Quelle différence entre SASE et SSE ?

Le SASE (Secure Access Service Edge) couvre l'ensemble réseau + sécurité : il inclut le SD-WAN pour la partie connectivité, et les fonctions SWG, CASB, ZTNA, FWaaS, DLP pour la partie sécurité. Le SSE (Security Service Edge) ne couvre que le volet sécurité — sans SD-WAN. Le SSE est né en 2021 dans un rapport Gartner pour refléter le fait que beaucoup d'organisations déploient d'abord la sécurité cloud avant ou sans le SD-WAN. Concrètement, SSE = SASE moins SD-WAN. Beaucoup d'acteurs proposent les deux offres, parfois combinées, parfois séparées selon le besoin client.

Combien coûte une plateforme SASE ?

Variable selon les composants activés et le périmètre. Fourchettes typiques : 8 à 25 € par utilisateur et par mois pour une offre SASE complète (SD-WAN + toutes les fonctions sécurité) chez les leaders. Les offres SSE seules (sans SD-WAN) se situent entre 5 et 15 €/utilisateur/mois. Pour une ETI de 1 000 collaborateurs, le budget annuel SASE complet se situe typiquement entre 150 000 et 400 000 € de licences, hors coûts d'intégration et de professional services. Le ROI se calcule principalement par rapport au TCO du VPN + pare-feu + SWG + CASB existants qui disparaissent progressivement.

Faut-il un seul fournisseur SASE ou en combiner plusieurs ?

Gartner recommande un fournisseur unique pour maximiser la cohérence des politiques et simplifier l'exploitation. En pratique, beaucoup d'organisations adoptent une approche "two-vendor SASE" : un acteur pour le SD-WAN (souvent hérité d'un projet antérieur) et un autre pour la sécurité. Cette approche est plus complexe à exploiter mais permet souvent de capitaliser sur l'existant et d'éviter une dépendance totale à un seul acteur. Les acteurs pure-play SASE (Cato Networks, Versa) défendent l'approche unique ; les acteurs sécurité seule (Zscaler, Netskope) s'associent avec des partenaires SD-WAN.

SASE : définition, composants et stratégie de déploiement

Q: SASE remplace-t-il le pare-feu d'entreprise ?

Partiellement. Le SASE intègre un pare-feu as-a-service (FWaaS) qui applique les politiques sur le trafic utilisateur et inter-sites. Pour les utilisateurs mobiles et les petits sites, cela peut suffire. En revanche, les grands sites, les datacenters et les environnements industriels conservent souvent des pare-feu physiques ou virtuels locaux pour des raisons de performance, de latence ou de résilience. Le SASE transforme le rôle des pare-feu périphériques plus qu'il ne les élimine totalement. Les plateformes modernes offrent une gestion unifiée des politiques entre pare-feu cloud et pare-feu on-prem.

Concept introduit par: Gartner, août 2019
Prononciation: sassy
Type d'architecture: Convergence réseau + sécurité cloud-delivered
Sous-ensemble: SSE (Security Service Edge) — SASE moins SD-WAN
Livraison: Points de présence (PoP) mondiaux

01 — DéfinitionQu'est-ce que SASE ?

Le SASE (Secure Access Service Edge, prononcé « sassy ») est un modèle d'architecture convergée qui fusionne en une plateforme cloud unique :

Les fonctions réseau : principalement SD-WAN pour interconnecter sites et utilisateurs.
Les fonctions sécurité : SWG (Secure Web Gateway), CASB (Cloud Access Security Broker), ZTNA (Zero Trust Network Access), FWaaS (Firewall as a Service), DLP (Data Loss Prevention).

Ces capacités sont délivrées depuis des points de présence (PoP) répartis mondialement. Les utilisateurs et les sites se connectent au PoP le plus proche géographiquement où leur trafic est inspecté, sécurisé et routé vers sa destination finale (SaaS, cloud public, datacenter, Internet). Cela remplace le modèle historique du backhauling, qui faisait remonter tout le trafic au siège avant ressortie.

Le concept a été formalisé par Gartner dans un rapport publié en août 2019, The Future of Network Security is in the Cloud. Trois grandes tendances ont motivé l'émergence du modèle :

La dispersion des applications dans le cloud et les SaaS.
La dispersion des utilisateurs en mobilité et télétravail.
L'obsolescence du modèle périmétrique et du backhauling systématique.

SASE n'est pas un produit unique, mais un modèle d'architecture. Chaque éditeur propose sa propre implémentation, avec des briques plus ou moins complètes et intégrées.

SASE ne crée pas de nouvelles technologies — SD-WAN, SWG, CASB, ZTNA, FWaaS existaient déjà. L'innovation est la convergence : une plateforme unique, une console unique, des politiques cohérentes entre tous les composants.

02 — OriginePourquoi le modèle a émergé

L'architecture « hub and spoke » dépassée

Le modèle historique de la sécurité d'entreprise était centralisé : un siège avec un pare-feu principal, des proxys web, des passerelles VPN. Tout le trafic des sites distants et des utilisateurs nomades remontait au siège via MPLS ou VPN, y était inspecté, puis ressortait vers Internet ou les applications.

Ce modèle a bien fonctionné quand :

Les applications étaient au siège ou dans un datacenter unique.
Les utilisateurs étaient majoritairement sur site.
Le trafic Internet restait minoritaire.

Il est devenu contre-productif quand :

Microsoft 365, Salesforce, Workday, Google Workspace sont devenus les applications principales — elles sont déjà dans le cloud.
Les utilisateurs sont devenus majoritairement mobiles.
Le télétravail est devenu structurel post-2020.
L'expérience utilisateur est devenue un enjeu business majeur.

Le backhauling pénalisant

Un utilisateur en télétravail qui se connecte à Microsoft 365 : avec un VPN classique, son trafic part de chez lui, remonte au siège, sort sur Internet, arrive chez Microsoft. Microsoft répond, le paquet parcourt le chemin inverse. Résultat : latence élevée, débit limité par la capacité du siège, expérience utilisateur dégradée, coût MPLS élevé.

Avec SASE : l'utilisateur se connecte au PoP SASE le plus proche (quelques millisecondes), son trafic est inspecté, puis routé directement vers Microsoft via les interconnexions cloud-to-cloud optimisées. Gain de latence et gain de sécurité simultanés.

Fragmentation des outils traditionnels

Avant SASE, une organisation mature déployait typiquement :

Des pare-feu physiques (Palo Alto, Fortinet, Cisco, Check Point) dans les sites.
Des proxys web (Blue Coat, McAfee Web Gateway, Forcepoint).
Un CASB (Netskope, McAfee MVISION, Microsoft Cloud App Security).
Un VPN SSL ou IPsec (Fortinet, Pulse Secure, Cisco AnyConnect).
Une DLP dédiée (Symantec, Forcepoint, Digital Guardian).
Un SD-WAN (VeloCloud, Silver Peak, Cisco Viptela).

Six outils, six consoles, six contrats, six équipes souvent. Politiques incohérentes, visibilité fragmentée, TCO élevé. Le SASE propose de consolider tout cela.

Accélération post-2020

La pandémie COVID-19 a accéléré brutalement l'adoption : passage massif au télétravail, saturation des VPN existants, besoin de nouvelles architectures. Le marché SASE/SSE a explosé entre 2020 et 2024, avec des taux de croissance annuels de 30-40% selon IDC et Gartner. En 2026, SASE et SSE sont devenus des investissements de référence dans la plupart des grandes organisations.

03 — ComposantsLes briques du SASE

SD-WAN — la couche réseau

Le SD-WAN (Software-Defined Wide Area Network) est la composante réseau du SASE. Il remplace ou complète les circuits MPLS traditionnels par des connexions Internet mutualisées et des politiques d'optimisation logicielle.

Fonctions principales :

Agrégation de liens hétérogènes (fibre, 4G/5G, MPLS, Internet).
Routage applicatif intelligent (Teams va sur fibre, sauvegardes sur Internet de secours).
Optimisation WAN (compression, cache, gestion de la QoS).
Haute disponibilité automatique.

SWG — Secure Web Gateway

Le SWG inspecte et filtre le trafic web (HTTP, HTTPS). Il remplace les proxys d'entreprise historiques. Fonctions :

Filtrage des URL malveillantes et des catégories interdites.
Inspection TLS (déchiffrement + réchiffrement) pour détecter les menaces cachées.
Détection de malwares et de command-and-control.
Application des politiques d'usage (pas de streaming en journée, pas de sites catégorisés loisirs, etc.).
Isolation de navigation (RBI — Remote Browser Isolation) pour les sites à risque.

CASB — Cloud Access Security Broker

Le CASB est dédié à la sécurité des applications SaaS. Il voit et contrôle les usages cloud :

Visibilité sur le shadow IT (SaaS non autorisés utilisés par les collaborateurs).
Contrôle des actions dans les SaaS autorisés (upload, partage externe, téléchargement massif).
Détection des comportements anormaux (UEBA) — accès atypiques, exfiltration.
DLP spécifique aux données dans les SaaS.
Inspection des fichiers partagés dans OneDrive, Google Drive, Box, Dropbox.

ZTNA — Zero Trust Network Access

Le ZTNA remplace le VPN pour l'accès aux applications privées. Intégré dans SASE, il bénéficie de l'identité et des politiques unifiées de la plateforme. Voir fiche dédiée.

FWaaS — Firewall as a Service

Le pare-feu délivré depuis le cloud, appliqué au trafic qui transite par les PoP SASE. Fonctions classiques (NGFW) avec application des politiques centralisées :

Filtrage par application, utilisateur, groupe.
IPS (Intrusion Prevention System).
Inspection TLS.
Connexion entre sites et entre utilisateurs.

DLP — Data Loss Prevention

La DLP intégrée détecte et empêche les fuites de données sensibles sur tous les canaux couverts par la plateforme (web, SaaS, email, applications internes). Elle s'appuie sur des patterns (numéros de carte, données personnelles), des dictionnaires sectoriels et de plus en plus sur de la classification ML. Elle peut bloquer, alerter, chiffrer automatiquement ou exiger une justification selon les cas.

Composants complémentaires émergents

RBI (Remote Browser Isolation) : exécution de la navigation dans un conteneur distant pour isoler les menaces.
DEM (Digital Experience Monitoring) : mesure de l'expérience utilisateur pour détecter les problèmes de performance.
Deception : faux assets pour détecter les attaques latérales.
SSPM/CSPM : configuration security posture management pour SaaS et cloud.
Détection anti-deepfake en email et dans les flux vidéo — émergent à partir de 2024-2025.

04 — SSELa distinction SASE vs SSE

Pourquoi SSE a émergé

Le terme SSE (Security Service Edge) a été introduit par Gartner en 2021 pour désigner la partie sécurité uniquement du SASE, sans SD-WAN. Plusieurs raisons ont motivé cette scission conceptuelle :

Beaucoup d'organisations ont déjà un SD-WAN déployé récemment qu'elles ne veulent pas remplacer.
Les cycles de décision réseau et sécurité sont souvent différents (équipes différentes, budgets différents).
Certains acteurs sécurité purs (Netskope, Zscaler dans sa version originale) voulaient éviter d'être écartés des appels d'offres pour ne pas avoir de SD-WAN.
Le SD-WAN et la sécurité ont des cycles d'innovation différents.

Composition du SSE

Un SSE inclut :

SWG
CASB
ZTNA
FWaaS (optionnel)
DLP (optionnel)
RBI, DEM et autres composants émergents

Quand choisir SSE seul

Organisation avec SD-WAN déjà en place et satisfaisant.
Volonté de séparer les cycles de décision réseau et sécurité.
Priorité donnée à la sécurité cloud et à l'accès distant, avec un réseau existant stable.
Souhait de préserver une indépendance vis-à-vis de l'éditeur réseau.

Quand choisir SASE complet

Refonte globale de l'architecture réseau et sécurité.
Petites et moyennes structures qui partent de zéro.
Recherche de simplicité opérationnelle et d'un fournisseur unique.
Valorisation forte de la convergence et de l'intégration.

Convergence pratique 2024-2026

En 2026, la distinction SASE / SSE devient moins tranchée. Plusieurs acteurs initialement pure-sécurité (Zscaler, Netskope, Cloudflare) se sont renforcés côté SD-WAN par partenariats ou acquisitions. Les acteurs réseau (Cisco, Fortinet, Aruba/HPE) ont renforcé leurs capacités sécurité. Cato Networks et Versa maintiennent une approche pure-play SASE avec plateforme unifiée.

05 — MarchéPaysage des acteurs

Leaders SASE « single-vendor »

Cato Networks : pure-player SASE, plateforme entièrement intégrée, architecture unifiée SD-WAN + sécurité.
Versa Networks : fondé sur un héritage SD-WAN solide, offre SASE complète.
Palo Alto Networks (Prisma Access / Prisma SD-WAN) : intégration progressive des briques Palo Alto.
Fortinet (FortiSASE) : acteur unique combinant forte présence firewall physique et plateforme cloud.

Leaders SSE (sécurité seule)

Zscaler : pionnier historique du SSE, leader selon Gartner Magic Quadrant SSE depuis plusieurs années.
Netskope : particulièrement fort sur CASB et l'analyse des SaaS.
Cloudflare : offre SSE compétitive (Cloudflare One), tarification agressive, grande base développeur.
Palo Alto (Prisma Access en mode SSE).
Cisco (Cisco Secure Access / Umbrella + Duo).
Check Point (Harmony SASE).
Forcepoint : historique DLP, offre SSE complète.
Skyhigh Security : spin-off de McAfee Enterprise orienté cloud security.

Acteurs SD-WAN historiques

Cisco (Viptela, Meraki) : base installée massive.
HPE Aruba (Silver Peak, EdgeConnect).
VMware (VeloCloud, devenu HPE Velocloud après rachat d'HPE en 2024).
Juniper : offre SD-WAN et partenariats sécurité.
Fortinet (FortiGate SD-WAN intégré) : fort sur le marché SME/mid-market.

Acteurs Microsoft et hyperscalers

Microsoft : Entra Private Access (ZTNA), Defender for Cloud Apps (CASB), Defender for Endpoint pour la posture. Approche cohérente pour les clients engagés M365/E5.
Google (BeyondCorp Enterprise) : héritier direct de la démarche Google BeyondCorp originelle.

Gartner Magic Quadrants clés

Gartner publie deux rapports distincts :

Magic Quadrant SSE : référence pour la sécurité cloud.
Magic Quadrant Single-Vendor SASE : plateformes intégrant SD-WAN + sécurité.

Consulter ces rapports (versions récentes 2025-2026) est un point de départ classique pour les appels d'offres.

Acteurs français et européens

Peu d'acteurs français pure-play SASE. Les offres souveraines pour les marchés sensibles passent par Thales, Atos/Eviden, Orange Cyberdefense, Capgemini, qui intègrent des briques techniques internationales dans des architectures qualifiées (SecNumCloud pour certaines composantes). Des initiatives européennes émergent dans le cadre de la souveraineté numérique mais sans leader établi en 2026.

06 — DéploiementDémarche pragmatique

Phase 1 — Vision et cadrage

Diagnostic de l'existant (réseau, sécurité, TCO, satisfaction utilisateur).
Définition des objectifs métier (performance, sécurité, coûts, conformité).
Choix stratégique : SASE complet single-vendor ou SSE + SD-WAN séparés.
Alignement entre équipes réseau, sécurité et métier.

Phase 2 — Sélection du ou des fournisseurs

Appel d'offres structuré avec critères détaillés (techniques, financiers, géographiques).
POC comparatifs avec cas d'usage réels.
Validation des intégrations (IAM, EDR, SIEM, existants réseau).
Analyse des références clients similaires.
Vérification des couvertures géographiques (PoP) pour votre périmètre.

Phase 3 — Premiers composants prioritaires

Commencer par le plus urgent : souvent ZTNA en remplacement du VPN.
Déploiement progressif par vagues d'utilisateurs / d'applications.
Coexistence avec l'existant pendant la transition.
Formation des équipes opérationnelles.

Phase 4 — Extension aux fonctions web et SaaS

Déploiement du SWG en remplacement des proxys historiques.
Activation du CASB pour visibilité et contrôle des SaaS.
Intégration de la DLP pour les données sensibles.
Consolidation des politiques de filtrage.

Phase 5 — Migration réseau (si SASE complet)

Déploiement progressif du SD-WAN par site.
Réduction graduelle des circuits MPLS si applicable.
Migration du FWaaS pour les sites sans pare-feu local persistant.
Optimisation de la connectivité aux clouds publics.

Phase 6 — Harmonisation et maturité

Consolidation des politiques entre les composants.
Intégration avec le SIEM et le XDR pour corrélation globale.
Automation et orchestration via API.
Mesure de l'expérience utilisateur (DEM).
Revues régulières de l'adéquation aux besoins métier.

07 — LimitesCe qu'il faut savoir

Concentration du risque fournisseur

Adopter SASE concentre la dépendance sur un ou deux fournisseurs cloud critiques pour le fonctionnement du réseau et de la sécurité. Un incident majeur chez le fournisseur (panne globale, cyberattaque sur l'éditeur, défaillance d'un PoP) peut paralyser l'accès aux applications pour des milliers d'utilisateurs simultanément. Les plans de continuité (accès VPN de secours, procédures dégradées) sont indispensables.

Souveraineté et localisation

La plupart des plateformes SASE leaders sont américaines, ce qui pose des questions pour les secteurs très régulés français et européens : localisation des PoP en UE, soumission au CLOUD Act américain, exigences NIS2 et DORA sur les prestataires critiques. Certaines offres (Orange, Thales, Atos/Eviden avec des briques certifiées) répondent partiellement à ces exigences mais avec un périmètre fonctionnel souvent plus restreint.

Complexité du périmètre contractuel

Les offres SASE sont modulaires avec de nombreuses options, facturations et limitations. Décoder exactement ce qui est inclus (et à quelles conditions) demande une expertise fine. Les négociations multi-années avec engagement de volumes sont fréquentes — lire attentivement les clauses de sortie et d'évolutivité.

Coûts cachés

Au-delà des licences annoncées, plusieurs postes peuvent gonfler le TCO :

Bande passante supplémentaire (trafic qui passe par le PoP).
Modules sécurité avancés facturés à part (DLP, RBI, DEM, sandboxing).
Services professionnels de déploiement et de migration.
Intégrations avec les outils existants.
Formations et certifications.

Changements organisationnels profonds

SASE fait converger des équipes historiquement séparées : réseau et sécurité. Cette convergence technique demande aussi une convergence organisationnelle — nouvelles compétences, nouveaux processus, parfois nouvelles équipes unifiées. Les organisations qui minimisent ce volet échouent souvent à tirer le plein bénéfice du SASE.

Inspection TLS et vie privée

Le déchiffrement TLS nécessaire à l'inspection peut poser des questions juridiques et pratiques : droit du travail français (information des collaborateurs, CSE), traitement de certaines catégories de trafic (santé, bancaire, sites personnels). Le périmètre d'inspection doit être cadré en cohérence avec le RGPD et le droit du travail.

08 — FAQQuestions fréquentes

Faut-il du SASE pour une PME ?

De plus en plus. Les offres se sont démocratisées et les PME bénéficient souvent plus encore que les grandes entreprises de la simplification apportée par une plateforme unifiée. Des acteurs comme Cato Networks, Cloudflare, Fortinet proposent des offres accessibles. Pour une TPE avec des effectifs faibles et peu d'applications internes, un SSE seul (sans SD-WAN) est généralement suffisant.

SASE implique-t-il de supprimer tous les pare-feu physiques ?

Non. Les grands sites, datacenters et environnements industriels conservent souvent des pare-feu physiques ou virtuels pour des raisons de performance, de latence, de résilience locale ou de conformité. Le SASE change le rôle des pare-feu : ils se concentrent sur la protection des segments internes et sur les cas d'usage spécifiques, tandis que le trafic utilisateur vers Internet et SaaS passe par la plateforme SASE.

Peut-on implémenter SASE sans remplacer son IAM ?

Oui, à condition d'avoir un IdP moderne. Les plateformes SASE s'intègrent avec Entra ID, Okta, Ping, Google Workspace, parfois avec des annuaires LDAP plus anciens via un pont. Un IAM à jour (MFA déployée, SAML/OIDC en place) est un prérequis pour tirer parti du SASE. Sinon, les deux projets se font en parallèle.

Quelle différence entre SASE et un simple VPN cloud ?

Un VPN cloud est un sous-ensemble fonctionnel très limité : il sécurise le transport. Le SASE inclut non seulement la sécurité réseau mais aussi l'inspection contenu (SWG), les contrôles SaaS (CASB), l'accès applicatif granulaire (ZTNA), la protection des données (DLP) et la convergence avec le réseau (SD-WAN). Le SASE est un écosystème, le VPN cloud une fonction. Plusieurs acteurs « SASE » annoncés se limitent en réalité à du VPN cloud — lire attentivement le détail fonctionnel des offres.

SASE remplace-t-il le SOC ou les outils de détection ?

Non, il les complète. Le SASE remonte des signaux riches (connexions, usages, contenus inspectés, anomalies) que le SOC et le SIEM consomment pour la détection. Le XDR moderne intègre souvent les signaux SASE dans sa corrélation globale. SASE et SOC fonctionnent ensemble : SASE contrôle l'accès et protège le trafic, le SOC détecte et répond aux incidents.