Gartner cite Cloudflare, une fois encore, dans son rapport Gartner® Magic Quadrant™ for Security Service Edge (SSE)1. Nous sommes ravis d'annoncer que Cloudflare figure parmi les dix fournisseurs seulement reconnus dans ce rapport. Pour la deuxième année consécutive, nous sommes reconnus pour notre capacité d'exécution et l'exhaustivité de notre vision. Pour en apprendre davantage sur notre position dans le rapport, cliquez ici.
L'année dernière, nous sommes devenus l'unique nouveau fournisseur cité dans l'édition 2023 du rapport Gartner® Magic Quadrant™ 2023 consacré aux solutions SSE. Par ailleurs, nous y sommes parvenus dans le délai le plus court, mesuré depuis la date de lancement de notre premier produit. À cette époque, nous nous sommes également engagés auprès de nos clients à développer des solutions plus rapidement. Nous sommes aujourd'hui heureux de détailler l'incidence qu'a eu cet engagement pour nos clients et la reconnaissance, par Gartner, de leur retour d'expérience.
Grâce aux investissements que nous avons réalisés dans notre réseau mondial ces 14 dernières années, Cloudflare est en mesure de commercialiser ses fonctionnalités plus rapidement et de manière plus rentable que ses concurrents. Nous pensons que c'est en réunissant des avantages existants, tels que notre proxy mondial robuste et multi-usage, notre résolveur DNS ultra-rapide, notre plateforme de calcul serverless et notre capacité à acheminer et accélérer le trafic de manière fiable dans le monde entier que nous sommes parvenus à devenir l'unique nouveau fournisseur en 2023.
Nous pensons que nous avons encore progressé sur le marché des solutions SSE au cours de l'année passée en capitalisant sur la puissance de notre réseau, à mesure de l'adoption de Cloudflare One par des clients de plus grande taille. Nous avons appliqué la capacité de notre pare-feu d'applications web (WAF, Web Application Firewall) à détecter les attaques sans compromettre la rapidité à l'approche désormais exhaustive de notre solution de prévention des pertes de données (DLP, Data Loss Prevention). Nous avons réorienté les outils que nous utilisons pour mesurer les performances de notre réseau et avons proposé aux administrateurs une suite Digital Experience Monitoring (DEX) encore plus mature. Enfin, nous avons étendu notre suite d'outils CASB (Cloud Access Security Broker) afin d'analyser un plus grand nombre d'applications à la recherche de nouveaux types de données.
Nous sommes reconnaissants aux clients qui nous ont témoigné leur confiance jusqu'à présent, et nous sommes particulièrement fiers des avis publiés dans le panel Gartner® Peer Insights™ par nos clients décrivant leur expérience avec Cloudflare One. Les commentaires ont été constamment positifs, à tel point que Gartner a nommé Cloudflare « Customer's Choice »2 en 2024. Nous allons prendre le même engagement envers vous aujourd'hui que celui que nous avons pris en 2023 : Cloudflare continuera à créer des solutions plus rapidement, en poursuivant le développement de la meilleure plateforme SSE de l'industrie.
Qu'est-ce qu'une solution SSE ?
Une solution SSE (Security Service Edge) « sécurise l'accès au web, aux services cloud et aux applications privées. Ses fonctionnalités incluent le contrôle d'accès, la protection contre les menaces, la sécurité des données, la surveillance de la sécurité et le contrôle de l'utilisation acceptable, mis en œuvre par une intégration basée sur le réseau et les API. Une solution SSE est principalement déployée sous la forme d'un service cloud, et peut inclure des composants sur site ou basés sur des agents. »3
Les solutions SSE disponibles sur le marché ont commencé à se définir lorsque les entreprises ont été confrontées à la nécessité de prendre en charge un grand nombre d'utilisateurs, d'appareils et de données quittant leurs périmètres de sécurité. Dans les générations précédentes, les équipes pouvaient assurer la sécurité de leur entreprise en dissimulant cette dernière au reste du monde, derrière un « château entouré de douves » figuratif. Le pare-feu qui protégeait les appareils et les données de l'entreprise se trouvait à l’intérieur de ses murs physiques, et les applications que leurs utilisateurs devaient atteindre résidaient sur le même réseau intranet. Lorsque les utilisateurs quittaient parfois leur bureau, ils devaient s'accommoder des inconvénients que comportait le réacheminement de leur trafic par l'intermédiaire d'un client de réseau privé virtuel (VPN, Virtual Private Network), une approche désormais obsolète.
Ce concept a commencé à perdre de son sens lorsque les applications ont quitté l'enceinte des locaux des entreprises. Les applications SaaS offraient une alternative plus simple et moins coûteuse à l'auto-hébergement des ressources. Les économies réalisées en termes de temps et d'argent ont incité les services informatiques à effectuer la migration des applications, et les équipes de sécurité ont été contraintes de rattraper leur retard, car l'ensemble des données les plus sensibles avaient également migré.
Parallèlement, les utilisateurs ont commencé à travailler de plus en plus fréquemment en télétravail. L'infrastructure VPN d'un bureau, jusqu'alors rarement utilisée, parvenait soudain difficilement à répondre aux nouvelles demandes provenant d'un nombre croissant d'utilisateurs qui se connectaient à une partie toujours plus vaste d'Internet.
Par conséquent, les boîtiers déployés par les entreprises comme autant de solutions temporaires sont devenus obsolètes ; dans certains cas, progressivement, mais dans d'autres situations, soudainement. Les fournisseurs de solutions SSE proposent une réponse fondée sur le cloud, et gèrent leurs services de sécurité depuis leurs datacenters ou depuis une plateforme de cloud public. À l'image des applications SaaS qui ont été à l'origine de la première vague de migrations, ces services SSE sont exploités par le fournisseur et évoluent d'une manière permettant de réaliser des économies budgétaires. Cette approche propose aux utilisateurs finaux une expérience améliorée en évitant le réacheminement des données, et permet aux administrateurs de sécurité d'élaborer plus facilement des politiques plus intelligentes et plus sûres pour défendre leur équipe.
La catégorie des solutions SSE est vaste. Si vous demandez à cinq équipes de sécurité ce qu'est une solution SSE ou une solution Zero Trust, vous obtiendrez probablement six réponses différentes. En règle générale, une solution SSE fournit un cadre utile qui offre aux équipes des garde-fous lors de l'adoption d'une architecture Zero Trust. Le concept peut être décomposé en quelques sous-catégories habituelles :
Solutions de contrôle des accès Zero Trust : protégez les applications contenant des données sensibles en créant des règles fondées sur le moindre privilège, permettant de vérifier l'identité et d'autres signaux contextuels pour chaque requête ou connexion.
Filtrage du trafic sortant : préservez la sécurité des utilisateurs et des appareils lorsqu'ils se connectent au reste d'Internet grâce au filtrage et à la journalisation des requêtes DNS, des requêtes HTTP et même du trafic au niveau du réseau.
Utilisation sécurisée des applications SaaS : analysez le trafic vers les applications SaaS et examinez les données présentes dans ces applications afin de détecter d'éventuelles violations des politiques en matière d'informatique fantôme (Shadow IT), erreurs de configuration ou utilisations inappropriées des données.
Protection des données : analysez les données quittant l'entreprise ou transmises à des destinations non conformes aux politiques de l'entreprise. Identifiez les données stockées au sein de l'entreprise, même dans des outils de confiance, qui ne devraient pas être conservées ou nécessitent des contrôles d'accès plus stricts.
Expérience des employés : surveillez et améliorez l'expérience des membres de l'équipe lorsqu'ils utilisent des outils et des applications sur Internet ou hébergés au sein de l'entreprise.
L'espace des solutions SSE est une composante du marché plus vaste des solutions Secure Access Service Edge (SASE). Vous pouvez considérer les fonctionnalités SSE comme la facette de sécurité des solutions SASE , tandis que l'autre moitié est constituée de technologies réseau permettant de connecter les utilisateurs, les bureaux, les applications et les datacenters. Certains fournisseurs se concentrent uniquement sur la facette SSE et dépendent de partenaires pour permettre la connexion des clients à leurs solutions de sécurité, tandis que d'autres entreprises fournissent uniquement les composantes réseau. Si l'annonce d'aujourd'hui met en avant nos capacités SSE, Cloudflare réunit les deux composantes, en proposant une solution SASE exhaustive, à fournisseur unique.
Comment Cloudflare One s'intègre-t-elle à l'univers des solutions SSE ?
Les clients peuvent compter sur Cloudflare pour résoudre l'ensemble des problèmes de sécurité que cible la catégorie des solutions SSE. Ils peuvent également commencer par une facette unique. Nous savons qu'une « transformation numérique » complète peut être une perspective intimidante pour n'importe quelle entreprise. Bien que tous les scénarios d'utilisation ci-dessous fonctionnent mieux ensemble, nous permettons aux équipes d'effectuer leurs premiers pas en toute simplicité, en résolvant un problème à la fois.
Contrôle des accès Zero Trust
La plupart des entreprises commencent ce parcours de résolution des problèmes par le démantèlement de leur réseau privé virtuel (VPN). Dans de nombreux cas, un VPN traditionnel opère suivant un modèle dans lequel toute personne connectée à ce réseau privé est, par défaut, digne de confiance, et peut alors accéder à toutes les autres ressources présentes sur le réseau. Les applications et les données résidant sur ce réseau deviennent alors vulnérables par tout utilisateur pouvant se connecter à celui-ci. L'amélioration ou le remplacement des VPN existants est l'un des principaux scénarios d'utilisation des solutions de sécurité Zero Trust adoptées par nos clients, en partie pour éliminer les problématiques liées à la longue série de vulnérabilités potentiellement graves des VPN affectant les pare-feu et les passerelles sur site.
Cloudflare offre aux équipes la possibilité d'élaborer des règles Zero Trust permettant de remplacer le modèle de sécurité d'un VPN traditionnel par un modèle évaluant chaque requête et chaque connexion à la recherche de signaux de confiance tels que l'identité, la stratégie de sécurité de l'appareil, la localisation et la méthode d'authentification multifacteur. Une solution d'accès réseau Zero Trust (ZTNA) permet aux administrateurs de proposer des applications aux collaborateurs et aux sous-traitants tiers par le biais d'un déploiement entièrement sans client, et ainsi, d'offrir avec des outils traditionnels une expérience d'utilisation semblable à celle des applications SaaS. Les équipes qui ont besoin d'un réseau plus privé peuvent toujours créer, sur Cloudflare, un réseau prenant en charge le trafic TCP, UDP et ICMP arbitraire, notamment le trafic bidirectionnel, tout en appliquant les règles Zero Trust.
Cloudflare One peut également appliquer ces règles aux applications résidant hors de votre infrastructure. Vous pouvez également déployer le proxy d'identité de Cloudflare afin d'appliquer des politiques cohérentes et granulaires, qui déterminent de quelle manière les membres de l'équipe se connectent à leurs applications SaaS.
Fonctionnalités de filtrage DNS et Secure Web Gateway (passerelle web sécurisée)
Cloudflare exploite le résolveur DNS le plus rapide du monde, aidant les utilisateurs à se connecter en toute sécurité à Internet, qu'ils travaillent depuis un café ou sur certains des réseaux les plus vastes du monde.
Au-delà du filtrage DNS, Cloudflare fournit également aux entreprises une solution Secure Web Gateway (SWG) exhaustive, qui inspecte le trafic HTTP quittant un appareil ou un réseau entier. Cloudflare filtre chaque requête afin d'identifier les destinations dangereuses ou les téléchargements potentiellement malveillants. Outre les scénarios d'utilisation d'une solution SSE, Cloudflare exploite l'un des plus grands proxys de transfert du monde dédié à la confidentialité sur Internet, utilisé par Apple iCloud Private Relay, Microsoft Edge Secure Network et d'autres également.
Vous pouvez également personnaliser la manière dont vous souhaitez transmettre le trafic à Cloudflare. Votre équipe peut décider de transmettre tout le trafic provenant de tous les appareils mobiles, ou simplement de connecter le réseau de votre bureau ou votre datacenter au réseau de Cloudflare. Chaque requête ou requête DNS est journalisée et mise à disposition à des fins d'examen sur notre tableau de bord, et peut également être exportée vers une solution de journalisation tierce.
CASB in-line (interne) et au repos
Les applications SaaS soulagent les équipes informatiques du fardeau que représentent l'hébergement, la maintenance et la surveillance des outils sur lesquels repose leur activité. Elles entraînent également de nouvelles problématiques pour les équipes de sécurité correspondantes.
Tout utilisateur d'une entreprise doit désormais se connecter à une application sur l'Internet public afin d'effectuer son travail, et certains utilisateurs préfèrent utiliser leur application préférée, plutôt que celles qui ont été vérifiées et approuvées par le service informatique. Ce type d'infrastructure reposant sur l'informatique fantôme (Shadow IT) peut être à l'origine de frais imprévus, de violations de la conformité et de pertes de données.
Cloudflare propose des fonctionnalités complètes d'analyse et de filtrage permettant de détecter si les membres d'une équipe utilisent des outils non approuvés. En un seul clic, les administrateurs peuvent bloquer ces outils ou contrôler la manière dont ces applications sont utilisées. Si votre équipe marketing doit utiliser Google Drive pour collaborer avec un fournisseur, vous pouvez appliquer une règle rapide permettant d'assurer que ce dernier peut uniquement télécharger des fichiers, et jamais en transférer. Vous pouvez également autoriser les utilisateurs à accéder à une application en lecture seule, en interdisant toute saisie de texte. Les politiques d'informatique fantôme (Shadow IT) de Cloudflare proposent des contrôles faciles à déployer, permettant de maîtriser l'utilisation d'Internet par votre entreprise.
Au-delà des applications non autorisées, même les ressources approuvées peuvent entraîner des problèmes. Votre entreprise dépend peut-être de Microsoft OneDrive pour l'exécution des tâches quotidiennes, mais vos politiques de conformité interdisent à votre service RH de stocker, dans l'outil, des fichiers contenant le numéro de sécurité sociale des employés. Le CASB (Cloud Access Security Broker) de Cloudflare peut analyser régulièrement les applications SaaS utilisées par votre équipe afin de détecter d'éventuelles utilisations inappropriées, l'absence de contrôles ou des erreurs de configuration potentielles.
Digital Experience Monitoring
Les utilisateurs de solutions pour entreprises ont les mêmes attentes que les utilisateurs grand public au regard de la facilité avec laquelle ils se connectent à Internet. Lorsqu'ils constatent des retards ou de la latence, ils s'en plaignent aux services d'assistance informatique. Ces plaintes ne font que s'intensifier lorsque les services d'assistance ne disposent pas des outils appropriés pour comprendre ou résoudre les problèmes de manière détaillée.
Cloudflare One fournit aux équipes une suite d'outils Digital Experience Monitoring que nous avons développés sur la base des outils utilisés par Cloudflare depuis des années pour surveiller notre réseau mondial. Les administrateurs peuvent ainsi mesurer au niveau mondial, régional ou individuel la latence d'accès aux applications sur Internet. Les équipes informatiques peuvent ouvrir notre tableau de bord afin de remédier aux problèmes de connectivité affectant des utilisateurs uniques. Les fonctionnalités que nous utilisons pour traiter en proxy environ 20 % du web sont désormais accessibles aux équipes de toute taille, afin qu'elles puissent aider leurs utilisateurs.
Sécurité des données
La préoccupation la plus pressante que nous avons entendue de la part des DSI et des RSSI au cours de l'année passée est la crainte d'une protection des données. Que la perte de données soit malveillante ou accidentelle, ses conséquences peuvent éroder la confiance des clients et entraîner des pénalités pour l'entreprise.
Nos clients nous apprennent également que le déploiement d'une forme efficace de sécurité des données, quelle qu'elle soit, est tout simplement difficile. Ils nous racontent des anecdotes sur les coûteuses solutions dédiées qu'ils ont achetées avec l'intention de les mettre en œuvre rapidement, afin de préserver la sécurité des données, mais qui, en fin de compte, n'ont pas fonctionné, voire ont ralenti leurs équipes au point d'être mises hors service et remisées.
L'année dernière, nous nous sommes employés à améliorer considérablement notre solution à ce problème, qui est devenu le principal domaine d'investissement de l'équipe de Cloudflare One. Notre portefeuille de produits de sécurité des données, qui inclut notamment la solution de prévention des pertes de données (DLP, Data Loss Prevention), permet désormais d'analyser les données qui quittent votre entreprise, ainsi que les données stockées dans vos applications SaaS ; elle prévient également les pertes de données sur la base de correspondances exactes de données fournies par vos soins ou de l'utilisation de modèles « plus vagues ». Les équipes peuvent appliquer la reconnaissance optique des caractères (OCR) afin de détecter les pertes d'images, effectuer une recherche de clés publiques dans le cloud en un clic, tandis que les éditeurs de logiciels peuvent recourir à des détections de code source prédéfinies, basées sur l'apprentissage automatique.
Au cours de l'année à venir, la sécurité des données restera notre principale préoccupation dans Cloudflare One. Nous sommes ravis de continuer à proposer une plateforme SSE qui offre aux administrateurs un contrôle complet, sans interrompre ni ralentir leurs utilisateurs.
Au-delà du modèle SSE
L'ampleur d'une solution SSE permet de capturer un large éventail de problèmes de sécurité affectant les entreprises. Nous savons également que les problèmes qui échappent à cette définition peuvent compromettre la sécurité d'une équipe. En plus de proposer une plateforme SSE exceptionnelle, Cloudflare fournit à vos équipes une gamme complète d'outils conçus pour protéger votre entreprise, connecter votre équipe et sécuriser l'ensemble de vos applications.
La compromission des infrastructures informatiques tend à commencer par le courrier électronique. La plupart des attaques commencent par une campagne de phishing (hameçonnage) multicanal ou une attaque par ingénierie sociale adressée à la principale faille dans le périmètre de sécurité d'une entreprise : les boîtes de réception des collaborateurs. Nous pensons que vous devriez également être protégé contre ces menaces, avant même que les couches de notre plateforme SSE n'interviennent pour intercepter les liens ou les fichiers malveillants contenus dans ces e-mails ; c'est pourquoi Cloudflare One propose également une solution inégalée de sécurité des e-mails dans le cloud. Les fonctionnalités de la solution s'intègrent en toute simplicité aux autres fonctionnalités de Cloudflare One, afin de contribuer à neutraliser tous les canaux de phishing : boîtes de réception (sécurité des e-mails dans le cloud), réseaux sociaux (SWG), SMS (ZTNA avec clés physiques) et collaboration dans le cloud (CASB). Vous pouvez, par exemple, autoriser les membres de l'équipe à cliquer sur les liens potentiellement malveillants contenus dans un e-mail, tout en forçant le chargement de ces pages de destination dans un navigateur isolé, transparent pour l'utilisateur.
Cependant, la plupart des solutions SSE se limitent à cette approche et résolvent uniquement la problématique de la sécurité. Les membres de l'équipe, les appareils, les bureaux et les datacenters doivent toujours pouvoir établir une connexion offrant des performances et une disponibilité élevées. D'autres fournisseurs de solutions SSE s'associent à des fournisseurs de connectivité réseau afin de résoudre ce problème, ce qui ajoute toutefois des sauts et une latence supplémentaires. Les clients de Cloudflare, quant à eux, n'ont pas besoin d'accepter de compromis. Cloudflare One propose une solution de connectivité WAN complète, mise en œuvre dans les mêmes datacenters que nos composantes de sécurité. Les entreprises peuvent se fier à un fournisseur unique pour gérer leur connectivité en toute sécurité, sans sauts ni factures supplémentaires.
Nous savons également que les problèmes de sécurité ne font pas de distinction entre les activités qui se déroulent à l'intérieur de votre entreprise et les applications que vous mettez à la disposition du reste du monde. Vous pouvez sécuriser et accélérer les applications que vous développez afin de servir également vos propres clients via Cloudflare. Par ailleurs, les analystes ont salué la plateforme de protection des API et des applications web (Web Application and API Protection, WAAP) de Cloudflare, qui protège certaines des plus grandes destinations Internet du monde.
Quel est l'impact pour les clients ?
Des dizaines de milliers d'organisations font confiance chaque jour à Cloudflare One pour sécuriser leurs équipes, et elles en sont ravies. Plus de 200 entreprises ont évalué la plateforme Zero Trust de Cloudflare dans la publication Gartner® Peer Insights™. Comme nous l'avons évoqué plus haut, les commentaires ont été tellement positifs que Gartner a nommé Cloudflare « Customer's Choice » en 2024.
Nous échangeons directement avec nos clients au sujet de ces commentaires, et ils nous ont aidés à comprendre pourquoi les DSI et les RSSI choisissent Cloudflare One. Pour certaines équipes, nous proposons une opportunité économique de consolider des solutions ponctuelles. D'autres équipes, quant à elles, apprécient notre facilité d'utilisation, qui a permis à de nombreux utilisateurs de configurer notre plateforme avant même d'avoir échangé avec notre équipe. Nous comprenons également que la vitesse est importante pour garantir une expérience utilisateur fluide, et notre solution est 46 % plus rapide que Zscaler, 56 % plus rapide que Netskope et 10 % plus rapide que Palo Alto Networks.
Et ensuite ?
Nous avons débuté l'année 2024 avec une semaine consacrée aux nouvelles fonctionnalités de sécurité que les équipes peuvent commencer à déployer dès maintenant. Pour le reste de l'année, vous pouvez vous attendre à des investissements supplémentaires, tandis que nous continuons à approfondir les capacités de notre produit Secure Web Gateway. Nous avons également entrepris de rendre nos exceptionnelles fonctionnalités de contrôle des accès encore plus faciles à utiliser. Nos priorités essentielles seront notre plateforme de protection des données, notre solution Digital Experience Monitoring et nos outils CASB in-line (interne) et au repos. Enfin, restez à l'écoute pour découvrir comment nous allons refondre notre approche de l'extraction d'analyses de données et aider les équipes à atteindre leurs objectifs de conformité.
Notre engagement envers nos clients en 2024 est le même qu'en 2023. Nous allons continuer à aider vos équipes à résoudre davantage de problèmes de sécurité, afin qu'elles puissent se concentrer sur votre mission.
Êtes-vous prêt à nous voir honorer cet engagement ? Cloudflare propose une solution unique parmi les leaders dans ce secteur : vous pouvez dès maintenant commencer à utiliser pratiquement toutes les fonctionnalités de Cloudflare One, et ce, sans frais. Les équipes comptant jusqu'à 50 utilisateurs peuvent adopter notre plateforme gratuitement, que ce soit pour leur petite équipe ou dans le cadre d'une démonstration de faisabilité pour une entreprise plus grande. Nous pensons que les entreprises de toute taille devraient pouvoir commencer leur parcours de déploiement d'une sécurité ultra-performante.
***
1Gartner, Magic Quadrant for Security Service Edge, par Charlie Winckless, Thomas Lintemuth, Dale Koeppen, 15 avril 2024
2Gartner, Voice of the Customer for Zero Trust Network Access, par des homologues contributeurs, 30 janvier 2024
3https://www.gartner.com/en/information-technology/glossary/security-service-edge-sse
GARTNER est une marque déposée et une marque de service de Gartner, Inc. et/ou de ses filiales aux États-Unis et dans le monde, MAGIC QUDRANT et PEER INSIGHTS sont des marques déposées et le badge GARTNER PEER INSIGHTS CUSTOMERS' CHOICE est une marque commerciale et une marque de service de Gartner, Inc. et/ou de ses filiales, et est utilisé avec autorisation dans les présentes. Tous droits réservés.
Le contenu des évaluations publiées dans Gartner® Peer Insights constitue l'opinion subjective d'utilisateurs finaux individuels et résulte de leur propre expérience. Il ne doit pas être interprété comme une déclaration de fait, pas plus qu'il n'exprime l'opinion propre de Gartner ou de ses sociétés affiliées. Gartner ne soutient aucun fournisseur, produit ou service décrit dans ce contenu et décline toute garantie, explicite ou implicite, à l'égard de ce dernier, notamment toute garantie de qualité marchande ou d'adéquation à un usage particulier.
Gartner ne fait la promotion d'aucun des fournisseurs, produits ou services décrits dans ses publications et ne conseille aucunement aux utilisateurs de ces technologies de ne sélectionner que les fournisseurs ayant obtenu les meilleures notes ou autres désignations. Les publications de Gartner expriment les opinions de l'organisation de recherche Gartner et ne doivent pas être interprétées comme des affirmations de faits. Gartner décline toute garantie, explicite ou implicite, relative à cette étude, notamment toute garantie de valeur marchande ou d'adéquation à un usage particulier.