Infrastructure

SASE et SD-WAN : moderniser le réseau d'entreprise

SASE et SD-WAN : comment moderniser le réseau d'entreprise en convergant sécurité et accès dans une architecture cloud distribuée, avec feuille de route opérationnelle.

Marc Aubert · Mis à jour le par Marc Aubert

Les architectures réseau d’entreprise conçues autour d’un périmètre centralisé montrent leurs limites face à la dissémination des usages : applications SaaS, accès distants massifs, sites distribués et flux cloud-to-cloud. SASE (Secure Access Service Edge) et SD-WAN sont devenus les deux leviers de modernisation que les DSI et RSSI évaluent en priorité. Comprendre leur périmètre respectif, leurs intersections et les conditions de déploiement permet d’éviter les pièges courants d’une migration mal séquencée.

SD-WAN : optimisation réseau sans sécurité native

Le SD-WAN (Software-Defined Wide Area Network) découple le plan de contrôle du plan de données pour abstraire les liaisons physiques (MPLS, haut débit public, 4G/5G) en une surcouche logique pilotable par politique. Les bénéfices opérationnels sont documentés : routage dynamique basé sur la qualité de lien en temps réel, réduction de la dépendance au MPLS sur les sites secondaires, et visibilité applicative granulaire (QoS par flux). Le MEF Forum a formalisé les attributs de service SD-WAN dans le standard MEF 70.1, qui constitue aujourd’hui la référence normative sectorielle.

Ce que le SD-WAN n’apporte pas nativement : un modèle d’accès zero trust, l’inspection du trafic chiffré, la détection de menaces avancées, ni la gouvernance des accès aux applications SaaS. Déployé seul, il optimise les flux mais élargit mécaniquement la surface d’attaque en multipliant les points de sortie Internet non filtrés.

Les référentiels ANSSI (recommandations ANSSI-PA-073 sur les architectures cloud) et NIST SP 800-207 convergent sur ce point : l’optimisation réseau et le contrôle d’accès sont deux plans orthogonaux qui doivent être adressés conjointement.

SASE : convergence réseau et sécurité dans un service cloud distribué

Le terme SASE a été formalisé par Gartner en 2019 pour désigner une architecture qui consolide dans un même plan de contrôle distribué les composants suivants :

  • SD-WAN : fabric réseau intelligente entre les sites et vers le cloud
  • ZTNA (Zero Trust Network Access) : accès applicatif contextuel basé sur l’identité, le dispositif et la posture
  • CASB (Cloud Access Security Broker) : visibilité et contrôle des flux vers les applications SaaS
  • SWG (Secure Web Gateway) : filtrage et inspection du trafic web sortant
  • FWaaS (Firewall as a Service) : pare-feu distribué avec inspection applicative (L7)

Ces composants sont délivrés depuis des Points of Presence (PoP) cloud répartis globalement, ce qui déplace la décision de sécurité au plus près de l’utilisateur ou du site, plutôt que de faire remonter le trafic vers un datacenter central.

ComposantFonction principaleRéférentiel
SD-WANRoutage applicatif, agrégation de liensMEF 70.1, IETF OPSAWG WG
ZTNAAccès least-privilege par sessionNIST SP 800-207, CISA ZTMM v2
CASBContrôle des flux SaaS/IaaSCloud Security Alliance SDP v2
SWGFiltrage URL, inspection TLSANSSI-PA-073
FWaaSInspection L7 distribuéeCIS Benchmarks, NIST SP 800-41

ZTNA : le composant structurant de SASE

Dans une architecture SASE, le ZTNA constitue le composant le plus structurant pour la posture de sécurité. Contrairement au VPN traditionnel, qui accorde un accès réseau large à l’utilisateur authentifié, le ZTNA applique le principe du moindre privilège au niveau de l’application : chaque session est autorisée ou refusée sur la base d’une politique combinant identité (IdP fédéré), posture du dispositif (MDM/EDR), localisation et classification de la ressource demandée.

Ce modèle répond directement aux exigences de segmentation et de contrôle d’accès de l’architecture zero trust, telle que définie par le NIST SP 800-207 et implémentée progressivement selon le CISA Zero Trust Maturity Model v2.0. La micro-segmentation logique portée par ZTNA est plus granulaire et moins coûteuse opérationnellement que la micro-segmentation réseau traditionnelle (VLAN, ACL).

Deux modèles de déploiement SASE

La maturité du marché a conduit à deux approches principales, chacune avec ses compromis.

Single-vendor SASE : un éditeur unique fournit l’ensemble de la stack depuis son propre PoP global. Les avantages sont la cohérence des politiques, une console unique et une latence maîtrisée. Le risque est le vendor lock-in et la dépendance à la couverture géographique des PoP du fournisseur.

SSE + SD-WAN best-of-breed : l’entreprise conserve ou choisit son SD-WAN indépendamment et superpose un SSE (Security Service Edge, formalisé par Gartner en 2021 pour désigner la couche sécurité de SASE sans le composant réseau) d’un second éditeur. Cette approche préserve la flexibilité et permet de choisir le meilleur composant dans chaque catégorie, au prix d’une intégration plus complexe et d’une surface de friction opérationnelle supplémentaire.

Le choix dépend de la maturité de l’équipe réseau, de la taille du parc de sites, et du niveau de granularité de contrôle requis par les métiers et les régulateurs.

Mise en conformité NIS2 et DORA

Les organisations soumises à NIS2 (entités essentielles et importantes) et à DORA (secteur financier, applicable depuis janvier 2025) trouvent dans SASE un levier technique pour répondre à plusieurs obligations simultanément :

  • Segmentation réseau (NIS2 art. 21, DORA art. 9) : le ZTNA et le FWaaS appliquent une segmentation logique fine sans reconfiguration VLAN système
  • Journalisation et supervision des flux : les PoP SASE centralisent les logs de flux, de session et de politique, facilitant la production de preuves d’audit
  • Gestion des accès privilégiés : l’intégration ZTNA avec un IdP (Entra ID, Okta) et un PAM permet de couvrir les accès administrateurs avec traçabilité complète
  • Délais de notification d’incident : la télémétrie unifiée SASE réduit le temps de détection et accélère la reconstruction de la chronologie d’attaque

L’infrastructure réseau reste le premier vecteur d’entrée lors des incidents couverts par ces deux règlements, ce qui renforce l’importance d’une posture SASE opérationnelle avant les échéances de mise en conformité. NIS2 (directive 2022/2555), dont la transposition en droit français est en cours, fait obligation à ses entités essentielles et importantes d’évaluer également la sécurité de leur chaîne d’approvisionnement numérique, y compris les fournisseurs SASE.

Feuille de route de migration : les étapes opérationnelles

Une migration SASE se conduit en phases pour éviter la rupture de service :

  1. Inventaire et cartographie : identifier les flux applicatifs critiques, les sites prioritaires et les applications SaaS en usage (shadow IT inclus via CASB Discovery)
  2. Déploiement SD-WAN en mode hybride : activer le SD-WAN en actif-passif avec maintien du MPLS sur les liaisons critiques ; valider le routage applicatif et les métriques de QoS
  3. ZTNA en overlay pour les accès distants : remplacer les concentrateurs VPN existants par des connecteurs ZTNA sur un périmètre initial (utilisateurs nomades, prestataires)
  4. Activation SWG et FWaaS : basculer le filtrage web depuis les proxies périmétriques vers les PoP SASE ; valider les politiques d’inspection TLS
  5. Intégration CASB : activer la visibilité sur les flux SaaS et appliquer les politiques DLP ; traiter le shadow IT identifié en phase 1
  6. Convergence et optimisation : consolider les consoles, affiner les politiques ZTNA selon les retours terrain, et produire les premiers rapports de conformité

Un pilote sur un site secondaire (3 à 8 semaines) est systématiquement recommandé avant le déploiement générique, en particulier pour valider la latence des PoP cloud depuis les zones géographiques concernées et les comportements des applications legacy.

Points de vigilance avant de choisir un éditeur

Plusieurs critères techniques doivent être évalués rigoureusement en phase d’appel d’offres :

  • Couverture et latence des PoP : vérifier la présence de PoP en France et en Europe continentale (exigence RGPD pour la localisation des données de journalisation)
  • Granularité du ZTNA : l’accès applicatif (Layer 7) est à distinguer du simple tunnel réseau (Layer 3/4) que certains éditeurs étiquettent abusivement ZTNA
  • Support des protocoles legacy : les environnements OT, les applications client lourd et les flux UDP (VoIP, vidéo) requièrent une validation spécifique
  • Intégration IdP et MDM : la valeur du ZTNA dépend directement de la qualité de l’intégration avec l’annuaire d’identité et les outils de gestion des postes
  • Politique de gestion des incidents éditeur : vérifier les engagements SLA sur la disponibilité des PoP et les procédures de basculement

Ces critères doivent être documentés dans les analyses de risque fournisseur, notamment pour les entités soumises à NIS2 qui doivent évaluer la chaîne d’approvisionnement numérique.

SASE n’est pas une rupture mais une convergence : elle consolide des fonctions qui coexistaient en silos (réseau WAN, sécurité périmètre, contrôle d’accès) dans une architecture opérée depuis le cloud. La réussite d’une migration repose moins sur le choix de l’éditeur que sur la qualité de la phase de préparation, la granularité de la cartographie des flux applicatifs et la capacité à piloter la transition en maintenant la continuité des opérations critiques.

Questions fréquentes

Quelle est la différence entre SASE et SSE ?

SASE (Secure Access Service Edge) regroupe à la fois le composant réseau (SD-WAN) et la couche sécurité (SSE). Le SSE, ou Security Service Edge, formalisé par Gartner en 2021, désigne uniquement la partie sécurité : ZTNA, CASB, SWG et FWaaS, sans le SD-WAN. Les entreprises disposant déjà d'un SD-WAN satisfaisant peuvent superposer un SSE d'un éditeur distinct, selon une approche dite best-of-breed.

Le SD-WAN est-il suffisant pour sécuriser les accès distants ?

Non. Le SD-WAN optimise le routage et l'agrégation de liens mais n'embarque pas nativement de modèle zero trust, d'inspection du trafic chiffré ni de contrôle d'accès applicatif. Déployé seul, il multiplie les points de sortie Internet sans filtrage associé, ce qui élargit la surface d'attaque. Les référentiels ANSSI (ANSSI-PA-073) et NIST SP 800-207 posent l'optimisation réseau et le contrôle d'accès comme deux plans orthogonaux à adresser conjointement.

Comment SASE aide-t-il à répondre aux exigences NIS2 et DORA ?

SASE adresse simultanément plusieurs obligations : segmentation logique via ZTNA et FWaaS (NIS2 art. 21, DORA art. 9), journalisation centralisée des flux et sessions depuis les PoP pour la production de preuves d'audit, gestion des accès privilégiés via l'intégration ZTNA-IdP-PAM, et télémétrie unifiée accélérant la reconstruction de la chronologie d'incident dans les délais de notification imposés par les deux règlements.

Combien de temps dure un déploiement SASE et par où commencer ?

Un déploiement complet se conduit en cinq à six phases étalées sur plusieurs mois. Le point de départ recommandé est un inventaire des flux applicatifs critiques et du shadow IT (via CASB Discovery), suivi d'un pilote sur un site secondaire de 3 à 8 semaines. Ce pilote permet de valider la latence des PoP cloud depuis les zones géographiques concernées et le comportement des applications legacy avant toute généralisation.

Sources citées

  1. Gartner, "The Future of Network Security Is in the Cloud", 2019 (formalisation du terme SASE)
  2. NIST SP 800-207, "Zero Trust Architecture", NIST, 2020
  3. CISA, "Zero Trust Maturity Model v2.0", 2023
  4. ANSSI, "Recommandations de sécurité pour les architectures basées sur le cloud" (ANSSI-PA-073)
  5. MEF 70.1, "SD-WAN Service Attributes and Services", MEF Forum, 2021
  6. Directive (UE) 2022/2555 dite NIS2, art. 21 ; Règlement (UE) 2022/2554 dit DORA, art. 9
  7. Cloud Security Alliance, "Software Defined Perimeter (SDP) Specification v2.0", 2019
#SASE#SD-WAN#ZTNA#infrastructure réseau#zero trust#NIS2-DORA
Infrastructure

DevSecOps : intégrer la sécurité dans la chaîne CI/CD

Comment intégrer la sécurité dans un pipeline CI/CD avec DevSecOps : SAST, SCA, SBOM, SLSA, gestion des secrets et feuille de route pour RSSI et DSI.
Infrastructure

Green IT : sobriété des datacenters et écoconception logicielle

Green IT en datacenter : PUE, WUE, SCI et écoconception logicielle - les leviers mesurables pour DSI et RSSI soumis à la CSRD et aux enjeux énergétiques en 2025.
Infrastructure

Infrastructure as Code : industrialiser avec Terraform

Terraform et OpenTofu pour industrialiser l'Infrastructure as Code : state sécurisé, modules, pipelines GitOps et conformité NIS2/DORA pour les équipes DSI et RSSI.