Pour Jay Chaudhry, Zscaler, le cloud hybride n’est que transitoire

La sécurité se met à l’heure du Cloud

Jay Chaudhry, patron et fondateur de Zscaler ne dit pas autre chose : « le cloud change fondamentalement la manière dont l’IT et la sécurité sont réalisés. Au cours des 25 ou 30 dernières années, nous sommes partis de l’idée que les utilisateurs doivent être connectés au réseau, de même que les serveurs et les applications. Et le réseau est protégé. C’est l’approche du château-fort. Un mur est construit autour du réseau, avec des équipements tels que pare-feu, proxy, etc. Dans le monde du Cloud, les applications sont déplacées ou en mode SaaS. Les utilisateurs sont partout. Et ils se connectent en 4G, sur leur connexion haut débit, etc. Chercher à protéger un réseau que l’on ne contrôle même pas n’est plus pertinent ».

Dès lors, l’approche doit évoluer : « peu importe où se trouve l’utilisateur ; peu importe quel terminal il utilise ; il doit être en mesure d’accéder à une application. Et pour cela, il faut un contrôle d’accès et un moteur de gestion des politiques en mode Cloud. Et c’est ce que nous faisons. Internet est le nouveau réseau, et on ne le contrôle plus ».

IBM ne regarde pas dans une autre direction. Le rachat de Lighthouse Secutiry Group en 2014 lui a permis d’acquérir une brique d’IDaaS. Mais c’est en septembre 2016 que le groupe a présenté Cloud Security Enforcer, une offre intégrant justement CASB, IDaaS et prévention des menaces. La brique d’EMM ? IBM en dispose depuis la fin 2013, avec la solution cloud MaaS360 de FiberLink.

Mais il faut aussi compter avec Forcepoint qui a récemment complété son offre avec le rachat de Skyfence, le CSAB d’Imperva, ou encore Symantec, qui s’est offert Blue Coat, après que ce dernier eut consolidé CASB et SWG. Et que dire de Cisco, qui s’est offert son CASB avec CloudLock, ou bien Oracle, avec Palerra. Même MobileIron a mis un pied sur ce marché début 2016, et plus récemment, c’était Fortinet.

Quelle place pour un pure-player du Cloud ?

Mais pour Jay Chaudhry, dans ce marché en pleine consolidation, il reste une place pour un acteur spécialisé, indépendant comme Zscaler : pour lui, ce que font un Cisco et un Symantec (ou avant lui Blue Coat), c’est « acheter ajouter des technologies typiquement conçues pour l’ancien monde du on-premise, en mode single-tenant, pensées pour protéger le réseau. Nous ne sommes pas dans cette activité ».

Le patron de Zscaler défend une autre approche : « il y a une application, dans le centre de calcul, Azure, AWS ou en mode SaaS, et les utilisateurs. Nous sommes installés dans une centaine d’endroits à travers le monde pour nous assurer que le bon utilisateur se connecte à la bonne application en sécurité. Cette architecture construite sur le Cloud garantit que, où que vous soyez, vous vous connectez au centre de calcul le plus proche. La politique qui vous concerne est automatiquement récupérée et appliquée. Il n’y a pas un seul autre acteur sur le marché où la politique suit l’utilisateur ».

Il relève aussi la question de la gestion des logs : une organisation fortement distribuée géographiquement, qui pousse ses utilisateurs à se connecter à son point de présence le plus proche, « va devoir trouver comment les rapatrier », alors qu’avec Zscaler, « tous les logs sont collectés et centralisés en temps réel, dans un centre de stockage régional que vous choisissez ».

Comme un incontournable pivot

En fait, Jay Chaudhry décrit l’offre de Zscaler comme une plateforme distribuée constituant un point de passage incontournable du trafic réseau où faire appliquer toutes les politiques de sécurité, tant pour les flux entrants que sortants, et en misant sur des partenariats pour offrir un vaste éventail de contrôles. Et là, un grand nombre de domaines est couvert : SD-WAN, réseau, IAM, EMM, SIEM, CASB, et même DLP, même si Zscaler propose sa propre couche de DLP – laquelle doit être prochainement renforcée par le support des correspondances exactes.

Et Jay Chaudhry ne manque pas d’être très critique sur les approches de construction d’offres basées sur des rachats : « intégrer des acquisitions est très difficile. Demandez aux clients de ceux qui ont racheté des entreprises si l’intégration va au-delà d’un simple tableau de bord ».

Pour l’identité, typiquement, la plateforme de Zscaler peut s’intégrer avec n’importe quelle solution supportant SAML. Mais selon Jay Chaudhry, 70 % de ses clients utilisent Active Directory et de plus en plus passent à Azure AD : « là, nous avons conduits d’importants efforts d’intégration avec les dernières fonctionnalités d’Azure AD, dont Conditional Access ».

Côté EMM, le but est d’assurer le bon fonctionnement des outils d’administrations avec la plateforme Zscaler, mais également de bloquer le trafic et signaler l’incident lorsqu’un appareil communiquant avec un domaine malicieux est détecté. AirWatch, MobileIron et Microsoft arrivent en tête de liste des efforts d’intégration.

Pour les passerelles d’accès Cloud sécurisé, Zscaler mentionne Skyhigh, CipherCloud, et encore CloudLock, sur son site, malgré le rachat de ce dernier par Cisco. Mais Jay Chaudhry évoque aussi des travaux importants avec Microsoft qui ouvert début 2016 son offre Cloud App Security, basée sur la technologie d’Adallo.

L’hybride ? Un phénomène transitoire

Alors oui, pour Jay Chaudhry, toutes ces fonctionnalités se rapprochent bien. Mais il y a convergence et convergence. Selon lui, faire de la convergence autour d’appliances déployées en local « ne veut rien dire ».  Et cela vaut par exemple pour le DLP, où pour lui, œuvrer en local n’est plus pertinent alors que les données sortent du périmètre de l’entreprise. Surtout, une transition est clairement en train de s’opérer : « les technologies à déployer en local vont se vendre de moins en moins. Non pas qu’elles vont disparaître, mais la croissance va s’arrêter ». Et de faire le parallèle avec les mainframes, notamment, qui sont encore là, et probablement pour longtemps, mais surtout parce qu’ils font partie de l’existant, du patrimonial.

Quant à l’hybride ? « Est-ce que vous imaginez Telsa faire une voiture hybride alors qu'ils savent faire des voitures propres 100 % électriques ? Non, cela revient à augmenter considérablement la complexité ».