SASE single-vendor ou best-of-breed ?

Single-vendor (Palo Alto Prisma, Fortinet FortiSASE, Cloudflare One, Zscaler) : cohérence opérationnelle, prix intégré. Best-of-breed : meilleure technologie par composant mais intégration manuelle. Single-vendor recommandé pour la majorité des cas.

Migrer de hub-and-spoke à SASE ?

Approche progressive sur 12-24 mois : (1) déployer SASE en POPs régionaux, (2) connecter sites pilotes via SD-WAN, (3) migrer les flux Internet utilisateurs (SWG cloud), (4) remplacer VPN remote-access par ZTNA, (5) décommission progressive des firewalls périmètre.

Architecture SASE : conception and déploiement

April 15, 2026·3 min read·443 words

SASE (Secure Access Service Edge) est le framework convergent SD-WAN + security cloud proposé par Gartner en 2019. Il fusionne ZTNA, SWG, CASB, FWaaS, DNS Security dans une plateforme cloud unique. Adoption accélérée post-COVID with télétravail massif. Guide architecture SASE 2026.

Composants SASE

SD-WAN : connectivité intelligente sites-cloud-sites
ZTNA (Zero Trust Network Access) : accès applications privées
SWG (Secure Web Gateway) : proxy web sortant, URL filtering, AV
CASB (Cloud Access Security Broker) : visibilité and contrôle SaaS
FWaaS (Firewall-as-a-Service) : inspection trafic Internet
DNS Security : résolution DNS sécurisée (type Cisco Umbrella)
DLP (Data Loss Prevention) : prévention exfiltration
RBI (Remote Browser Isolation) : isolation trafic risqué

SSE vs SASE

Depuis 2021, Gartner sépare :

SSE (Security Service Edge) : ZTNA + SWG + CASB + FWaaS (juste security)
SASE = SSE + SD-WAN (ajout connectivité)
For entrepriits with SD-WAN existant : déployer juste SSE

Architecture POP-based

SASE est cloud-native with POPs (Points of Presence) globaux :

Utilisateur → POP le plus proche (<20ms)
Inspection trafic dans le POP (tous servithese SASE)
Sortie vers Internet, SaaS, apps privées
Typique : 100-200 POPs mondiaux par éditeur

Vendors leaders 2026

Zscaler : leader SSE pur, 150+ POPs, SLA excellent
Palo Alto Prisma Access : SSE + SD-WAN integrated (CloudGenix → Prisma)
Netskope : leader CASB historique, SSE complet
Cato Networks : single-pass SASE cloud-native
Cisco Secure Access (Umbrella SIG + Duo + SD-WAN) : intégration Cisco
Fortinet SASE : FortiSASE via cloud FortiGate VM
Cloudflare One : SSE + ZTNA + SWG sur network anycast mondial
Verits Networks : SASE with SD-WAN fort

Sizing and coûts

SSE basique : 8-15€ HT/user/mois
SASE complet (SSE + SD-WAN) : 20-35€ HT/user/mois
Entreprise 500 users SASE : ~15 000€ HT/mois = 180 000€ HT/an
TCO 3 ans vs architecture traditionnelle (FW + SWG + VPN) : souvent -30%

Déploiement phasé

Phase 1 : DNS + SWG (2-3 mois)

Basculer DNS internet corporate vers SASE provider. Ajouter SWG proxy navigateur. Quick-win, peu invasif.

Phase 2 : ZTNA (3-6 mois)

Migrer applications internes of VPN vers ZTNA. Voir guide ZTNA dédié.

Phase 3 : CASB + DLP (3-6 mois)

Visibilité sur M365, Google Workspace, Salesforce. Règles DLP (ex : bloquer upload credit card vers Dropbox).

Phase 4 : FWaaS + SD-WAN (6-12 mois)

Remplacement FW site + MPLS par SASE SD-WAN vers POPs.

Critères de choix

Nombre/localisation POPs vs utilisateurs
Maturité ZTNA (agent vs agentless)
Intégration IdP (Azure AD, Okta)
Reporting and SIEM integration
TCO and consolidation vendors
Maturité support France/Europe (support francophone, POP Paris/Marseille)

Commander chez OPTINOC

Audit SASE + choix vendor + déploiement clé-en-main chez OPTINOC. Fortinet FortiSASE, Cisco, Palo Alto Prisma. Devis SMB-grand compte sous 48h.