Contactez-nous
Contactez-nous

Zero Trust Cloud-Native : Le réseau devient un service, la sécurité suit l'utilisateur

Quand le réseau n’a plus de centre de gravité

Avec la généralisation du télétravail, des filiales internationales et des applications SaaS, le réseau d’entreprise n’a plus de point focal unique. Les utilisateurs se connectent depuis partout, domicile, hôtels, cafés, aéroports, vers des applications situées aussi bien on-premise que dans plusieurs clouds publics, souvent via des postes partiellement maîtrisés (BYOD, terminaux personnels).

Dans ce contexte, prolonger le modèle VPN concentrateur + pare-feu de datacenter conduit à trois impasses opérationnelles : du backhauling systématique (retour forcé du trafic vers le siège), une expérience utilisateur dégradée (latence, bande passante saturée) et des angles morts de visibilité sur le shadow IT et les accès directs aux SaaS.

Le Cloud-Native SASE prend le contre-pied de cette approche : il rapproche le plan de sécurité de l’utilisateur et des applications, en appliquant le Zero Trust « en ligne » sur chaque session, où qu’elle se trouve, via une architecture de Points de Présence (PoP) globaux et un point de contrôle centralisé qui orchestre chaque accès.

L’inspection Single-Pass dans le cloud : voir tout, ralentir rien

 
Le déchiffrement TLS : condition sine qua non de la visibilité

Comme pour la vision on-premise, le prérequis absolu de toute architecture Zero Trust cloud-native est la capacité à inspecter le trafic chiffré. Plus de 95% du trafic web transite en TLS 1.3 : sans déchiffrement, la sécurité opère à l’aveugle.

La maîtrise du poste de travail via l’agent SASE cloud est ici déterminante. Cet agent déploie un certificat racine d’entreprise qui permet au point d’inspection cloud (le PoP) de briser le chiffrement TLS de manière transparente pour l’utilisateur. Le flux est déchiffré au PoP, inspecté en profondeur, puis re-chiffré avant d’être transmis à destination. Sans cet agent et ce certificat, toute promesse d’inspection reste théorique.

Single-Pass : un seul déchiffrement, tous les moteurs en parallèle

Le trafic est déchiffré une seule fois au PoP, puis soumis simultanément aux moteurs SWG, CASB/DLP, FWaaS, IPS et threat intelligence. Cette approche Single-Pass élimine le chaînage séquentiel des services de sécurité (service chaining) qui décapsule et ré-encapsule le paquet pour chaque moteur.

  • Le résultat : une latence d'inspection réduite au minimum, une cohérence des décisions de sécurité (tous les moteurs voient le même contexte) et un moteur de politique unifié qui exprime les règles en termes d'identité, de contexte (localisation, posture du terminal, niveau de risque) et de sensibilité des applications.

Cette approche « security-as-code » garantit que l’utilisateur bénéficie de la même politique de sécurité au bureau, en mobilité ou à l’étranger, sans dépendre du chemin réseau local.

Architecture PoP globale : le réseau mondial comme infrastructure de sécurité

 
Topologie et backbone privé

Les plateformes Cloud-Native SASE s’appuient sur un réseau mondial de Points de Présence (PoP) qui servent simultanément de terminaux SD-WAN, de points d’entrée ZTNA, de proxies SWG/CASB et de nœuds d’inspection.

PoP proches des utilisateurs :

Les agents, clients légers ou tunnels site-à-site se connectent au PoP le plus proche (géographiquement ou en latence réseau), limitant la latence d’entrée et évitant le backhauling via le siège.

Backbone privé :

Les fournisseurs les plus matures opèrent un backbone privé (réseau d’interconnexions directes entre PoP) garantissant des SLA de bout en bout et évitant les aléas de l’Internet public sur le segment mid-mile.

Peering direct avec SaaS et clouds :

Interconnexion directe (private peering) avec les hyperscalers et les principaux SaaS, réduisant la latence et augmentant la bande passante disponible.

Tous les PoP ne se valent pas

Un point de vigilance stratégique : tous les fournisseurs ne livrent pas la même architecture derrière le terme « PoP ». Certains hébergent leurs PoP chez des hyperscalers publics : le PoP n’est alors qu’un point de connexion (gateway), tandis que le traitement des données et l’inspection se font dans un compute location séparé, ajoutant de la latence. D’autres opèrent un full-stack compute à chaque PoP : chaque nœud exécute l’ensemble des moteurs de sécurité localement, éliminant l’effet « entonnoir ».

Lors de l’évaluation d’une solution, il est essentiel de distinguer le nombre de PoP annoncé du nombre réel de points de traitement. Un fournisseur affichant 100+ PoP mais seulement 20-25 compute locations crée un goulet d’étranglement invisible qui dégrade les performances en production.

Les briques du SSE : ZTNA, SWG, CASB, FWaaS

Le Security Service Edge (SSE) regroupe les services de sécurité réseau délivrés en cloud, constituant le socle du SASE pour les usages nomades et SaaS.

ZTNA : le VPN est mort, vive le micro-tunnel applicatif

Le Zero Trust Network Access remplace le VPN en exposant uniquement des applications, jamais un réseau complet. L’architecture repose sur trois couches :

Installé sur le poste, il établit un tunnel TLS persistant vers le Service Edge cloud, authentifie l’utilisateur auprès du fournisseur d’identité (IdP) et télécharge les politiques d’accès et les vérifications de posture.

Point d’entrée cloud qui orchestre l’accès, applique les politiques Zero Trust (identité + contexte + posture) et crée un micro-tunnel vers l’application cible sans jamais exposer l’adresse IP de celle-ci sur Internet.

Agent léger déployé au plus près de l’application (datacenter ou VPC cloud), qui établit un tunnel sortant vers le Service Edge, rendant l’application invisible sur Internet, c’est le concept de dark application.

Cette architecture garantit que l’application n’est jamais découvrable par scan de ports ou énumération DNS, réduisant drastiquement la surface d’attaque.

Accès sans agent (browser-based ZTNA) : pour les cas BYOD ou tiers externes, le ZTNA peut fonctionner sans agent. L’utilisateur s’authentifie via un portail web, et le Service Edge rend l’application HTTP/HTTPS via un reverse-proxy intégré au navigateur. Les applications SSH/RDP sont rendues via WebAssembly dans le navigateur, évitant l’installation de clients lourds.

Le Secure Web Gateway protège les accès web (navigation, téléchargements) contre phishing, malwares, command-and-control et sites malveillants, en inspectant et filtrant le trafic directement dans le cloud, sans retour obligatoire par le datacenter.

Trois modes de déploiement coexistent, du plus léger au plus complet :

Mode 

Mécanisme 

Niveau de visibilité 

DNS filtering 

Redirection DNS vers les résolveurs SWG cloud 

Blocage au niveau du domaine — rapide, léger, mais ne détecte pas les payloads malveillants sur sites légitimes compromis 

Proxy HTTP/HTTPS 

Configuration du navigateur via fichier de configuration automatique (PAC) pour router le trafic web via le proxy SWG 

Inspection complète des URL, du contenu HTML/JS et des téléchargements en temps réel 

Agent endpoint 

Client léger routant tout le trafic (y compris hors navigateur) via le SWG cloud 

Visibilité la plus complète : inspection TLS, DLP, catégorisation URL dynamique 

La stack d’inspection SWG comprend le filtrage URL par catégories et scoring de risque dynamique (ML-based), l’antimalware avec sandboxing cloud pour analyse comportementale des fichiers suspects, et la corrélation avec des feeds de threat intelligence (IOC : IP, domaines, hash) en temps réel.

CASB : reprendre le contrôle sur le SaaS et le shadow IT

Le Cloud Access Security Broker apporte visibilité et contrôle sur l’usage des services SaaS (suites bureautiques cloud, CRM, messagerie, stockage) en appliquant des politiques de classification, DLP et gouvernance sur les données hébergées chez des tiers.

Trois modes opératoires complémentaires :

  • Découverte du shadow IT : détection automatique des SaaS utilisés par les collaborateurs (via analyse DNS, TLS SNI, user-agent), scoring de risque par application, et décision de sanctionner, tolérer ou bloquer.
  • Inspection des tokens OAuth : analyse des autorisations accordées par les utilisateurs aux applications tierces connectées aux SaaS, risque d’exfiltration via application malveillante ou sur-permissionnée.
  • DLP contextuel : application de règles DLP (données personnelles, numéros de carte bancaire, documents classifiés) sur les uploads/partages SaaS, avec possibilité de chiffrer ou de révoquer l’accès en cas de violation.

Le CASB devient le plan de contrôle unifié pour la gouvernance des données dans les clouds tiers, complétant la visibilité du SIEM qui ne voit souvent que les logs d’authentification.

FWaaS : le pare-feu s’émancipe du datacenter

Le Firewall-as-a-Service étend les fonctions de pare-feu de nouvelle génération (contrôle applicatif, IPS, filtrage géographique, anti-bot) aux flux transitant par le cloud, pour les utilisateurs nomades comme pour les sites interconnectés. Il remplace ou complète les pare-feux physiques en appliquant une politique centralisée sur tous les points d’accès.

Remote Browser Isolation (RBI) : l’isolation comme dernière ligne de défense

Les plateformes cloud-native les plus avancées intègrent également l’isolation de navigateur à distance (RBI). Cette technologie isole les sessions de navigation en exécutant le rendu des pages web dans un environnement cloud sécurisé : seule une image pixelisée (pixel rendering) est transmise au poste utilisateur. Même si un site est compromis, aucun code malveillant ne s’exécute localement.

Le RBI s’aligne parfaitement avec les principes Zero Trust : vérification continue, segmentation de la confiance et contrôle d’accès granulaire. Il est particulièrement adapté aux accès depuis des postes non maîtrisés (BYOD, sous-traitants, kiosques).

Visibilité unifiée, SOC et Digital Experience Monitoring

 
Reconstruire la visibilité dans un monde fragmenté

L’un des bénéfices majeurs du Cloud-Native SASE est la reconstruction d’une visibilité globale sur les flux, alors que ceux-ci se fragmentent entre plusieurs clouds, connexions directes Internet et applications SaaS.

  • Logs unifiés : tous les événements d’authentification (IdP), de politique ZTNA (micro-tunnels), de navigation web (SWG), d’accès SaaS (CASB) et de flux réseau (FWaaS) remontent dans une console unique, exportable vers un SIEM ou un SOC managé.
  • Corrélation comportementale (UEBA) : détection d’anomalies par corrélation des signaux issus du ZTNA, du SWG et du CASB pour identifier des comportements anormaux, accès risqués depuis des pays inattendus, exfiltration de données, contournement de sécurité, « impossible travel ».
  • Threat intelligence intégrée : enrichissement des logs avec des indicateurs de compromission (IOC), scoring de risque par domaine/IP/hash et attribution d’attaques (groupes APT, campagnes).

Cette visibilité devient un levier d’industrialisation pour le SOC : alimentation automatique des playbooks de réponse (SOAR), automatisation des actions de remédiation (révocation de session, isolement de compte, blocage d’IP) et reporting détaillé pour les comités de direction.

Digital Experience Monitoring (DEM) : piloter l’expérience utilisateur de bout en bout

Les plateformes SASE cloud-native intègrent nativement des capacités de monitoring de l’expérience numérique (DEM), offrant une transparence de bout en bout entre l’utilisateur et l’application. Le DEM exploite les données collectées par les agents SASE déjà déployés, les PoP et le backbone pour :

  • Identifier rapidement les problèmes d’expérience : visibilité hop-by-hop (terminal → réseau local → PoP → backbone → application) pour localiser la source d’une dégradation.
  • Détection proactive par IA/ML : corrélation d’incidents de performance présentés de manière priorisée, avec recommandations de remédiation avant impact utilisateur.
  • Unification réseau-sécurité : les incidents de performance et les alertes de sécurité sont gérés dans la même console, favorisant la collaboration entre équipes réseau et SOC.

Le DEM élimine le « blame game » classique entre réseau, sécurité et applicatif : chaque dégradation est attribuée à un domaine précis avec les preuves associées.

Souveraineté, CLOUD Act et conformité européenne

Le dilemme de la souveraineté des données

Le recours à une plateforme SASE cloud-native pose une question stratégique pour les organisations européennes : où transitent et sont inspectées les données ? La quasi-totalité des fournisseurs SASE cloud-native majeurs sont des entreprises américaines, soumises au CLOUD Act. Cette loi fédérale de 2018 permet aux autorités américaines de contraindre les fournisseurs technologiques à communiquer des données stockées sur leurs serveurs, quel que soit le pays où ces données sont hébergées.

Pour les organisations européennes, cela crée un conflit potentiel avec le RGPD (article 48) qui restreint les transferts de données basés sur des lois étrangères. Ce risque n’est pas théorique : il a été confirmé publiquement par des fournisseurs cloud majeurs qui ont reconnu ne pouvoir garantir l’absence de divulgation de données aux autorités américaines.

Les réponses architecturales au défi de souveraineté

Plusieurs stratégies permettent d’atténuer ce risque dans une architecture SASE cloud-native :

  • Sélection des PoP de traitement : certains fournisseurs permettent aux organisations de choisir les PoP où l’inspection et le traitement des données sont effectués, garantissant un traitement exclusivement en juridiction européenne.
  • Contrôle des clés cryptographiques (BYOK/HYOK) : maintien de la maîtrise des clés de chiffrement sous juridiction européenne, empêchant le fournisseur d’accéder aux données en clair.
  • Architecture hybride : combinaison d’un SASE cloud pour les usages nomades et SaaS avec un Unified SASE on-premise pour les flux sensibles, OT et données soumises à des exigences de localisation strictes.
  • Choix de fournisseurs à ancrage européen : évaluation des fournisseurs disposant d’entités européennes indépendantes, sans filiale soumise à des juridictions extraterritoriales.
 
NIS2, DORA et CRA : ce que le cloud-native doit démontrer

Le cadre réglementaire européen en 2026 impose des obligations précises auxquelles le SASE cloud-native doit répondre :

NIS2 : applicable à 18 secteurs critiques, exige :

  • Gestion des risques documentée et segmentation réseau.
  • Notification d’incident en moins de 24h (alerte), 72h (rapport), 1 mois (rapport final).
  • Sécurité de la chaîne d’approvisionnement, y compris les fournisseurs SASE.
  • Journalisation continue et traçabilité des accès.

DORA : applicable aux entités financières et leurs prestataires TIC :

  • Tests de résilience opérationnelle numérique.
  • Registre d’information obligatoire sur tous les contrats TIC.
  • Clauses d’audit et sous-traitance encadrée.

CRA : applicable aux fabricants de produits numériques :

  • Sécurité dès la conception (security by design).
  • Gestion des vulnérabilités et maintenance des mises à jour dans la durée.

En combinant contrôle d’accès strict (ZTNA), segmentation logique par application (micro-segmentation identitaire), journalisation continue (audit trail complet) et détection d’anomalies (UEBA), une architecture SASE cloud-native contribue directement aux exigences de gestion de risques, de contrôle d’accès et de surveillance imposées par ces réglementations.

La gouvernance des accès privilégiés est un atout majeur : traçabilité complète des accès administrateurs (qui, quoi, quand, depuis où, avec quel niveau de posture), facilitant les audits de conformité et la démonstration du moindre privilège. Les indicateurs de conformité (taux de couverture MFA, délai de détection d’incident, taux de patching) sont exportables automatiquement vers les tableaux de bord RSSI et les rapports réglementaires.

Modèle économique : du capex à l’opex

 
La bascule financière

Le passage d’un modèle capex (appliances physiques, licences perpétuelles, renouvellement matériel) à un modèle opex (services cloud par abonnement) offre aux DSI une élasticité difficile à atteindre avec du matériel dédié.

Le TCO d’une architecture SASE cloud-native doit intégrer trois dimensions :

Poste

Modèle traditionnel (capex)

SASE cloud-native (opex)

Licences

VPN, pare-feu, proxy, DLP, CASB, chacun distinct

Licence unifiée par utilisateur ou par bande passante

Infrastructure

Appliances physiques, renouvellement matériel tous les 5-7 ans

Aucun matériel de sécurité à gérer — scaling instantané

Réseau

Liens MPLS dédiés, backhauling coûteux

Backbone privé inclus, peering direct SaaS/cloud

Exploitation

Multiples consoles, compétences spécialisées par boîtier

Console unique, déploiement en jours (vs mois)

Expansion

Expédition de matériel, négociation d’interconnexions

Ajout d’utilisateurs/sites par configuration

Mise à l’échelle et déploiement global
  • Scaling instantané : ajout de nouveaux utilisateurs, filiales ou applications sans déploiement physique, uniquement par configuration (licence, politique).
  • Ouverture de nouveaux pays : déploiement en quelques jours en s’appuyant sur les PoP existants, sans expédition de matériel ni négociation d’interconnexions locales.
  • Harmonisation des politiques : les équipes sécurité définissent une politique globale Zero Trust, adaptée par exception pour certains contextes (OT, réglementaire, pays spécifiques).

Cette flexibilité est particulièrement adaptée aux entreprises multi-sites, aux organisations à forte proportion de collaborateurs nomades (>50%) et aux structures dont le portefeuille applicatif est majoritairement SaaS (>70% du trafic).

Scénarios d’application et critères de décision

 
Où le Cloud-Native SASE s’impose

L’architecture SASE cloud-native est particulièrement pertinente dans les contextes suivants :

  • Organisations cloud-first : portefeuille applicatif majoritairement SaaS/IaaS, faible dépendance au datacenter historique.
  • Effectifs nomades et distribués : >50% de collaborateurs en télétravail, multiples filiales internationales, BYOD généralisé.
  • Expansion rapide : croissance organique ou acquisitions nécessitant un déploiement sécurisé en jours, pas en mois.
  • Rationalisation des coûts réseau : remplacement de liens MPLS par du SD-WAN cloud, suppression du backhauling.
 
Où le Cloud-Native SASE atteint ses limites

La transparence impose de mentionner les cas où cette architecture n’est pas optimale :

  • Environnements OT/ICS à contraintes temps réel : la latence variable du mid-mile Internet, même avec backbone privé, ne convient pas aux flux SCADA ou aux automates à SLA < 10 ms.
  • Organisations soumises à des exigences de souveraineté strictes : opérateurs d’importance vitale, défense, santé avec données de santé sous hébergement certifié, le transit des données par un fournisseur extra-européen peut être rédhibitoire.
  • Sites à forte volumétrie locale : datacenters avec trafic est-ouest massif inter-serveurs, où le traitement local sur appliance reste plus performant et économique.

Dans ces cas, une architecture hybride combinant Unified SASE on-premise pour les flux sensibles et SASE cloud-native pour les usages nomades constitue la réponse la plus pragmatique.

Matrice de décision stratégique

Dimension

Ce qu’apporte le Cloud-Native SASE

Point de vigilance

Inspection

Single-Pass au PoP avec déchiffrement TLS via agent/certificat

Vérifier le compute réel au PoP (gateway vs full-stack)

Accès

ZTNA broker-based, dark applications, accès clientless BYOD

Dépendance à la disponibilité du Service Edge cloud

Visibilité SaaS

CASB multi-mode (API + inline), shadow IT discovery, DLP contextuel

Couverture API variable selon les SaaS supportés

Performance

Backbone privé, peering direct SaaS, DEM intégré

Qualité variable du mid-mile selon les régions

Conformité

Journalisation centralisée, UEBA, export SIEM, reporting NIS2/DORA

Souveraineté et CLOUD Act — évaluer la juridiction du fournisseur

Économie

Opex par utilisateur, scaling instantané, TCO réduit vs stack legacy

Coûts d’egress et de bande passante à modéliser sur 5 ans

Résilience

Failover automatique inter-PoP, backbone redondant

Dépendance au fournisseur unique — évaluer les SLA et l’exit strategy

 

Recommandations pour l’action

Pour les DSI et RSSI engagés dans une transformation vers le SASE cloud-native, six axes d’action prioritaires :

Cartographier les flux avant de choisir

Identifier la répartition trafic SaaS / datacenter / OT pour dimensionner le périmètre cloud-native vs on-premise. Un portefeuille >70% SaaS oriente naturellement vers le cloud-native.

Exiger la transparence sur l'architecture PoP

Lors de l'évaluation, demander le nombre réel de compute locations (pas seulement les PoP gateway), les SLA de latence par région et l'architecture du backbone (privé vs transit Internet).

Déployer l'agent SASE et le certificat racine

En priorité sur les postes maîtrisés : c'est le prérequis de toute inspection TLS et donc de toute politique Zero Trust effective.

Adresser la souveraineté dès le design

Évaluer la juridiction du fournisseur (CLOUD Act), les options de confinement géographique du traitement, et prévoir une architecture hybride pour les données et flux les plus sensibles.

Structurer le TCO sur 5 ans

Intégrer les coûts directs (licences SASE), les coûts évités (VPN, proxies, MPLS, pare-feux de succursale, DLP on-premise) et les coûts opérationnels (administration, patching, audits). Valider par un pilote de 90 jours.

Documenter la conformité en continu

Exploiter la journalisation centralisée et les exports automatisés vers le SIEM pour alimenter les preuves NIS2/DORA/CRA, la conformité n'est plus un exercice annuel, c'est une production permanente.

Identifier et traiter la problématique de gestion des IP fixes/dynamiques

L’adresse IP de sortie utilisée pour la navigation Internet des clients SASE est généralement dynamique, ce qui rend inopérant tout contrôle d’accès fondé sur le filtrage par IP source côté applications SaaS.

L’option d’IP fixe existe mais induit un surcoût significatif, et il faut en outre intégrer un biais géographique : la plupart des solutions SASE étant américaines, les IP de sortie, même associées à des POP ou DC en France, sont souvent enregistrées comme IP américaines, ce qui peut entraîner des blocages applicatifs lorsque des politiques de sécurité filtrent les flux par pays source (cas régulièrement rencontré avec des POP SASE à Paris dont le trafic était refusé car vu comme provenant des USA).

Michael Ansart - Business architect Réseaux et Firewall

Le Cloud-Native SASE n’est pas l’antithèse du on-premise : c’est son complément naturel dans un monde où l’utilisateur est le nouveau périmètre, le SaaS est le nouveau datacenter et la conformité est le nouveau contrat de confiance. La clé réside dans l’arbitrage éclairé entre les deux modèles et dans la capacité à les faire coexister au sein d’une architecture hybride cohérente.

Étiqueté , , , ,
Découvrez nos offres
Vos enjeux
Une solution pour chaque secteur et chaque fonction
Quel que soit votre secteur d’activité ou votre rôle au sein de votre organisation, il existe forcément une solution Tersedia qui vous correspond.
Par secteurs

Finance et Assurance

Santé

Secteur public

Services et Distribution

Industrie

Éditeurs logiciels
Par fonctions

Dirigeant

DSI

Responsable Infrastructures

RSSI
Nos offres
Notre offre
de services
Notre offre de services

Notre palette d’offres adaptées à vos besoins d’infrastructures.

it-as-a-service
IT-as-a-service
Solution informatique clé en main
Infrastructure Secured by Design
Infrastructure Secured by Design
Sécurisé dès la conception
Cyber SOC
Cyber SOC
Supervision & sécurité opérationnelle de votre IT
Services managés
Services managés
Accompagnement personnalisé
Professional services
Professional services
Gestion des actifs informatiques