture, il faut définir la segmentation, les contrôles d’identités, les modèles de politiques et les besoins de connectivité sécurisée. À l’implantation, il faut valider les configurations, tester les règles d’accès et surveiller toute exposition inattendue.
Cette approche exige aussi un alignement entre les équipes réseau, sécurité, nuage et applications. La transformation réseau n’est plus qu’un projet de connectivité. C’est une initiative transversale qui touche la posture de sécurité, l’expérience utilisateur, la performance applicative et la résilience de l’entreprise.
La stratégie de transformation réseau la plus efficace combine les principes zero trust, l’architecture SASE et la conception réseau moderne. Elle réduit la dépendance à la confiance implicite, renforce le contrôle d’accès et crée un modèle de sécurité plus adaptatif pour les entreprises hybrides.
Alors que les entreprises poursuivent leur modernisation, la sécurité du réseau doit évoluer de la défense périmétrique vers une protection continue, tenant compte de l’identité. Les principes zero trust, SASE et de sécurité par conception offrent aux organisations la base pour sécuriser leur transformation à grande échelle tout en permettant l’agilité requise par les entreprises d’aujourd’hui.







