Zscaler : Zero Trust pour l’IA, sécurisation de l’IoT/OT
L'éditeur californien a présenté une nouvelle approche destinée à sécuriser l'IoT et l'OT via une simple carte SIM. En parallèle, il a dévoilé une extension de sa plateforme pour superviser, analyser et contrôler l’utilisation de l’IA générative par les utilisateurs.
« L’une des questions clés de Zscaler est de savoir comment utiliser l’architecture Zero Trust. Par exemple, si vous êtes au travail et que vous accédez à un chatbot, vous assurer de ne pas partager, intentionnellement ou par inadvertance, des données confidentielles susceptibles de faire partie de l’ensemble d’entraînement des modèles, ni d’utiliser le chatbot de manière malveillante pour accéder à des informations non autorisées ; ni de recevoir, en toute innocence, du contenu inapproprié de la part de chatbots de toutes sortes ». Ainsi s’exprime Phil Tee, vice-président en charge de l’innovation au sein de l’entreprise, lors d’un entretien qu’il nous a accordé.
De fait, l’éditeur a annoncé l’intégration massive de l’intelligence artificielle dans sa plateforme. L’enjeu est crucial avec la généralisation des outils d’IA générative en entreprise.
Zscaler propose une inspection des prompts pour identifier les tentatives de contournement des politiques de sécurité. Cette fonctionnalité soulève cependant des questions sur l’équilibre entre sécurité et productivité. Une inspection trop stricte pourrait brider l’innovation, tandis qu’une approche laxiste exposerait l’entreprise à des fuites de données. « Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l’une ni l’autre, et finit par perdre les deux », disait Benjamin Franklin. 3 siècles plus tard, les arbitrages restent valables.
Moteur de classification et Proxy LLM spécifique
Du point de vue technique, parmi les nouveautés, figure un moteur de classification de données capable de détecter des contenus sensibles inédits, supportant plus de 200 catégories. Cette approche répond à un besoin réel. Les entreprises peinent à classifier leurs données, particulièrement avec l’explosion des volumes et la diversité des formats.
Cette capacité s’appuie sur un proxy LLM spécifique, capable d’inspecter les prompts, d’appliquer des politiques DLP (Data Loss Prevention) en ligne, et d’assurer la conformité des usages selon les politiques définies par l’entreprise. « Nous avons conçu un proxy capable de faire de l’inspection sémantique des prompts, en ligne ou hors ligne, afin de sécuriser les flux vers les IA, qu’elles soient internes ou publiques », précise Adam Geller, chief product officer de Zscaler. Des leurres IA interactifs ont également été introduits afin de détourner et surveiller les comportements malveillants.
« Nous utilisons une série de modèles que nous avons nous-mêmes entraînés pour évaluer l’intention et le sens de l’invite envoyée par l’utilisateur, ainsi que la réponse qui revient. »
Phil TeeVice-président en charge de l’innovation, Zscaler
« Zscaler a vraiment fait ses preuves grâce à l’inspection approfondie des paquets de données chiffrées. Nous avons trouvé comment déchiffrer le trafic TLS avec une latence de six, sept ou huit millisecondes. Pour ce faire, nous avons dû réécrire la pile réseau TCP. L’ouverture des paquets permet d’inspecter les pièces jointes, les métadonnées, la détection de virus, de logiciels malveillants, etc. Désormais, nous faisons la même chose en inspectant un prompt échangé entre un utilisateur d’IA générative et le modèle lui-même, qu’il s’agisse d’un chatbot ou d’une API LLM légère. Nous pouvons donc inspecter l’invite, mais, bien sûr, l’invite est en langage naturel. L’invite pourrait être une question du type : “pouvez-vous me dire combien Nick gagne par an ?” Comment gérer cela ? », interroge Phil Tee.
Et d’expliquer : « nous utilisons une série de modèles que nous avons nous-mêmes entraînés pour évaluer l’intention et le sens de l’invite envoyée par l’utilisateur, ainsi que la réponse qui revient, afin de la classer et de rechercher des éléments tels que : “cette invite tente-t-elle de partager des informations personnelles ?” “S’agit-il du code source de l’invite ?” “Est-ce hors sujet ?” “Est-ce en anglais, alors qu’il s’agit de notre succursale de Madrid et que nous n’autorisons les utilisateurs à communiquer qu’en espagnol avec notre chatbot ?” Nous pouvons faire tout cela. Ce qui signifie que nous ajoutons une couche entre l’invite et le LLM, exactement de la même manière que Zscaler ajoute une couche entre le navigateur et l’application ».
L’enjeu de la sécurisation de l’IoT et de l’OT
Outre l’IA, l’éditeur se penche désormais sur la sécurisation des environnements industriels. Le défi est réel : dans les entrepôts, chantiers et sites industriels, les objets connectés restent souvent le maillon faible des politiques de cybersécurité. Dépourvus d’interface utilisateur, rarement mis à jour et parfois jetables, ces dispositifs IoT et OT constituent autant de portes d’entrée pour les cyberattaquants.
Face à ce constat, Zscaler a dévoilé sa solution Zscaler Cellular. Le principe : une carte SIM suffit pour encapsuler l’ensemble du trafic dans l’infrastructure Zero Trust Exchange, sans VPN ni agent logiciel. « Avec l’introduction de Zscaler Cellular, nous étendons la puissance de notre plateforme aux dispositifs IoT et OT », explique Nathan Howe, vice-président groupe des technologies émergentes chez Zscaler.
L’approche tranche avec les solutions traditionnelles basées sur VPN ou pare-feu. Chaque dispositif est isolé sur sa propre « île privée », toutes les communications transitant via l’architecture Zero Trust Exchange. Cette isolation native élimine théoriquement les risques de déplacement latéral des attaquants, un fléau récurrent dans les architectures réseau traditionnelles. Cette vision a conquis des entreprises comme Maverick Transportation, confrontée à la gestion d’équipements sur des sites clients aux infrastructures hétérogènes. « Zscaler Cellular a permis de sécuriser ces dispositifs sans agent ni logiciel embarqué », témoigne Brian Shelby, directeur de l’infrastructure IT.
Toutefois, cette approche soulève des questions économiques non négligeables. Les coûts cellulaires peuvent rapidement s’accumuler sur des déploiements massifs d’IoT, particulièrement pour les capteurs transmettant des données en continu. Un industriel déployant des milliers de capteurs pourrait voir sa facture télécom exploser.
Parallèlement, la dépendance aux opérateurs télécoms introduit un nouveau point de défaillance potentiel. Dans les zones rurales ou les environnements industriels isolés, la couverture réseau peut être insuffisante ou instable. Enfin se pose la question de la latence. Si les communications transitent systématiquement par l’infrastructure cloud de Zscaler, certaines applications industrielles nécessitant des temps de réponse critiques pourraient être pénalisées.
Un marché concurrentiel en pleine mutation
Zscaler n’est pas seul sur ce segment en pleine expansion. Le marché de la sécurité IoT/OT devrait atteindre 25 milliards de dollars d’ici 2027 selon IDC.
Cisco avec ses solutions SD-WAN, Palo Alto Networks et sa plateforme Prisma, ou encore Fortinet avec son approche Security Fabric proposent des alternatives pour sécuriser l’IoT industriel. La différence réside dans l’approche : là où la concurrence privilégie souvent des solutions hybrides combinant VPN et pare-feu, Zscaler mise tout sur son architecture cloud native.
Microsoft, avec Azure Sphere, et Amazon, via AWS IoT Device Defender, adoptent également des stratégies différentes, intégrant la sécurité dès la conception du hardware. Ces approches « sécurité par design » contrastent avec la surcouche logicielle proposée par Zscaler.
Outre la dépendance aux partenariats avec les opérateurs télécoms, les enjeux de souveraineté numérique compliquent l’équation. Les entreprises européennes peuvent-elles confier leurs données industrielles critiques à une infrastructure américaine, même transitant par des opérateurs locaux ? Cette question devient cruciale avec l’application du règlement NIS2 et les exigences renforcées de cybersécurité. La solution Zscaler Cellular Edge est déjà en production chez plusieurs clients, avec un lancement mondial prévu pour août 2025.
Zscaler ne se contente pas de sécuriser les communications. Sa suite Zero Trust Everywhere englobe désormais une appliance unifiée pour les sites industriels, capable de segmenter automatiquement les équipements IoT/OT, y compris les plus anciens.
Cette approche répond à un défi concret : comment sécuriser des équipements industriels vieux de 10 ou 20 ans ? Ces systèmes, souvent critiques pour la production, ne peuvent être arrêtés pour des mises à jour de sécurité. La segmentation automatique offre une solution élégante, mais qui nécessite une connaissance fine des flux industriels.