Les équilibres budgétaires et la maîtrise des coûts de sécurité ont toujours été des priorités pour les entreprises. En période d’incertitude économique, les responsables informatiques sont incités à resserrer leurs budgets, à maîtriser leurs coûts, à investir de manière rentable, et ce, tout en luttant contre des cybermenaces sophistiquées. Dans le premier article de cette série, nous avons commencé à examiner les défis liés aux coûts informatiques et la manière dont les entreprises du monde entier répondent à ces défis. Nous nous sommes penchés sur le coût croissant des piratages de données, facilitées par les architectures de sécurité basées sur le périmètre. Dans ce deuxième volet, voyons de plus près comment les entreprises peuvent optimiser leurs coûts technologiques et pourquoi les approches de sécurité basées sur le périmètre renchérissent les coûts d’infrastructure et ne se justifient pas économiquement dans l’environnement de travail cloud et hybride actuel.
Gare aux architectures en étoile et à une sécurité cloisonnée !
Les architectures en étoile ont été conçues pour acheminer le trafic vers les data centers afin de connecter au réseau les utilisateurs, les appareils et les instances, pour leur permettre d’accéder aux applications et aux ressources dont ils ont besoin. Cette approche fonctionnait parfaitement lorsque les utilisateurs travaillaient au sein de leur entreprise et que les applications étaient hébergées dans le data center. Cependant, à mesure que les utilisateurs adoptent le télétravail et que les applications migrent vers le cloud, le réseau doit être étendu en permanence pour fournir des connexions privées à chaque application, chaque site, chaque utilisateur et chaque dispositif, quelle que soit leur localisation. Ce réseau interconnecté est protégé par des architectures de sécurité cloisonnées qui ne proposent aux entreprises modernes que des options coûteuses et peu adaptées pour assurer leur sécurité.
Des appliances de sécurité, dans tous les sens
La première option consiste à déployer des dispositifs de sécurité autonomes/cloisonnés (pare-feu, réseaux privés virtuels (VPN), systèmes de prévention des intrusions, sandbox et autres) au sein de chaque bureau et site distant. Les dépenses d’investissement initiales liées à l’achat et au déploiement de ce parc de dispositifs de sécurité seraient trop élevées, sans parler du coût et de la complexité de leur gestion. De plus, cette approche continue à exposer les entreprises aux risques liés au télétravail et aux utilisateurs nomades.
Plus petit + moins cher n’est pas égal à meilleur
Peu d’entreprises peuvent se permettre de dupliquer le parc d'outils sécurité protégeant leur siège social sur tous leurs sites distants, pour des raisons de coûts d’achat, de configuration, de gestion et de maintenance d’un environnement aussi complexe. Au lieu de cela, les entreprises font souvent des compromis en déployant des pare-feu et des dispositifs de sécurité plus modestes et moins coûteux sur les sites distants. Bien que cette solution permette de réduire en partie les coûts initiaux élevés, elle reste contraignante en matière de gestion. Plus important encore, l’entreprise demeure vulnérable aux hackers. Pour quelles raisons ? Ces dispositifs plus modestes et moins coûteux sont également moins performants, car ils proposent moins de fonctions de sécurité. Ce compromis rend également vos bureaux et vos utilisateurs distants (et donc votre entreprise) plus vulnérables. Les entreprises ne peuvent pas se permettre de courir ce risque.
Qu’on l’appelle backhauling, boomerang ou hairpinning, le résultat est le même
L’autre option consiste à effectuer un backhauling du trafic vers les data centers via un réseau MPLS (Multi-Protocol Label Switching) ou un VPN, puis à inspecter ce trafic par de multiples appliances centralisées de sécurité, ce qui implique toujours des investissements importants. Cependant, cette approche ne permet pas aux entreprises de maîtriser leurs dépenses en MPLS et en bande passante. Le backhauling du trafic vers le data center avant de l’envoyer vers les applications cloud ou SaaS introduit un effet de hairpinning. Autrement dit, vous finissez par payer deux fois pour votre trafic Internet, SaaS et cloud : une fois pour acheminer votre trafic via une connexion privée coûteuse depuis le bureau ou l’utilisateur distant jusqu’au data center, et une deuxième fois pour qu’il transite via le Web jusqu’à la ressource demandée, pour refaire ensuite le même trajet en sens inverse. En outre, à mesure que la dissémination des utilisateurs est plus importante et que l’entreprise s’étend en taille ou géographiquement, l’expérience utilisateur se dégrade en raison de goulets d’étranglement du trafic et de la latence, tandis que les coûts progressent de manière exponentielle (nous reviendrons sur ce point dans un prochain article).
Une boule de cristal pour optimiser la planification des capacités ?
Qu'ils choisissent l’une ou l’autre des approches mentionnées, les DSI et RSSI se trouvent confrontés à la tâche ardue de planifier les capacités, ce qui représente un exercice d’équilibre délicat. Les solutions traditionnelles, même les appliances virtuelles, ne peuvent être aussi évolutives que le cloud. Il est donc indispensable d’anticiper les volumes de trafic et des besoins de l'entreprise tout au long du cycle de vie de l’appliance.
Les calculs de planification des capacités englobent de nombreux aspects : nombre d’utilisateurs, d’appareils, de plateformes, de systèmes d’exploitation, de sites, d’applications, ainsi que la consommation de bande passante, l’infrastructure edge et WAN, les schémas de trafic sur les différents fuseaux horaires, et davantage. Et cela ne concerne que les opérations à très court terme. La planification doit également tenir compte de la croissance annuelle du trafic lié au cloud sur une période de trois ans ou plus. Au-delà des opérations courantes, la planification des capacités vous oblige à anticiper les pics soudains et imprévus d'utilisation de la bande passante, susceptibles de provoquer des ralentissements, et donc, de frustrer à la fois les utilisateurs et les clients.
Une sous-estimation des besoins en capacité engendre des performances atones et une expérience utilisateur médiocre, ce qui empêche l’entreprise de remplir sa mission. Une surestimation entraîne des coûts inutilement élevés et une sous-utilisation des équipements. Dans les deux cas, des ressources sont gaspillées.
Il existe une meilleure solution
Malheureusement, ces tactiques ne constituent qu’une solution de fortune temporaire et coûteuse, car les pare-feu, les VPN et les autres approches de sécurité traditionnelles ne sont pas conçus pour répondre aux exigences des entreprises modernes en matière d’évolutivité, de service ou de sécurité. Au lieu d’effectuer des mises à jour matérielles coûteuses et de prendre en charge les coûts d’infrastructure importants des architectures basées sur le périmètre, les entreprises peuvent réduire leurs coûts et créer davantage de valeur en adoptant une architecture Zero Trust. Une étude ESG sur les avantages économiques a révélé que, grâce à Zscaler Zero Trust Exchange, les entreprises peuvent réduire leurs dépenses MPLS de 50 % et supprimer jusqu’à 90 % de leurs appliances, ce qui contribue à un retour sur investissement de 139 %.
Zscaler Zero Trust Exchange est une plateforme intégrée de services qui connecte en toute sécurité les utilisateurs, les appareils, les instances et les applications. Elle fournit une connectivité rapide, sécurisée et directe qui élimine le besoin d'un backhauling du trafic tout en minimisant les dépenses liées au MPLS. Zscaler est une plateforme fournie dans le cloud qui permet aux entreprises de regrouper le matériel ponctuel et de supprimer les dépenses d’investissement dans les pare-feu, les VPN, les VDI etc.
Reposant sur une architecture cloud conçue pour évoluer de manière homogène suivant la demande des clients, Zero Trust Exchange élimine également le processus de planification des capacités et le risque d'un provisioning trop important, tout en libérant des fonds pour les orienter vers des investissements plus pertinents.
Quelle est la prochaine étape ?
Pour découvrir en détail comment une véritable architecture Zero Trust vous aide à éliminer le poids financier d'une infrastructure coûteuse, téléchargez notre livre blanc « Delivering Unparalleled Security with Superior Economic Value: The Power of the One True Zero Trust Platform » (sécurité inégalée et une rentabilité optimale : la puissance d'une plateforme Zero Trust d'excellence).
Vous pouvez également consulter nos études de cas et comprendre comment des entreprises semblables à la vôtre maîtrisent les coûts et la complexité de leur informatique grâce à Zero Trust Exchange. Pour cela, consulter notre e-book, « How Companies Reduce Costs with the One True Zero Trust Platform » (Comment les entreprises réduisent-elles leurs coûts grâce à une plateforme Zero Trust d'excellence).
Cliquez ici pour consulter la troisième partie de cette série d’articles qui reviendra sur la manière dont Zscaler assure une meilleure rentabilité économique en améliorant l’efficacité opérationnelle.