Zscaler : entre promesses du Zero Trust et réalités du marché

Le Zero Trust : révolution ou évolution ?

« Plus d'utilisateur de confiance. Plus de réseau de confiance. On sécurise les accès, pas les tuyaux. Le réseau devient un transport bête », résume Jay Chaudhry. Une logique que Laurent Courtois, directeur général de Zscaler France, traduit dans le quotidien de ses clients : « l'objectif, c'est d'empêcher toute latéralisation de l'attaque. Si un point est compromis, il ne doit pas contaminer le reste ».

Mais attention aux raccourcis. Le Zero Trust n'est pas né avec Zscaler. Popularisé par Forrester en 2010, le concept de sans confiance existait déjà dans les laboratoires militaires américains. La vraie innovation de Zscaler ? L'avoir industrialisé sous forme de service cloud, là où la concurrence restait prisonnière des appliances traditionnelles. Pour autant, le Zero Trust cloud-natif n'est pas une réponse universelle. Plusieurs points de friction subsistent comme la latence réseau, une forte dépendance technologique difficile à inverser et, dans certains cas, des coûts cachés dans la formation et la migration.

Siemens : l'industrie à l'épreuve du Zero Trust

Parmi les cas clients les plus spectaculaires, celui de Siemens s'impose comme une illustration de grande ampleur. Avec 312 000 collaborateurs et 75 milliards d'euros de chiffre d'affaires, le géant allemand incarne la transformation d'une industrie traditionnelle.

« Nous avons entamé une transformation complète de notre sécurité. Il y a huit ans, nous parlions encore de démanteler les intranets locaux. Aujourd'hui, nous appliquons les principes du Zero Trust à toutes nos entités », témoigne Hanna Hennig, directrice de la cybersécurité du groupe.

Ironie de l'histoire : Siemens avait été l'un des vecteurs involontaires de l'attaque Stuxnet contre les centrifugeuses iraniennes. Ses équipements industriels, compromis par le ver informatique, avaient retardé le programme nucléaire iranien de six mois. Une telle opération aurait-elle été possible avec une architecture Zero Trust ? Les responsables interrogés restent prudents, évoquant la complexité des environnements industriels où cohabitent systèmes modernes et legacy.

Un autre exemple australien illustre une autre facette du Zero Trust : l'agilité opérationnelle. Une entreprise de logistique temporaire louait des entrepôts pour quelques mois, mais leur mise en service prenait deux à trois mois. « Ce que je veux, c'est que l'entrepôt fonctionne, pas que l'IT prenne le temps de s'installer », avait lancé le PDG à son DSI.

Solution : équiper les terminaux Android d'une carte SIM 4G et d'un agent Zscaler léger. Résultat : le terminal scanne, se connecte au cloud Zscaler, qui redirige l’information vers l’ERP SAP. « En deux heures, tout était opérationnel. Ce qui prenait deux mois est devenu instantané. C’est ça, la promesse du Zero Trust cloud-natif », insiste Jay Chaudhry. Le gain est certes spectaculaire mais soulève des questions sur la dépendance à la connectivité mobile et la robustesse de l'infrastructure.

L'IA agentique : la prochaine frontière ?

L'éditeur mise désormais sur la convergence entre Zero Trust et intelligence artificielle. « L'IA prédictive est là depuis longtemps. Mais l'IA générative a changé la donne. Et aujourd'hui, l'IA agentique devient une réalité : des entités capables de percevoir, raisonner et agir de manière autonome. C’est une opportunité mais aussi un risque », explique Jay Chaudhry. L'approche Zscaler consiste à donner une identité numérique à chaque agent IA, pour appliquer les mêmes politiques d'accès qu'aux humains. Grâce à des passerelles MCP, les communications entre agents peuvent être inspectées et auditées.

Avec l’acquisition d’Avidar (structure de données IA) et de Red Canary (MDR de nouvelle génération), Zscaler propose désormais une suite d’opérations de sécurité augmentées par IA : détection, investigation, réponse, gestion de l’exposition, toutes ces fonctions peuvent être automatisées par des agents spécialisés. « Une tâche qui prenait 30 minutes dans un SOC classique peut être réduite à 3 minutes avec l’agentification. Et même à moins d’une minute si tout est validé automatiquement », précise Jay Chaudhry.

Dans le domaine de la technologie opérationnelle (OT), Zscaler avance ses pions avec une approche de micro-segmentation radicale. Grâce à la technologie issue de l’acquisition d’Airgap, chaque appareil — même sous Windows 95 — devient un îlot numérique. En cas d’infection, la propagation est stoppée net. Dans l’industrie, la promesse Zero Trust prend un relief particulier. « Sur une ligne OT, vous avez parfois encore du Windows 95. Impossible d’installer un agent. Il faut isoler sans toucher », explique Jay Chaudhry. L’acquisition d’Airgap permet cette micro-segmentation : chaque machine devient une îlot, inatteignable par une autre.

Souveraineté numérique : entre pragmatisme et marketing

L'ensemble des collaborateurs convergent sur un point sensible : la souveraineté. Jay Chaudhry rappelle que Zscaler ne stocke aucun contenu, uniquement des métadonnées. Les journaux sont localisés selon les zones. Laurent Courtois ajoute : « le Cloud Act existe, mais nos clients savent où sont leurs données. Nos centres européens sont multiples, répartis, et auditables ». Zscaler indique disposer de 25 datacenters en Europe dont quatre en France, plus de 2 500 clients sur le continent européen, 85 % du CAC 40 pour la France.

« Nous ne voulons pas devenir le Microsoft du cyberespace », rappelle Laurent Courtois. Zscaler multiplie les alliances avec des acteurs comme CrowdStrike, Okta ou SentinelOne : « l’idée, c’est de faire parler les lignes de défense entre elles. Une solution isolée ne peut pas tout détecter. Mais quand les signaux faibles sont corrélés, on voit apparaître des attaques que personne ne détecterait seul ». Soulignons cependant que ces partenariats masquent une bataille féroce pour le contrôle de la pile logicielle de sécurité, chaque acteur cherchant à étendre son périmètre.

Jay Chaudhry insiste : « Nous sommes des ingénieurs. Notre mission, c’est de faire simple et efficace. Et d’être transparents sur ce que l’on fait, ce que l’on ne fait pas ».

La notion de continuité d’activité est également au cœur de la démarche de Zscaler. « Même en cas d’indisponibilité de nos centres de données, nos clients doivent pouvoir continuer à fonctionner. Nous avons conçu des plans de reprise et des options de redondance pour que, même dans un scénario extrême, la sécurité ne s’interrompe pas », ajoute IvanRogissart

Un autre mot revient sans cesse : confiance. Pour Laurent Courtois, c’est un processus : « nos premiers clients français datent de 2011. Ils sont toujours chez nous. Ce qui compte, c’est d’être là, de connaître les enjeux métier, d’accompagner ».

Dans un marché sous très forte tension technologique et commerciale se posent des questions de régulation, de concurrence et, à terme, de pérennité de telles solutions face à l’informatique quantique. Tout ceci ne semble pas entamer l’optimisme de Jay Chaudhry qui conclut sur une note plus philosophique : « ce n’est pas la technologie qui change le monde. C’est la façon dont les gens l’utilisent. Et pour cela, il faut qu’ils aient confiance ».