momius - Fotolia
Pour Jay Chaudhry, Zscaler, le cloud hybride n’est que transitoire
Dans un paysage de la sécurité des accès Web et du Cloud en pleine recomposition, un acteur spécialisé comme Zscaler a-t-il sa place ? Oui, selon son fondateur. Et il l’estime plutôt confortable.
Les deux dernières années ont été marquées par d’importantes opérations de concentration dans le monde de la sécurité à l’heure du Cloud. Certains ne manquant pas d’y voir la concrétisation d’une convergence naturelle et attendue entre IAM en mode service (IDaaS), accès Cloud sécurisé (CASB), ou encore gestion de la mobilité d’entreprise (EMM). Et c’est sans compter la protection des accès Web (SWG) ou encore la prévention des fuites de données (DLP).
Et il serait difficile de ne pas y voir une logique certaine : alors que l’usage des services Cloud ne cesse de développer, les données et applications sortent du périmètre historique de l’entreprise. De même, les utilisateurs sont de plus en plus mobiles et accèdent aux données et applications depuis un éventail toujours plus vaste d’emplacements, de terminaux et de réseaux.
La sécurité se met à l’heure du Cloud
Jay Chaudhry, patron et fondateur de Zscaler ne dit pas autre chose : « le cloud change fondamentalement la manière dont l’IT et la sécurité sont réalisés. Au cours des 25 ou 30 dernières années, nous sommes partis de l’idée que les utilisateurs doivent être connectés au réseau, de même que les serveurs et les applications. Et le réseau est protégé. C’est l’approche du château-fort. Un mur est construit autour du réseau, avec des équipements tels que pare-feu, proxy, etc. Dans le monde du Cloud, les applications sont déplacées ou en mode SaaS. Les utilisateurs sont partout. Et ils se connectent en 4G, sur leur connexion haut débit, etc. Chercher à protéger un réseau que l’on ne contrôle même pas n’est plus pertinent ».
Dès lors, l’approche doit évoluer : « peu importe où se trouve l’utilisateur ; peu importe quel terminal il utilise ; il doit être en mesure d’accéder à une application. Et pour cela, il faut un contrôle d’accès et un moteur de gestion des politiques en mode Cloud. Et c’est ce que nous faisons. Internet est le nouveau réseau, et on ne le contrôle plus ».
IBM ne regarde pas dans une autre direction. Le rachat de Lighthouse Secutiry Group en 2014 lui a permis d’acquérir une brique d’IDaaS. Mais c’est en septembre 2016 que le groupe a présenté Cloud Security Enforcer, une offre intégrant justement CASB, IDaaS et prévention des menaces. La brique d’EMM ? IBM en dispose depuis la fin 2013, avec la solution cloud MaaS360 de FiberLink.
Mais il faut aussi compter avec Forcepoint qui a récemment complété son offre avec le rachat de Skyfence, le CSAB d’Imperva, ou encore Symantec, qui s’est offert Blue Coat, après que ce dernier eut consolidé CASB et SWG. Et que dire de Cisco, qui s’est offert son CASB avec CloudLock, ou bien Oracle, avec Palerra. Même MobileIron a mis un pied sur ce marché début 2016, et plus récemment, c’était Fortinet.
Quelle place pour un pure-player du Cloud ?
Mais pour Jay Chaudhry, dans ce marché en pleine consolidation, il reste une place pour un acteur spécialisé, indépendant comme Zscaler : pour lui, ce que font un Cisco et un Symantec (ou avant lui Blue Coat), c’est « acheter ajouter des technologies typiquement conçues pour l’ancien monde du on-premise, en mode single-tenant, pensées pour protéger le réseau. Nous ne sommes pas dans cette activité ».
Le patron de Zscaler défend une autre approche : « il y a une application, dans le centre de calcul, Azure, AWS ou en mode SaaS, et les utilisateurs. Nous sommes installés dans une centaine d’endroits à travers le monde pour nous assurer que le bon utilisateur se connecte à la bonne application en sécurité. Cette architecture construite sur le Cloud garantit que, où que vous soyez, vous vous connectez au centre de calcul le plus proche. La politique qui vous concerne est automatiquement récupérée et appliquée. Il n’y a pas un seul autre acteur sur le marché où la politique suit l’utilisateur ».
Il relève aussi la question de la gestion des logs : une organisation fortement distribuée géographiquement, qui pousse ses utilisateurs à se connecter à son point de présence le plus proche, « va devoir trouver comment les rapatrier », alors qu’avec Zscaler, « tous les logs sont collectés et centralisés en temps réel, dans un centre de stockage régional que vous choisissez ».
Comme un incontournable pivot
En fait, Jay Chaudhry décrit l’offre de Zscaler comme une plateforme distribuée constituant un point de passage incontournable du trafic réseau où faire appliquer toutes les politiques de sécurité, tant pour les flux entrants que sortants, et en misant sur des partenariats pour offrir un vaste éventail de contrôles. Et là, un grand nombre de domaines est couvert : SD-WAN, réseau, IAM, EMM, SIEM, CASB, et même DLP, même si Zscaler propose sa propre couche de DLP – laquelle doit être prochainement renforcée par le support des correspondances exactes.
Et Jay Chaudhry ne manque pas d’être très critique sur les approches de construction d’offres basées sur des rachats : « intégrer des acquisitions est très difficile. Demandez aux clients de ceux qui ont racheté des entreprises si l’intégration va au-delà d’un simple tableau de bord ».
Pour l’identité, typiquement, la plateforme de Zscaler peut s’intégrer avec n’importe quelle solution supportant SAML. Mais selon Jay Chaudhry, 70 % de ses clients utilisent Active Directory et de plus en plus passent à Azure AD : « là, nous avons conduits d’importants efforts d’intégration avec les dernières fonctionnalités d’Azure AD, dont Conditional Access ».
Côté EMM, le but est d’assurer le bon fonctionnement des outils d’administrations avec la plateforme Zscaler, mais également de bloquer le trafic et signaler l’incident lorsqu’un appareil communiquant avec un domaine malicieux est détecté. AirWatch, MobileIron et Microsoft arrivent en tête de liste des efforts d’intégration.
Pour les passerelles d’accès Cloud sécurisé, Zscaler mentionne Skyhigh, CipherCloud, et encore CloudLock, sur son site, malgré le rachat de ce dernier par Cisco. Mais Jay Chaudhry évoque aussi des travaux importants avec Microsoft qui ouvert début 2016 son offre Cloud App Security, basée sur la technologie d’Adallo.
L’hybride ? Un phénomène transitoire
Alors oui, pour Jay Chaudhry, toutes ces fonctionnalités se rapprochent bien. Mais il y a convergence et convergence. Selon lui, faire de la convergence autour d’appliances déployées en local « ne veut rien dire ». Et cela vaut par exemple pour le DLP, où pour lui, œuvrer en local n’est plus pertinent alors que les données sortent du périmètre de l’entreprise. Surtout, une transition est clairement en train de s’opérer : « les technologies à déployer en local vont se vendre de moins en moins. Non pas qu’elles vont disparaître, mais la croissance va s’arrêter ». Et de faire le parallèle avec les mainframes, notamment, qui sont encore là, et probablement pour longtemps, mais surtout parce qu’ils font partie de l’existant, du patrimonial.
Quant à l’hybride ? « Est-ce que vous imaginez Telsa faire une voiture hybride alors qu'ils savent faire des voitures propres 100 % électriques ? Non, cela revient à augmenter considérablement la complexité ».
Pour approfondir sur Sécurité du Cloud, SASE
-
L’accès réseau sans confiance, un premier pas vers le SASE
-
Connectivité et sécurité réseau : en route vers l’intégration
-
Rachat d’Edgewise Networks : après le trafic nord-sud, Zscaler se penche sur le trafic est-ouest
-
Zscaler s’intéresse à son tour à la gestion de la posture de sécurité dans le cloud