Vous n’avez pas à choisir entre deux produits concurrents. Vous choisissez entre deux types de sécurité fournie par le cloud, et la bonne réponse dépend presque entièrement de l’état de votre réseau existant. SSE fournit la moitié de la sécurité du cadre SASE. Le SASE complet ajoute la couche de connectivité. Pour un responsable informatique ou un RSSI d’une organisation de 50 à 400 utilisateurs, faire la bonne distinction permet d’économiser des mois de travail et d’éviter de payer pour des capacités dont vous n’avez pas besoin.
Quelle est la différence entre SSE et SASE ?
- SASE combine la sécurité fournie par le cloud et le réseau défini par logiciel (SD-WAN) en une seule plateforme.
- L’ESS ne fournit que la pile de sécurité : SWG, CASB, ZTNA et FWaaS.
- L’ESS laisse la couche de connectivité au SD-WAN ou au MPLS que vous utilisez déjà.
- Le SASE complet remplace à la fois vos outils de sécurité et votre architecture WAN sous un seul plan de gestion.
- Choisissez l’ESS lorsque votre réseau fonctionne et que seule votre pile de sécurité a besoin d’être modernisée.
- Optez pour le SASE complet lorsque les contrats WAN se terminent, que les sites se multiplient ou que vous souhaitez vous débarrasser de la connectivité existante.
Ce que Gartner entend par ESS et SASE
Gartner a introduit le SASE en août 2019 pour décrire la convergence du réseau en tant que service et de la sécurité en tant que service au sein d’une plateforme unique fournie dans le nuage. Le cadre original identifiait cinq composants : SD-WAN, ZTNA, SWG, FWaaS et CASB. L’adoption a été plus lente que ne le prévoyait le cabinet d’analystes. Les équipes chargées des réseaux et de la sécurité se trouvaient dans des parties différentes de l’organisation, les contrats SD-WAN avaient encore des années à courir et peu d’acheteurs étaient prêts à tout consolider d’un seul coup.
Au début de l’année 2021, Gartner a créé une catégorie distincte, Security Service Edge. Le SSE est le sous-ensemble du SASE consacré uniquement à la sécurité. Il couvre les fonctions de sécurité fournies par le cloud, mais exclut le SD-WAN. Cette séparation tient compte d’une réalité pratique : la plupart des organisations pourraient déplacer leur pile de sécurité vers le cloud plus rapidement qu’elles ne pourraient remplacer leur WAN.
D’ici 2025, Gartner publie des quadrants magiques distincts pour les plates-formes d’ESS et de SASE. Ces catégories coexistent délibérément. L’ESS n’est pas un tremplin ou une demi-mesure. C’est une destination légitime pour les organisations dont la couche de connectivité est déjà solide. La SASE complète est la destination des organisations qui veulent faire converger le réseau et la sécurité vers un seul fournisseur et une seule console.
L’orientation à long terme est claire. Gartner prévoit que d’ici 2028, la moitié de tous les nouveaux déploiements de SASE se feront avec un seul fournisseur, contre environ 30 % en 2025. L’argument est d’ordre opérationnel. Les décisions relatives au réseau et à la sécurité sont de plus en plus souvent les mêmes, et le fait de les gérer dans deux consoles entraîne une dérive. Mais l’aspiration n’est pas l’adoption. Aujourd’hui, seulement 17 % des entreprises utilisent un véritable SASE à fournisseur unique. Plus de la moitié d’entre elles s’appuient encore sur trois fournisseurs ou plus pour l’ensemble de la pile.
En quoi l’ESS et la SASE diffèrent-elles dans la pratique ?
Les différences se situent au niveau de la portée, de l’architecture du fournisseur et de la manière dont la politique est appliquée. Le tableau ci-dessous présente les dimensions les plus importantes lorsqu’un responsable informatique doit défendre son choix auprès d’un directeur financier.
| Dimension | SSE | SASE |
|---|---|---|
| Composants inclus | SWG, CASB, ZTNA, FWaaS | SSE plus SD-WAN |
| Couche réseau | Indépendant du réseau, fonctionne sur votre WAN existant | SD-WAN intégré avec routage adapté aux applications |
| Modèle de déploiement | Basé sur un agent ou un proxy, logiciel uniquement | Agent et dispositifs de périphérie pour les succursales |
| Architecture du fournisseur | Souvent combinée avec un fournisseur SD-WAN distinct | SASE à fournisseur unique ou à deux fournisseurs (SD-WAN + SSE intégrés) |
| Plan de gestion | Console de sécurité uniquement | Une console pour la sécurité et la connectivité |
| Déploiement le mieux adapté | Cloud-only, remote-first ou avec un SD-WAN mature | Multi-site, remplacement MPLS, nouveau site |
Une équipe de taille moyenne comptant 200 utilisateurs dans un seul bureau et des travailleurs à distance peut adopter l’ESS en quelques semaines. La plateforme se situe entre les utilisateurs et les applications, quelle que soit la manière dont ces utilisateurs accèdent à l’internet. Il n’y a pas de matériel périphérique à déployer car la connectivité existante fonctionne déjà.
Une organisation multi-sites remplaçant des circuits MPLS vieillissants obtient un retour différent de SASE. Les succursales se connectent par des tunnels cryptés au point de présence le plus proche. Le routage adapté aux applications donne la priorité à la voix et à la vidéo par rapport au trafic de fond. Les politiques sont regroupées en un seul endroit. Pour une petite équipe informatique, cette consolidation est l’objectif principal. L’article sur les coûts et les performances du SD-WAN par rapport au MPLS couvre en détail les aspects économiques de la connectivité.
Quand l’ESS est le bon choix
L’ESS est la réponse la plus propre pour trois profils d’acheteurs.
Organisations « cloud-only » ou « remote-first ». Si votre équipe travaille à domicile, dans des cafés ou chez des clients, le SD-WAN résout un problème que vous n’avez pas. Il n’y a pas de succursales à interconnecter. Le trafic qui compte va des utilisateurs individuels aux applications SaaS. SSE sécurise exactement ce chemin grâce à ZTNA, SWG, CASB et FWaaS, sans matériel périphérique à acheter ou à mettre en rack.
SD-WAN mature déjà en production. Certaines organisations ont investi dans un SD-WAN autonome il y a deux ou trois ans. Cisco Meraki, VMware VeloCloud ou une offre gérée d’une société de télécommunications régionale. Les contrats ont encore du temps devant eux. Les performances sont acceptables. L’arracher pour le consolider est coûteux et perturbateur. L’ESS superpose la sécurité fournie par l’informatique dématérialisée au réseau étendu existant par le biais de tunnels GRE ou IPsec. Les investissements existants restent en place. La sécurité se modernise maintenant. La convergence se fait plus tard, selon un calendrier que vous contrôlez.
Acheteurs de premier ordre disposant d’une capacité opérationnelle. Les grandes équipes du marché intermédiaire qui disposent de fonctions de sécurité et de réseau dédiées préfèrent parfois les séparer. L’argument est la profondeur des composants. Le produit CASB ou SWG le plus performant peut ne pas provenir du même fournisseur que le SD-WAN le plus performant. Si votre équipe a les effectifs nécessaires pour intégrer deux plateformes et vivre avec deux moteurs de politique, ce compromis est réel.
L’honnêteté de la formulation est importante. L’ESS n’est pas un déclassement par rapport à la SASE. Il s’agit d’un champ d’application différent, adapté à des acheteurs différents. Pour un cabinet de conseil de 100 utilisateurs sans bureaux, un SASE complet serait trop technique.
Quand le SASE complet apporte plus de valeur
Full SASE a sa place dans quatre profils d’acheteurs.
MPLS ou remplacement des réseaux étendus traditionnels. Lorsque les contrats MPLS prennent fin et que la solution de remplacement évidente est le haut débit ou la 5G, le SD-WAN devient le moyen de transport naturel. Le regroupement du SD-WAN et de la sécurité au sein d’une même plateforme permet d’éviter la taxe d’intégration liée à l’assemblage de deux fournisseurs. Les mêmes contrôleurs qui acheminent le trafic appliquent également les politiques. Un gestionnaire de patrimoine belge qui s’est consolidé sur la plateforme SASE à fournisseur unique de Jimber a réduit les coûts de sécurité totaux de 58 % en retirant le parc de pare-feu en même temps que la mise à jour du réseau étendu.
Organisations multisites du marché intermédiaire. Fabrication, commerce de détail, réseaux de soins de santé, services professionnels avec plusieurs bureaux. Ces environnements ont besoin de connectivité et de sécurité sur chaque site. La gestion de ces deux éléments par des fournisseurs distincts entraîne une dérive des politiques et des accusations en cas d’incident. Un plan de gestion unique simplifie les opérations et réduit la préparation des audits. Des plateformes comme Jimber sont construites autour de cette philosophie de convergence à fournisseur unique, avec ZTNA, SWG, FWaaS et SD-WAN fonctionnant dans une seule console.
Site vierge ou rénovation importante. L’ouverture de nouveaux bureaux, l’intégration après une fusion ou le rafraîchissement de l’architecture de sécurité permettent de commencer avec une seule plate-forme plutôt qu’avec dix. L’économie favorise la convergence car il n’y a pas de coûts irrécupérables dans les outils existants à protéger.
Dispositifs sans agent dans l’environnement. Les imprimantes, les capteurs IoT, les équipements médicaux, les systèmes de gestion des bâtiments et les contrôleurs industriels ne peuvent pas exécuter un agent SSE. Certaines plateformes SASE y remédient par le biais d’un matériel d’isolation en ligne. Les appliances NIAC de Jimber s’interposent entre les appareils sans agent et le réseau, appliquant une politique de prise en compte de l’identité au niveau de la couche réseau. Pour les organisations dotées d’environnements IT et OT mixtes, cette couverture est difficile à intégrer dans une pile SSE uniquement.
Le point commun est que la SASE complète est rentable lorsque la consolidation réduit les frais généraux d’exploitation. Pour une équipe informatique de trois personnes gérant 12 sites, la différence entre une console et quatre se mesure en heures par semaine.
L’orientation du marché en 2026
Deux tendances se dessinent cette année.
La première est la convergence. Le SASE à fournisseur unique devient l’état final attendu, même si la plupart des organisations sont encore loin de l’atteindre. La projection de Gartner, qui prévoit l’adoption d’un fournisseur unique à hauteur de 50 % d’ici à 2028, reflète davantage la pression directionnelle que la réalité actuelle. Les fournisseurs qui ont commencé par l’ESS, notamment Zscaler et Netskope, ont tous évolué vers le SD-WAN par le biais d’une acquisition ou d’un partenariat. Les fournisseurs qui se sont lancés dans le SD-WAN, notamment Cato Networks et Versa, ont développé leurs piles de sécurité. Les deux extrémités du marché se rencontrent au milieu.
La deuxième est la différenciation géographique. Forrester et Gartner notent tous deux que les acheteurs européens du marché intermédiaire sélectionnent les SASE sur la base de critères différents de ceux des entreprises américaines. La souveraineté, la préparation au NIS2 et la prévisibilité des prix sont plus importantes que l’étendue absolue des fonctionnalités. Il en résulte un marché distinct pour les plateformes basées en Europe. L’article sur les alternatives européennes aux SASE explique pourquoi la juridiction est devenue un critère architectural et non une note de bas de page sur les achats.
Forrester ajoute une mise en garde utile. Une consolidation rapide entraîne un risque de dilution des capacités. Certaines plates-formes SASE d’un seul fournisseur ont des composants individuels plus faibles que les meilleures alternatives. Un acheteur qui a besoin aujourd’hui de la plus grande capacité CASB possible peut préférer un SASE spécialisé pour cette fonction, même si l’orientation à long terme favorise la convergence. La réponse honnête dépend des capacités les plus importantes pour votre environnement.
La taille du marché raconte la même histoire sous un angle différent. Selon les prévisions d’analystes indépendants, le marché des SASE devrait se situer entre 15 et 17 milliards de dollars en 2026 et passer à 30 milliards de dollars en 2030. À lui seul, le SD-WAN devrait passer de 8,8 milliards de dollars en 2024 à 42 milliards de dollars en 2030. Environ 60 % des nouveaux achats de SD-WAN en 2026 feront partie d’une offre groupée de SASE d’un seul fournisseur, une évolution motivée par l’économie de la convergence plutôt que par la feuille de route des produits d’un seul fournisseur.
NIS2 et implications en matière de conformité
Le choix architectural a des conséquences directes sur les preuves de conformité.
SSE et SASE offrent tous deux des contrôles d’accès « Zero Trust » qui correspondent aux exigences de l’article 21 de NIS2 pour un accès avec le moins de privilèges possible. ZTNA remplace les tunnels VPN étendus par un accès par application lié à l’identité et à la position de l’appareil. Les auditeurs considèrent qu’il s’agit d’un contrôle d’accès proportionné, que la couche SD-WAN soit intégrée ou non.
La différence apparaît à deux endroits.
Preuve au niveau du réseau. NIS2 attend des organisations qu’elles démontrent que le trafic entre les sites est crypté et que les décisions de connectivité suivent une politique documentée. Avec l’ESS et un SD-WAN séparé, vous produisez ces preuves à partir de deux systèmes. Avec le SASE à fournisseur unique, la même console qui applique le ZTNA chiffre également le trafic entre les sites et enregistre les décisions de routage. Les preuves d’un seul tenant raccourcissent la préparation de l’audit.
Corrélation de la réponse aux incidents. Lorsqu’un événement de sécurité se produit, NIS2 exige un rapport dans les 24 heures suivant la prise de conscience. SASE, un seul fournisseur, met en corrélation les anomalies du réseau et les alertes de sécurité dans le même délai, ce qui accélère la détection et la réponse. Avec des outils séparés, votre équipe effectue la corrélation manuellement, ce qui prend des heures ou des jours. La liste de contrôle de la conformité NIS2 pour les responsables informatiques couvre ce que le Centre for Cybersecurity Belgium attend de la pratique.
La souveraineté européenne en matière de données s’applique de la même manière aux deux architectures. La juridiction du fournisseur importe plus que le choix de l’architecture. Un fournisseur d’ESS ayant son siège aux États-Unis et des points de présence en Europe tombe toujours sous le coup du CLOUD Act. Une plateforme dont le siège est en Europe, comme Jimber, et dont le traitement des données se fait uniquement dans l’UE, répond directement à cette question. Les entreprises de taille moyenne qui se préparent à la vérification des fondements du cyberespace ou aux évaluations DORA considèrent de plus en plus la juridiction du fournisseur comme un critère de conformité.
Un cadre de décision que vous pouvez utiliser
Répondez à ces questions dans l’ordre. La première qui donne une réponse définitive détermine généralement le choix de l’architecture.
Question 1 : Quel est l’état de votre réseau étendu ?
Si les contrats MPLS expirent dans les 18 mois, ou si vous ajoutez des sites et redoutez un nouvel achat de pare-feu, le SASE complet est la réponse naturelle. La mise à jour de la connectivité se fait de toute façon. En regroupant la sécurité, vous éliminez le deuxième projet.
Si votre déploiement SD-WAN a deux ans, qu’il fonctionne bien et qu’il est sous contrat pour trois années supplémentaires, l’ESS est la voie la plus propre. Ajoutez une couche de sécurité fournie par le cloud. Réévaluez la convergence à l’approche du renouvellement du contrat WAN.
Question 2 : Quel est le nombre de sites physiques importants ?
Si la réponse est un ou zéro, l’ESS l’emporte presque toujours. Il n’y a pas de problème SD-WAN à résoudre.
Si la réponse est trois ou plus, le SASE complet commence à porter ses fruits grâce à une politique unifiée et à une réduction des frais généraux site par site.
Question 3 : Combien de personnes s’occupent de la sécurité et de la mise en réseau ?
Une équipe de deux à cinq généralistes bénéficie énormément de la convergence. Chaque console supprimée permet de gagner du temps. Une équipe de quinze personnes ayant des fonctions dédiées au réseau et à la sécurité peut absorber les frais généraux d’intégration de deux plates-formes.
Question 4 : Les dispositifs sans agent font-ils partie de votre environnement ?
Imprimantes, caméras IP, systèmes de gestion des bâtiments, automates industriels. Si la réponse est oui, évaluez quelles plates-formes incluent du matériel d’isolation en ligne. Les SSE couvrent rarement cette catégorie. Certaines plateformes SASE le font, d’autres non. C’est souvent le critère qui permet de réduire une longue liste de candidats à une seule.
Question 5 : Quelle est la vitesse du tic-tac de votre horloge d’audit ?
Les délais de vérification du NIS2 sont fermes. La CyFun en Belgique prévoit une vérification de base ou importante pour le 18 avril 2026. DORA s’applique aux services financiers. Si votre calendrier d’audit est plus court que votre tolérance à la prolifération des outils, le SASE à fournisseur unique produit des preuves plus rapidement.
Ces cinq questions permettent de résoudre la plupart des décisions en matière d’architecture. L’article sur SASE vs SSE vs SD-WAN couvre les trois comparaisons si vous devez également évaluer le SD-WAN en tant qu’option autonome. Pour en savoir plus sur ce qu’un SASE complet comprend réellement, le guide de l’architecture SASE explique les composants, le flux de données et les modèles de déploiement.
Questions fréquemment posées
Que signifie ESS ?
SSE signifie Security Service Edge. Le Gartner a introduit cette catégorie au début de l’année 2021 pour décrire les fonctions de sécurité du SASE fournies dans le nuage sans la couche réseau SD-WAN. SSE comprend Secure Web Gateway, Cloud Access Security Broker, Zero Trust Network Access et Firewall-as-a-Service.
L’ESS est-elle un sous-ensemble de la SASE ?
Oui, l’ESS représente la moitié de la sécurité du cadre SASE. SASE comprend tout ce que contient SSE, plus le SD-WAN et la mise en réseau intégrée. Chaque plateforme SASE est également une plateforme SSE, mais l’inverse n’est pas vrai. Une plateforme SSE seule n’inclut pas le SD-WAN.
Quand faut-il choisir l’ESS plutôt que le SASE complet ?
Choisissez l’ESS lorsque votre réseau fonctionne déjà et que vous avez besoin de moderniser la sécurité uniquement. Trois signaux communs : votre organisation est » cloud-first » sans bureaux, vous avez un déploiement SD-WAN mature avec des années restantes sur le contrat, ou votre connectivité existante est livrée comme un service géré que vous ne voulez pas remplacer. L’ESS sécurise les utilisateurs et les données sans toucher à la couche de connectivité.
L’ESS et le SD-WAN peuvent-ils produire les mêmes résultats que le SASE ?
Fonctionnellement oui, opérationnellement non. La combinaison d’une plateforme SSE séparée avec une plateforme SD-WAN séparée produit des capacités similaires à celles d’un SASE à fournisseur unique, mais vous gérez deux consoles, deux moteurs de politiques et deux flux de journaux. Pour les équipes du marché intermédiaire, les frais généraux opérationnels de cette approche l’emportent souvent sur les avantages en termes de flexibilité. Le SASE à fournisseur unique consolide ces éléments en un seul plan de gestion.
Le NIS2 nécessite-t-il spécifiquement le SASE ?
Non. NIS2 spécifie des résultats concernant le contrôle d’accès, la segmentation du réseau, le cryptage et la réponse aux incidents. Le SSE ou le SASE peuvent satisfaire ces exigences sur le plan technique. La différence pratique réside dans la préparation de l’audit. Une plateforme unifiée produit des preuves corrélées à partir d’une seule console. Une pile multifournisseur nécessite une corrélation manuelle entre les systèmes.
Combien de temps faut-il pour déployer un SSE par rapport à un SASE ?
L’ESS se déploie généralement plus rapidement parce qu’il s’agit d’un logiciel. La plupart des plateformes d’ESS permettent à un groupe pilote d’être opérationnel en deux à quatre semaines. Le SASE complet ajoute le déploiement du SD-WAN à ce délai, qui dépend du nombre de sites et du remplacement éventuel de la connectivité existante. Pour une organisation de 200 utilisateurs avec trois sites, les déploiements SASE d’un seul fournisseur durent généralement de 60 à 90 jours d’un bout à l’autre.
Le choix de l’architecture entre SSE et SASE récompense une évaluation honnête de la situation actuelle de votre réseau étendu. Si la connectivité fonctionne et que seule la sécurité a besoin d’être modernisée, SSE est le bon choix. Si le renouvellement du WAN approche, que les sites se multiplient ou que votre équipe informatique est suffisamment petite pour que chaque console économisée compte, le SASE complet gagne sa place grâce à la consolidation. La mauvaise architecture est celle qui résout un problème que vous n’avez pas ou qui laisse votre vrai problème sans solution. Passez en revue les cinq questions ci-dessus avec votre équipe, puis évaluez les plates-formes en fonction des réponses. Si vous souhaitez voir à quoi ressemble le SASE mono-fournisseur dans la pratique pour un environnement mid-market européen, réservez une démonstration avec Jimber et nous adapterons notre plateforme à vos critères de décision spécifiques.
