Une image, pour commencer. Vous avez fait construire une autoroute entre vos bureaux, vos agences et vos collaborateurs en télétravail. Quatre voies, fluide, rapide, pas trop chère. C’est votre SD-WAN. Une vraie réussite, et je le dis sans ironie.
Voilà ce que cette autoroute ne fait pas : elle ne regarde pas ce qui roule dessus. Pas de scanner, pas de douanier, pas de coffre embarqué. De la route, c’est tout.
Le SASE (Secure Access Service Edge), c’est la même autoroute avec des péages qui contrôlent, des inspecteurs intégrés, et une traçabilité du départ jusqu’à l’arrivée.
Le débat est devenu un sujet de gouvernance des données. Et donc un sujet pour le DPO.
Ce que le SD-WAN sait faire, et ce qu’il ne fait pas
Soyons honnêtes : le SD-WAN a changé la donne pour la connectivité d’entreprise.
Avant lui, relier deux sites coûtait cher (lignes MPLS dédiées), c’était rigide, et on dépendait d’un opérateur ou deux. Le SD-WAN a fait d’Internet une voie de transport sécurisée, avec une gestion centralisée du trafic. Moins de coût, plus d’agilité, meilleure performance pour le Cloud.
Mais c’est un outil de performance réseau. Pas un outil de protection des données.
Il ne lit pas le contenu de ce qui transite. Il ne sait pas que ce fichier .xlsx en partance pour Google Drive contient 50 000 noms de patients. Il ne vérifie pas si la personne connectée depuis un café à Lyon est bien celle qu’elle prétend être. Il optimise. Rien d’autre.
Pour un DPO, cette limite n’est pas un détail.
Le SASE : convergence réseau et sécurité
Le concept a été formalisé par Gartner en 2019, à partir d’un constat simple : les données ne vivent plus dans le château fort de l’entreprise. Elles partent vers le Cloud, depuis les domiciles, via des SaaS dont personne n’a relu les conditions générales.
Sécuriser le périmètre ne suffit plus. Il faut sécuriser l’accès à la donnée, peu importe d’où il part.
Le SASE rassemble dans un cadre unique :
- SD-WAN, pour la performance réseau (qu’on garde)
- ZTNA (Zero Trust Network Access) : l’identité vérifiée à chaque accès
- CASB (Cloud Access Security Broker) : le contrôle des usages SaaS
- SWG (Secure Web Gateway) : la filtration du trafic web
- FWaaS (Firewall as a Service) : la protection périmétrique dans le Cloud
- DLP (Data Loss Prevention) : la détection et le blocage des fuites
Du point de vue du DPO, ça change tout.
Cinq raisons concrètes
Le Zero Trust, c’est de la minimisation appliquée
Le RGPD impose le principe de minimisation : on ne donne accès à une donnée personnelle qu’à celui qui en a besoin.
Avec un VPN classique greffé sur du SD-WAN, une fois entré dans le réseau, l’utilisateur a souvent accès à beaucoup plus que nécessaire. Modèle château fort : les murs sont hauts, mais si vous passez la porte, vous êtes partout.
Le ZTNA inverse la logique. Il ne se contente pas de vérifier le mot de passe. Il évalue : qui êtes-vous, depuis quel appareil, dans quel état de conformité, depuis quel pays. Et il n’ouvre que ce qui est strictement nécessaire.
Cas concret. Martin est comptable dans une PME de 80 personnes. Il se connecte vendredi soir depuis son ordinateur personnel. Avec un VPN classique, il accède à tout le partage réseau, dossiers RH compris. Avec le ZTNA, il n’accède qu’à ce que son rôle autorise, et l’appareil non géré déclenche une vérification supplémentaire.
La CNIL appelle ça contrôle d’accès adaptatif. C’est une bonne pratique. Le SASE l’industrialise.
Le DLP intégré, ou la fuite qu’on voit enfin venir
La plupart des violations de données ne ressemblent pas à un film de hackers. Elles ressemblent à ça :
Un commercial copie 3 000 contacts clients sur sa clé USB la veille de sa démission. Une assistante envoie un fichier de paie à une mauvaise liste de distribution. Un chef de projet dépose un dossier médical sur son Dropbox personnel pour « y accéder de chez lui ».
Dans un environnement SD-WAN pur, ces scénarios passent inaperçus.
Le DLP intégré au SASE analyse le contenu des flux. Il détecte qu’un fichier contient des numéros de Sécurité sociale, des données bancaires ou des informations de santé. Il bloque le transfert ou alerte. En temps réel.
Pour un DPO, c’est la différence entre gérer une violation et l’éviter.
Le CASB face au Shadow IT Cloud
Vos collaborateurs utilisent Dropbox, ChatGPT, Notion, Google Drive, WeTransfer, et souvent ni la DSI ni le DPO ne sont au courant.
C’est le Shadow IT Cloud. C’est un trou noir de conformité.
Un CASB se place entre vos utilisateurs et les applications Cloud comme une vitre à sens unique. Il cartographie les usages SaaS (y compris ceux que personne n’a validés), il interdit le téléchargement d’un CRM vers un stockage non approuvé, il journalise qui a fait quoi.
Autre exemple. « TechServices », PME de services. Ses commerciaux utilisent un outil d’IA générative non validé pour rédiger leurs propositions, en y collant des extraits de contrats clients. Le CASB voit le flux, identifie l’outil comme non approuvé, bloque ou alerte.
Sans CASB, ce flux n’est ni visible ni contrôlable. Et le DPO découvre la situation au pire moment, généralement quand un client appelle.
Télétravail : la fin de la double politique
Un angle mort que je rencontre souvent en mission : les entreprises appliquent une politique de sécurité stricte au bureau (filtrage, DLP, authentification forte), et une politique nettement plus souple en télétravail, où le VPN devient l’unique frontière.
C’est un vrai problème RGPD. Si vos données personnelles sont protégées au bureau mais pas à domicile, votre politique de sécurité a une faille. La CNIL le sait.
Le SASE supprime cette double politique. La sécurité ne dépend plus du lieu, mais de l’identité et du contexte. Locaux parisiens ou Airbnb à Bordeaux, vous passez par les mêmes contrôles.
C’est ce que les auditeurs appellent la cohérence des mesures techniques. Un critère central dans l’évaluation du niveau de sécurité approprié au sens de l’article 32 du RGPD.
Les logs unifiés, votre dossier d’audit
En cas de violation, la CNIL pose toujours la même question : que s’est-il passé, qui a eu accès à quoi, que disent vos journaux ?
Avec un SD-WAN seul, les logs sont des logs réseau : adresses IP, volumes d’octets, ports utilisés. Très bien pour les équipes réseau. Inutilisables pour une enquête sur des données personnelles.
Avec le SASE, vous avez des logs de sécurité unifiés et enrichis : quelle identité a accédé à quelle ressource, quel fichier a été tenté à l’exfiltration et bloqué (ou pas), depuis quel pays, quel appareil, à quelle heure, quelle politique DLP s’est déclenchée.
C’est la différence entre arriver à la CNIL avec un ticket de bus et arriver avec un dossier d’audit.
Les freins, parce qu’ils sont réels
Pas de pitch commercial ici. Passer au SASE ne se fait pas en claquant des doigts.
Le coût. Comptez 30 à 50 % de surcoût par rapport à du SD-WAN pur à fonctionnalité équivalente. Les solutions des grands acteurs (Zscaler, Palo Alto Prisma, Cisco+, Netskope) sont tarifées entreprise.
La complexité. Migrer vers une architecture SASE suppose de revoir les flux, les accès, les politiques d’identité. Un projet mal préparé désorganise une DSI pendant des mois.
Les contrats en cours. Beaucoup d’entreprises sont engagées sur des contrats SD-WAN pluriannuels. La migration n’est pas toujours faisable à court terme sans rupture coûteuse.
La résistance culturelle. Le Zero Trust est une rupture pour certaines équipes IT : « On va surveiller ce que font les gens ? » Oui et non. On surveille les flux de données, pas les individus. La communication interne fait partie du projet.
L’autre côté de la balance
Le coût d’une violation de données :
Selon IBM Security, le coût moyen d’une violation en Europe dépasse 4,5 millions d’euros pour une grande organisation en 2024 (remédiation, notification, conseil, atteinte à la réputation). Pour une PME, IBM estime ce coût entre 150 000 et 500 000 euros.
La CNIL peut aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial, au titre de l’article 83 du RGPD.
Quelques sanctions marquantes :
- Amazon : 746 millions d’euros, Luxembourg, 2021, ciblage publicitaire non conforme
- Meta : 1,2 milliard d’euros, Irlande, 2023, transferts de données vers les États-Unis
- British Airways : 20 millions de livres, ICO britannique, 2020, mesures de sécurité inadaptées après cyberattaque
La sanction British Airways est parlante. Le régulateur n’a pas demandé « avez-vous été attaqués ? » Il a demandé « vos mesures techniques étaient-elles appropriées ? »
C’est exactement la question à laquelle le SASE aide à répondre oui.
La question qu’un dirigeant devrait se poser
Migrer vers le SASE ou non, c’est votre décision. Elle dépend de votre taille, de votre secteur, de vos flux réels.
La question que je pose en arrivant en mission est plus simple :
Pouvez-vous me montrer, en temps réel, qui accède à quelle donnée personnelle, et depuis où ?
Si la réponse est floue, vous avez votre réponse sur votre niveau de risque réglementaire.
Le SD-WAN est un excellent outil réseau. Le SASE est un outil de gouvernance des données. Deux catégories différentes.
Et dans un contexte où le RGPD, NIS2 et l’AI Act demandent des preuves de conformité plutôt que des déclarations d’intention, la distinction n’est plus théorique.
