À l’ère du travail hybride, des environnements multicloud et des équipes distribuées, la sécurité informatique ne peut plus s’appuyer sur l’ancien modèle de défense périmétrique. Avec des utilisateurs travaillant depuis leur domicile, des cafés et des bureaux dans le monde entier, et des données vivant dans des dizaines d’applications SaaS, le modèle traditionnel du » réseau d’entreprise protégé » n’existe plus. SASE (Secure Access Service Edge) est la réponse, et Forcepoint ONE réalise cette architecture dans une plateforme cloud unique et cohérente.
Principales conclusions
- Forcepoint ONE est une plateforme SASE qui combine la sécurité du réseau et des données dans une solution unique basée sur le cloud.
- Élimine la nécessité de maintenir des solutions distinctes pour le SWG, le CASB, le ZTNA et le DLP.
- Utilise une architecture de confiance zéro – chaque utilisateur et appareil est vérifié à chaque accès.
- Protège les données où qu’elles se trouvent : sur l’appareil, sur le réseau, dans le nuage.
- La plateforme évolue automatiquement et ne nécessite pas la gestion d’une infrastructure propre.
Table des matières
- Qu’est-ce que le SASE et pourquoi devient-il une norme ?
- Forcepoint ONE – architecture de la plateforme
- Secure Web Gateway (SWG) – navigation sécurisée
- CASB – contrôle de l’accès aux applications SaaS
- Zero Trust Network Access (ZTNA) – accès sans VPN
- Prévention de la perte de données dans Forcepoint ONE
- Gestion et visibilité à partir d’une console unique
- FAQ
- Résumé
Qu’est-ce que le SASE et pourquoi devient-il une norme ?
SASE (Secure Access Service Edge) est une architecture de sécurité définie par Gartner qui combine des fonctions réseau (SD-WAN) avec des services de sécurité (SWG, CASB, ZTNA, FWaaS) dans une plateforme unique fournie dans le nuage. L’idée clé : la sécurité est fournie à proximité de l’utilisateur, quel que soit son emplacement, plutôt que de manière centralisée au siège de l’entreprise.
L’approche traditionnelle exigeait que le trafic soit acheminé à travers le centre de données de l’entreprise pour être inspecté – ce qui, en cas de travail à distance, entraînait des problèmes de performance et de latence. SASE déplace l’inspection du trafic vers des nœuds proches de l’utilisateur, ce qui permet de maintenir une protection complète sans compromettre les performances.
Forcepoint ONE – architecture de la plateforme
Forcepoint ONE est une plateforme SASE cloud-native qui consolide en une seule solution : Secure Web Gateway (SWG), Cloud Access Security Broker (CASB), Zero Trust Network Access (ZTNA) et Data Loss Prevention (DLP). Toutes ces fonctions s’exécutent sur une plateforme commune avec une seule console de gestion, une seule politique pour tous les canaux d’accès et un seul agent sur l’appareil de l’utilisateur.
Cette consolidation constitue un avantage opérationnel fondamental – au lieu de gérer quatre produits distincts avec des consoles, des politiques et des rapports différents, l’administrateur travaille dans un seul environnement.
Secure Web Gateway (SWG) – navigation sécurisée
Le SWG de Forcepoint ONE contrôle le trafic web de tous les utilisateurs, indépendamment de l’endroit d’où ils se connectent. Il filtre les pages par catégorie (en bloquant les contenus inappropriés, les domaines malveillants), analyse les téléchargements à la recherche de logiciels malveillants et applique les politiques DLP au trafic web.
L’une de ses principales caractéristiques est l’isolation du navigateur à distance (RBI), une technologie qui exécute le navigateur dans un environnement cloud isolé, l’utilisateur ne voyant que l’image sécurisée de la page. Le code malveillant s’exécute de manière isolée, sans jamais toucher l’appareil de l’utilisateur.
CASB – contrôle de l’accès aux applications SaaS
Le Cloud Access Security Broker offre une visibilité et un contrôle sur les applications SaaS utilisées par l’organisation, qu’elles soient approuvées par le service informatique ou non (applications utilisées à l’insu du service informatique).
CASB dans Forcepoint ONE surveille et contrôle l’activité des utilisateurs dans les applications SaaS (Salesforce, Microsoft 365, Google Workspace, Box et bien d’autres), applique les politiques DLP aux données cloud et détecte les anomalies indiquant une éventuelle compromission de compte. Il permet également de contrôler le partage de fichiers – en bloquant l’envoi de documents sensibles à l’extérieur de l’organisation.
Zero Trust Network Access (ZTNA) – accès sans VPN
ZTNA est une alternative moderne aux VPN, qui met en œuvre le principe de confiance zéro : aucun utilisateur ou appareil n’est fiable par défaut, tous les accès sont vérifiés et accordés sur la base du moindre privilège.
Forcepoint ONE ZTNA permet d’accéder aux applications internes via un tunnel sécurisé et crypté, sans exposer l’ensemble du réseau – l’utilisateur n’a accès qu’aux applications spécifiques auxquelles il est autorisé. Par rapport à un VPN traditionnel, ZTNA est nettement plus sûr (pas de déplacement latéral en cas de compromission du compte) et plus efficace (pas de routage via un point central).
Prévention de la perte de données dans Forcepoint ONE
La DLP dans Forcepoint ONE fonctionne simultanément sur tous les canaux : trafic web (SWG), applications SaaS (CASB), accès aux applications internes (ZTNA) et terminaux. Une seule politique DLP est appliquée partout – sans qu’il soit nécessaire de configurer des règles distinctes dans chaque produit.
Il s’agit d’un changement fondamental par rapport à l’approche traditionnelle, où la DLP réseau, la DLP cloud et la DLP endpoint étaient des produits distincts avec des politiques distinctes, dont la synchronisation constituait un véritable défi.
Gestion et visibilité à partir d’une console unique
Forcepoint ONE offre une console de gestion unifiée pour toutes les fonctions de la plateforme. L’administrateur peut voir en un seul endroit l’activité des utilisateurs à travers tous les canaux, les incidents de sécurité à partir de toutes les couches, l’état des appareils et la conformité, ainsi qu’une piste d’audit complète des accès et des opérations sur les données.
Cette visibilité est cruciale pour la détection des menaces internes et la réponse aux incidents – les attaques en plusieurs étapes qui impliquent différents canaux sont détectées en corrélant les événements provenant de différentes sources.
FAQ
Forcepoint ONE nécessite-t-il l’installation d’un agent sur les appareils ? Pour une fonctionnalité complète, il est recommandé d’utiliser un agent. Pour les appareils gérés, il s’agit de l’implémentation standard. Pour les appareils non gérés (BYOD), des modes sans agent sont disponibles via un proxy.
Comment Forcepoint ONE gère-t-il le trafic HTTPS crypté ? La plateforme effectue l’inspection SSL/TLS en terminant et en recryptant le trafic, en appliquant des politiques de sécurité à son contenu.
Forcepoint ONE remplace-t-il les VPN existants ? ZTNA est conçu comme une alternative au VPN. La migration peut être progressive – les deux solutions peuvent fonctionner en parallèle pendant la période de transition.
A quoi ressemble la mise en œuvre de Forcepoint ONE ? En tant que plateforme « cloud-native », aucune installation d’infrastructure n’est nécessaire. Le déploiement se résume à la configuration de la politique et à l’installation de l’agent sur les appareils des utilisateurs.
Résumé
Forcepoint ONE répond aux réalités de l’environnement opérationnel hybride moderne : une plateforme SASE unique qui remplace plusieurs produits de sécurité distincts, fournit une protection cohérente quel que soit l’emplacement de l’utilisateur et protège les données sur tous les canaux simultanément. Cette approche réduit la complexité opérationnelle et élimine les lacunes de sécurité résultant du cloisonnement des outils.
