Cybersecurity

Governance, Resilience, IAM, PAM, DLP, SIEM, SOC

Aborder le SASE en quatre étapes

Déc 14, 2022 | Cyber Security | 0 commentaires

L’approche SASE (Secure Access Service Edge) implique souvent une transformation complète de l’approche d’une organisation de la sécurité et de la connectivité réseau. CloudFlare propose de l’aborder en quatre étapes.

Dessiner un diagramme : à quoi ressemble le trafic du réseau ?

Établir une carte du trafic du réseau et de la manière dont il circule entre les utilisateurs, les différents sites et les data centers, également avec les applications professionnelles vitales. Indiquer, sur une échelle de 1 à 10, les connexions qui présentent le plus de latence ou de complexité. Cette latence peut être liée au réacheminement, aux VPN, aux circuits MPLS ou à d’autres décisions de routage qui n’ont plus de sens pour l’entreprise.

Cette démarche peut faciliter les modifications à apporter dès le début du processus. Egalement à trouver des manières d’éviter le réacheminement des données par les VPN, les circuits MPLS et les pare-feux. Puisque « l’effet trombone » de ces solutions existantes ajoute de la latence et une complexité inutile, déterminer sur la carte où le trafic est traité (et où se trouvent les utilisateurs). A la clé, des dispositions rapides pouvant générer des améliorations.

Établir une liste et un classement : où se situent les principaux risques au regard des menaces internes ?

Le modèle SASE commence par une stratégie de sécurité Zero Trust qui limite l’accès aux ressources en fonction d’une évaluation en temps réel de l’identité et de la posture. Évaluer quels utilisateurs disposent peut-être d’autorisations d’accès excessives à des ressources. Pour cela, établir une liste des principaux groupes d’utilisateurs. Ensuite, classer ceux qui disposent d’un accès privilégié aux services. Les groupes situés en tête de liste pourraient être un bon point de départ.

Quelques exemples de questions révélatrices à se poser :

° Les développeurs peuvent-ils accéder à l’infrastructure via SSH pendant de longues périodes sans devoir se ré-authentifier ?

° Les sous-traitants disposent-ils d’un accès limité dans le temps ou de droits d’accès généraux ?

° Les cadres disposent-ils de droits de super-administrateur sur des applications susceptibles de présenter un risque ?

Établir un calendrier : quand expirent les contrats existants de connectivité réseau et de sécurité réseau ?

L’identification des dates d’expiration des contrats concernant les solutions existantes peut aider à promouvoir une progression naturelle vers un environnement SASE et à contrôler les coûts. Si des équipements physiques de protection contre les attaques DDoS et de pare-feu doivent être remplacés ou si le contrat MPLS doit être renouvelé prochainement, le moment peut être opportun pour effectuer des changements plus importants.

Planifier les migrations afin qu’elles coïncident avec l’ouverture de nouvelles succursales ou avec des fusions et acquisitions peut également offrir une fenêtre naturelle de changement et de consolidation.

Si des contrats de produits existants arrivent à terme, mais si l’on n’est pas encore prêt à effectuer la migration, envisager un contrat de renouvellement plus court, afin de se laisser des choix à moyen terme.

Faire le point de la situation : quelles solutions rapides sont envisageables pour les services concernés ?

Des débuts modestes peuvent être un moyen de prendre de l’élan et d’accroître le soutien des différents intervenants, et ainsi, d’améliorer la probabilité d’adhésion à des projets plus importants à l’avenir. À cette fin, envisager de commencer par un programme pilote de déploiement d’une approche SASE.

Par où commencer avec ce projet pilote ? Examiner quelles équipes, unités et applications pourraient constituer le projet pilote d’une migration, idéalement avec suffisamment de flexibilité pour rationaliser le déploiement. Traiter les équipes comme des clients dont on résout les problèmes de productivité.

Il s’agit de tenir compte des aspects suivants :

° Flexibilité et ouverture au changement -par exemple, l’équipe de sécurité peut être un premier client idéal pour la mise en œuvre d’une infrastructure SASE.

° Les rôles les plus exposés aux attaques, tels que les développeurs, qui ont accès à des données précieuses.

° La rapidité potentielle de la migration -les entrepreneurs sont souvent un type d’utilisateur dont les besoins d’accès sont limités, ce qui peut simplifier une migration.

Lors des discussions concernant le modèle SASE, il est naturel que les questions technologiques dominent la conversation. Garder à l’esprit que les changements transformationnels impliquant les personnes, les processus et les budgets seront également essentiels au succès.