La solution Security Service Edge (SSE) est un concept de cybersécurité mis en place par Gartner en 2021. Le service SSE est le composant de sécurité de SASE (Secure Access Service Edge). Selon Gartner, le SSE désigne un ensemble de fonctionnalités de sécurité intégrées et centrées sur le Cloud, notamment l’accès au réseau zéro confiance (ZTNA), Cloud Access Security Broker (CASB), Firewall as-a-service (FWaaS) et la passerelle Web sécurisée (SWG). L’objectif de SSE est de sécuriser l’accès à tous les services Web et Cloud, ainsi qu’aux applications hébergées localement.

SSE permet aux utilisateurs des applications, des données et des actifs d’une entreprise un accès sécurisé et fiable aux ressources et offre la possibilité de suivre le comportement des utilisateurs pour identifier les anomalies pouvant être causées par des acteurs malveillants ou une cyberattaque.

Les solutions SSE fournissent une connectivité sécurisée aux utilisateurs via des services Cloud, éliminant le besoin de connecter les utilisateurs directement au réseau d’entreprise pour les services Cloud. Ainsi, il n’est plus nécessaire d’exposer inutilement l’infrastructure informatique ou les applications d’une entreprise, ni de recourir à une segmentation du réseau complexe. Au lieu de cela, le SSE connecte les utilisateurs de manière sécurisée aux applications Internet. Lorsqu’il est associé à la surveillance de l’expérience numérique (DEM), le SSE peut faciliter la surveillance des applications, des terminaux et des performances réseau, ce qui stimule la productivité des utilisateurs.

La solution Secure Access Service Edge (SASE) a été présentée pour la première fois par Gartner en 2019. Elle combinait les technologies de réseau et de sécurité dans une plate-forme Cloud conçue pour accélérer et sécuriser la transformation du Cloud. Selon Gartner, « les fonctionnalités SASE sont fournies sous forme de service en fonction de l’identité de l’entité, du contexte en temps réel, des règles de sécurité/conformité de l’entreprise et d’une évaluation continue du risque/de la confiance tout au long des sessions. Les identités des entités peuvent être associées à des personnes, des groupes de personnes, des terminaux, des applications, des services, des systèmes IoT ou des sites d’Edge Computing. »

• Visibilité approfondie sur le comportement des utilisateurs et des applications qui permet de détecter les menaces et d’accélérer la réponse
• Amélioration de la protection des données grâce à une approche zéro confiance qui réduit la surface d’attaque, élimine les problèmes de surprovisionnement des accès privilégiés et aide à prévenir les rançongiciels et autres menaces internes et externes
• Économies réalisées en combinant plusieurs technologies de sécurité et d’accès au réseau dans une seule plate-forme qui est souvent fournie via des tarifs d’abonnement. Le département informatique contrôle ainsi les dépenses et les coûts prévisibles.
• Amélioration de l’expérience utilisateur. La latence est minimisée en éliminant le besoin de backhauls vers un Data Center pour l’accès au Cloud ou le besoin de VPN de site à site.
• Amélioration de la prise en charge du travail hybride grâce aux connexions sécurisées entre le Cloud et les ressources informatiques on premise et la simplification de la migration Cloud.

Cloud Access Security Broker ou CASB) : - CASB est un intermédiaire entre les utilisateurs et les services sur le réseau. Cette solution offre les services suivants :

-Extension des règles de sécurité de l’infrastructure on premise existante au Cloud

- Transparence de la sécurité et des problèmes de conformité

- Découverte des risques dans les applications SaaS en analysant les applications pour voir une violation des règles ou un logiciel malveillant

- Suivi des flux de données entre plusieurs applications pour utiliser les ressources SaaS, Cloud ou on premise tout en protégeant les données dans un environnement hybride multicloud

-

Accès au réseau zéro confiance (ZTNA) : - L’approche ZTNA propose un accès basé sur des règles aux services et aux applications. Ainsi, chaque transaction est authentifiée en partant du principe qu’aucun terminal ou utilisateur n’est sécurisé. Par défaut, la technologie ZTNA refuse l’accès aux ressources jusqu’à ce qu’un utilisateur, un terminal ou une application ait été authentifié. Elle fournit ensuite l’accès minimum pour effectuer la transaction, à l’opposé des VPN qui offrent un accès illimité à un utilisateur une fois authentifié. Les services ZTNA incluent :

- L’authentification ou les utilisateurs basés sur l’identité, fournissant un accès en fonction du rôle uniquement aux données ou services nécessaires à une tâche précise

- Contrôle centralisé et suivi des utilisateurs, des données et de leur emplacement, et du trafic réseau

- Surveillance des menaces selon l’activité réseau

- Application des règles de sécurité pour les applications on premise, Cloud ou SaaS, peu importe où résident les données

Passerelle Web sécurisée (SWG) : - Une SWG arrête le trafic non autorisé, avant qu’il ne pénètre le réseau de l’entreprise. En parallèle, elle permet aux utilisateurs autorisés d’accéder aux sites Web approuvés par l’entreprise. Les fonctions SWG comprennent :

- Une inspection des paquets et du contenu pour repérer du contenu malveillant

- Le filtrage d’URL

- Les contrôles d’accès au Web

Les SWG fournissent un accès Internet sécurisé aux utilisateurs et contribuent à la protection contre l’exfiltration des données. Les SWG vont bloquer l’accès aux sites Web interdits ou inappropriés en fonction des règles de l’entreprise

Firewall as a Service (FWaaS) :- Le FWaaS fournit un pare-feu Cloud qui regroupe le trafic réseau de plusieurs sources comme l’infrastructure on premise, les succursales, les utilisateurs mobiles et les applications Cloud. Le FWaaS offre à tous ces utilisateurs et emplacements un niveau cohérent de sécurité et d’application des règles, quel que soit l’utilisateur ou l’emplacement, tout en offrant transparence et visibilité pour la surveillance et le contrôle du réseau, le tout sans qu’il soit nécessaire de déployer une appliance de pare-feu physique.