Le télétravail a profondément perturbé les modèles d’accès réseau hérités des entreprises. Les VPN traditionnels peinent à suivre la dispersion des applications et des utilisateurs. La montée du cloud et de la mobilité impose une remise à plat des stratégies.
Cet enjeu rend visibles les approches SASE, Zero Trust et leurs compromis techniques. Les DSI cherchent une sécurité qui protège les données sans nuire à l’expérience utilisateur. Comprendre ces options permet d’aligner sécurité, coût et agilité pour l’accès distant.
A retenir :
- Sécurité renforcée des accès applicatifs sans périmètre physique
- Visibilité centralisée du trafic cloud et des utilisateurs distants
- Réduction des consoles et des coûts d’exploitation pour les DSI
- Application cohérente des politiques Zero Trust pour toutes ressources
VPN : limites opérationnelles pour l’accès réseau du télétravail
Après la synthèse des enjeux, le VPN montre des limites face aux usages dispersés. Les tunnels VPN forcent souvent le routage via des centres de données centralisés, ajoutant latence. Ces contraintes poussent à considérer des architectures cloud-native comme le SASE pour la suite.
Les environnements hybrides et les applications SaaS réduisent l’efficacité des proxys et des VPN périmétriques. Selon Gartner, le trafic cloud ne nécessite plus toujours de passer par un tunnel centralisé, ce qui remet en cause les anciens schémas de filtrage. Les équipes réseau doivent désormais repenser la visibilité et le contrôle applicatif pour tous les utilisateurs.
La gestion des certificats et la multiplication des points d’inspection complexifient l’exploitation quotidienne. Selon Nemertes, l’adoption d’un modèle unifié réduit notablement la complexité pour les organisations qui le déploient. Il reste essentiel de prévoir un plan de migration progressif pour limiter les risques opérationnels.
Limitations techniques VPN :
- Routage forcé vers datacenter
- Visibilité limitée des applications cloud
- Complexité de gestion des certificats
- Impact perceptible sur la performance utilisateur
Fournisseur
Offre VPN / SD‑WAN
Approche SASE
Cas d’usage recommandé
Cisco
SD‑WAN et tunnels gérés
Intégration via plateforme cloud et appliances
Grandes entreprises avec datacenters hybrides
Palo Alto Networks
VPN et pare‑feu avancés
SASE via intégration Prisma Access
Organisations axées sécurité applicative
Fortinet
Solutions SD‑WAN et UTM
SASE via convergences sécurité réseau
Environnements multi‑sites cherchant performance
Juniper Networks
SD‑WAN et routage évolutif
Partenariats SASE pour inspection cloud
Opérateurs réseau et intégrateurs
Zscaler
Accès cloud natif
SASE centré cloud et ZTNA
Usage intensif de SaaS et utilisateurs distants
« J’ai migré notre service VPN vers un abord SASE partiel et j’ai constaté une baisse des tickets réseau. L’expérience utilisateur est restée stable malgré la complexité initiale. »
Alexandre N.
SASE pour le télétravail : convergence réseau et sécurité
En réponse aux limites du VPN, le SASE propose une convergence réseau-sécurité. Ce modèle regroupe SD‑WAN, SWG, CASB, FWaaS et ZTNA au sein d’une plateforme. La capacité d’inspection complète du trafic facilite ensuite la mise en œuvre du Zero Trust.
Selon Gartner, le SASE permet d’appliquer des politiques de sécurité cohérentes sur l’ensemble du trafic, qu’il soit internet ou privé. Les entreprises qui adoptent le SASE cherchent à réduire le nombre de consoles et à unifier la visibilité réseau. Cette approche vise aussi à diminuer les points de chiffrement-déchiffrement successifs, limitant ainsi les expositions vulnérables.
Composants clés SASE :
- SD‑WAN pour optimisation des chemins réseau
- SWG pour filtrage web et contrôle des contenus
- CASB pour contrôle des applications cloud
- ZTNA pour accès applicatif basé identité
- DLP pour prévention des fuites de données
La démarche SASE réduit la duplication des fonctions de sécurité et la complexité opérationnelle. Selon Nemertes, les organisations ayant déployé SASE observent une efficacité accrue dans la gestion des politiques. Il convient d’évaluer les contrats en cours pour synchroniser les migrations SASE avec les renouvellements.
Critère
SASE
VPN classique
Visibilité
Centralisée et appliquée à tout le trafic
Limitée au tunnel et au périmètre
Sécurité
Inspection complète et cohérente
Inspection souvent fragmentée
Déploiement
Cloud‑native, évolutif
Infrastructure locale lourde
Coûts
Consolidation possible des services
Multiplication d’outils et licences
« Nous avons choisi une offre SASE pour réduire le nombre de consoles et unifier les politiques. Le retour a été une baisse sensible des coûts opérationnels. »
Marion N.
Architecture SASE et intégration des fournisseurs
Ce paragraphe explique le lien entre la convergence SASE et les offres des éditeurs majeurs. Les acteurs comme Cisco, Palo Alto Networks et Fortinet publient des suites qui mêlent SD‑WAN et sécurité cloud. L’intégration complète reste variable selon le fournisseur et le niveau d’orchestration proposé.
Choix fournisseurs SASE :
- Cisco : approche matérielle et cloud hybride
- Palo Alto Networks : sécurité applicative et CASB
- Zscaler : accès cloud natif et ZTNA
- Fortinet : performance et outils unifiés
Mise en œuvre pratique et retours d’expérience
Cette sous‑partie illustre des scénarios déployés en production et des enseignements pratiques. Plusieurs intégrations réussies combinent SD‑WAN et ZTNA, avec test progressif par sites. L’objectif consiste à garantir continuité de service tout en conservant une pression forte sur la sécurité.
« Après un pilote de six mois, la bascule progressive a réduit les incidents liés aux accès distants. Les équipes ont gagné en sérénité opérationnelle. »
Thomas N.
Zero Trust et ZTNA : verrouiller l’accès applicatif à distance
Après la fusion réseau-sécurité du SASE, le Zero Trust s’attache à l’accès applicatif. Selon Forrester Research, le Zero Trust exige inspection, moindre privilège et journalisation exhaustive du trafic. Les étapes de migration restent la clé pour réussir un passage complet.
Le ZTNA traduit ces principes au niveau applicatif, en vérifiant identité et posture avant d’accorder un accès. Selon Forrester Research, ZTNA évite l’ouverture d’un tunnel réseau complet vers des ressources sensibles. Les équipes sécurité affinent ainsi les contrôles par application et par session.
Stratégies de migration Zero Trust :
- Évaluer les applications critiques et leur exposition
- Déployer ZTNA en mode pilote sur groupes restreints
- Appliquer un principe de moindre privilège progressif
- Instrumenter l’audit et la journalisation exhaustive
Contrôle d’accès granulaires et outils du marché
Cette partie situe le rôle des solutions et des fournisseurs dans l’écosystème Zero Trust. Des acteurs comme Checkpoint, Sophos et Barracuda couvrent des segments de sécurité complémentaires. Cloudflare et Aruba (HPE) apportent quant à eux des optimisations réseau et d’accès pour les environnements distribués.
Fonction
ZTNA
VPN
Contrôle applicatif
Granulaire, basé identité
Large, basé réseau
Visibilité session
Détaillée par application
Limitée au tunnel
Moindre privilège
Appliqué par défaut
Souvent non implémenté
Interopérabilité
Intégration cloud-native
Dépendances sur appliances locales
Plan d’action pour les DSI et cas pratique
Ce paragraphe propose un cheminement opérationnel pour une migration pragmatique vers ZTNA. Démarrer par un périmètre restreint permet de valider politiques et impacts sur l’usage. Ensuite, étendre graduellement en mesurant l’expérience utilisateur et les indicateurs de sécurité.
« Mon équipe a commencé par protéger les applications RH avec ZTNA, ce qui a réduit les accès non autorisés. Cette approche graduelle a facilité l’adoption. »
Élodie N.
Source : Gartner, « Secure Access Service Edge », Gartner, 2019.