
Selon le rapport 2026 de Netskope sur le cloud et les menaces, l'usage de l'IA générative en entreprise a explosé en un an, avec des risques financiers et de sécurité encore largement sous-estimés. Lors d'un Angle d'Attaque animé par Yasmine Douadi, Stan Nabet et David Fonseca (Netskope) expliquent en quoi le SASE devient le socle pour reprendre la main sur des usages IA devenus incontrôlables et pourquoi tout commence par déchiffrer le trafic.

Dans un contexte où la question de l'utilisation de l'IA ne se pose même plus, avoir une visibilité sur ses opérations est toujours plus capital. Lors d'un Angle d'Attaque organisé par Riskintel Media et modéré par Yasmine Douadi, Stan Nabet, directeur des opérations France, et David Fonseca, directeur technique France, travaillant tous deux chez Netskope, ont discuté des problématiques liées à l'IA dans un monde où le cloud ne cesse de gagner en importance, ainsi que des avantages et défis associés à des solutions comme le SASE.
Quatre ans après le lancement de ChatGPT, l'IA est devenue indispensable pour la vie de tous, autant dans la sphère personnelle que professionnelle. Selon le rapport 2026 de Netskope portant sur le cloud et les menaces, le nombre de personnes ayant recours à une IA générative a triplé entre 2025 et 2026, tandis que le volume de données transitant vers ces outils a été multiplié par six. Une hausse que les deux invités relient notamment à l'explosion du nombre de prompts envoyés par les collaborateurs. L'IA est tellement intégrée dans notre quotidien que son utilisation n'est même plus une option. La question n'est donc plus « faut-il utiliser l'IA ? » mais plutôt « dans quel cadre de gouvernance ? » La moitié des organisations ne sont, en effet, pas dotées d'une politique de gouvernance de l'IA, ce qui augmente considérablement le risque d'incidents liés à une utilisation non maîtrisée.
À lire aussi : « On ne sait pas ce qui se passe entre Paris et Brest » : pourquoi la visibilité réseau devient le nouveau défi de la cybersécurité
À l'heure où Internet est devenu l'extension du réseau des entreprises, l'innovation et l'adaptabilité sont capitales pour développer des solutions qui sécurisent sans menacer la performance des organisations. Le SASE (Secure Access Service Edge, ou « service d'accès sécurisé en périphérie ») s'inscrit dans cette dynamique, comme le décrivent David Fonseca et Stan Nabet.
L'IA : un outil qui peut coûter cher aux entreprises
L'IA n'est pas la seule innovation au potentiel révolutionnaire pour le monde professionnel, mais le rythme auquel elle évolue rebat complètement les cartes du jeu. Avec l'émergence du cloud public, explique David Fonseca, « on a vu une transition vers le cloud qui s'est faite, mais qui était beaucoup plus structurante et beaucoup plus compliquée à amener que l'IA aujourd'hui. Avec l'IA aujourd'hui, en une matinée, on peut développer quelque chose, on peut mettre en place un process qui révolutionne la façon dont l'entreprise fonctionne ». La manière dont l'IA est utilisée dans un cadre professionnel va évidemment varier selon le secteur d'activités et le poste de l'individu, mais certaines tendances peuvent s'appliquer à tous les profils. Comme le résume Stan Nabet, « chaque métier, chaque verticale, va avoir son intérêt et sa façon de consommer l'IA, mais avec finalement exactement les mêmes problématiques ».
En l'espace de quatre ans, l'IA a gagné une place considérable dans les milieux professionnels, qu'elle soit utilisée de manière officielle ou non par les employés. « Quand ChatGPT est arrivé, c'était de la curiosité : on accédait à ChatGPT, on voyait un peu à quoi ça ressemblait. Là, ce qu'on voit aujourd'hui, c'est que c'est un vrai outil consommé par les entreprises pour réaliser des tâches d'entreprise [...] Ça c'est un vrai risque de sécurité parce qu'on peut voir des données sensibles de l'entreprise partir. Ça simplifie la vie des collaborateurs qui l'utilisent pour simplifier leurs tâches (trier leurs mails, organiser leurs dossiers, etc.). On parle d'agents IA également parce qu'on parle d'IA générative, de ChatGPT, mais on voit des agents sur les postes de travail de plus en plus consommés. Et ça on voit qu'effectivement il y a un manque de régularisation de ça au sein de l'entreprise, de contrôle et également de maîtrise de façon générale de comment on consomme l'IA et qu'est-ce qu'on en fait ».
À lire aussi : Fuites de données : quand le cybercrime alimente le crime organisé
L'IA n'est pas problématique en soi, mais elle peut présenter des risques pour les organisations, tout d'abord du point de vue de la confidentialité. Selon David Fonseca, « un collaborateur qui va sur ChatGPT, ce n'est pas forcément un problème. Un collaborateur qui va sur ChatGPT, qui poste un message qui contient une donnée personnelle et qui l'a fait depuis un poste non-maîtrisé en dehors de la France, ça peut être suspect ».
Le risque financier associé à l'IA demeure méconnu mais peut être source de mauvaises surprises pour les organisations. Comme Stan Nabet l'explique, « on a des clients qui ont reçu des factures qui dépassent cinq millions de régularisation d'échanges d'API. D'un point de vue business, je ne sais pas si c'est rentable ou pas, mais ça leur a permis de gagner 3-4 mois sur un développement d'appli en interne. Au final, personne n'avait prévu ces montants-là parce que tout le monde s'est dit "l'outil est simple, l'outil est facile, c'est bien. Je gagne beaucoup de temps." Mais à un moment donné, les plateformes ne sont pas gratuites. Elles ont un modèle économique qui fait que plus on fait d'appels, plus on fait de calls API, plus c'est facturé, sauf qu'on est sur une facturation a posteriori ».

Même lorsque les risques sont apparents, les entreprises ne vont pas nécessairement prendre des mesures adéquates pour limiter le potentiel des dégâts. Stan Nabet le rappelle, « les enjeux business passent avant les enjeux de sécurité. Il y a un contexte économique global qui fait qu'on cherche à aller plus vite que le concurrent, que le compétiteur. Donc à ce moment-là, qui gagne cette "guerre" entre le réseau, la sécurité et les enjeux business ? C'est le business ». Il nuance cependant en expliquant qu'une nouvelle approche émerge autour de l'utilisation de l'IA dans le cadre professionnel : le « oui, mais… ». Le principe est simple : « tu vas pouvoir utiliser de l'IA, mais en fonction de ce que tu vas faire, quelle plateforme tu vas utiliser et quelles données tu vas utiliser, tu vas recevoir un pop-up si tu frôles la ligne rouge et on va te ré-orienter vers les bons supports, les bons outils et peut-être te dire que dans le document que tu souhaites partager avec l'outil d'IA, il y a trop de données confidentielles, donc t'alerter sur tout ça ».
« C'est difficile, à partir du moment où on ne voit pas, de contrôler »
Face aux problématiques liées à un usage incontrôlé de l'IA et d'autres solutions basées sur le cloud, le SASE s'impose comme une innovation de plus en plus incontournable. Selon David Fonseca, « ce qui motive les entreprises aussi à passer le bond du SASE, c'est de se dire "je veux récupérer de la visibilité sur absolument tout : qu'est-ce que font mes collaborateurs ? Depuis où ? Comment ?" On voit, par exemple, des collaborateurs qui consomment leurs services SaaS depuis leurs outils personnels, leurs PCs. En fait, c'est plein de blind spots dont les entreprises aujourd'hui, et on le voit de plus en plus, veulent s'affranchir. Ils veulent vraiment récupérer de la visibilité. Pas bloquer les accès, pas empêcher l'IA, pas empêcher les cloud storages, pas empêcher tout ça, mais plutôt de re-contrôler, d'éviter les vrais risques et de réduire la surface d'attaque ».
Disposer d'une telle visibilité permet aux organisations de mieux répondre aux crises auxquelles elles sont confrontées. David Fonseca le souligne, « ce qui est important de prendre en considération, c'est que le SASE reste le socle finalement de l'architecture parce que quand on prend le cas d'usage du ransomware (ça pourrait être autre chose, ça pourrait être une fuite de données), parfois on s'attache trop à vouloir empêcher la réalisation du ransomware, une fois qu'il est là, d'empêcher qu'il puisse s'activer. En fait, ce qu'on devrait faire, c'est déjà se baser sur comment il est arrivé, comment on peut l'empêcher d'arriver. C'est comme si aujourd'hui, dans une maison, je blindais la porte mais je laissais les fenêtres ouvertes. C'est un peu le principe du SASE, c'est-à-dire de faire en sorte que tout ce qui sort de l'entreprise et tout ce qui pourrait rentrer par l'entreprise, quel que soit l'endroit où on se trouve, que ce soit dans l'entreprise ou en dehors ou sur des postes persos ou des partenaires, ça passe par un environnement maîtrisé sur lequel on peut contrôler les accès ».
À lire aussi : Deepfakes, smishing : comment l'IA industrialise les arnaques en ligne
Le SASE semble donc être la solution idéale pour répondre aux enjeux d'un monde de plus en plus dominé par le cloud, mais il peut aussi effrayer les organisations en raison de l'image complexe qui lui est souvent attribuée. « Le SASE, résume Stan Nabet, c'est la concaténation de tout un tas de sous-ensembles : le SD-WAN, le proxy d'ancienne génération, le VPN de nouvelle génération avec le ZTNA, etc. Finalement, la complexité pour les clients, c'est de savoir par où ils vont commencer. La réalité, elle est là. Parce que des projets, des chantiers entiers SASE from scratch vers une approche full SASE, en cinq ans, je n'en ai pas vu une seule ».
Souveraineté : défi stratégique ou avantage commercial ?
Au vu du contexte géopolitique actuel où les nouvelles technologies occupent une place centrale dans la compétition entre puissances, la menace du kill switch pèse constamment. Le cloud, et donc le SASE, n'y échappent pas. Stan Nabet le reconnaît, « souveraineté et cloud, pendant longtemps, ça n'a pas fait bon ménage ».
Le fait que les chantiers SASE reposent en grande partie sur des hyperscalers (AWS, Google Cloud, Microsoft Azure, etc.) est particulièrement problématique car il limite la marge de manœuvre des organisations. Pour limiter ces effets, les développeurs de solutions comme Netskope décident de construire leurs propres infrastructures afin de se garantir le maximum d'autonomie à eux et à leurs clients.
Stan Nabet présente ce processus en précisant les avantages qui y sont associés : « on a constitué en fonction d'une feuille de route, en fonction de critères bien spécifiques, des data centers qui sont identiques, que vous soyez à Bogota, à Miami, à Paris, à Marseille, à Berlin ou à Pékin. Ce que je dis a l'air simple, mais ça permet plusieurs choses. Premièrement, d'être complètement résilient parce que l'ensemble des data centers sur la planète sont physiquement, structurellement les mêmes, en capacité de gérer les mêmes fonctions. Et on cherche aujourd'hui, on le voit au niveau des normes qui arrivent de plus en plus, de la résilience, donc c'est très important. Le point numéro 2, c'est d'avoir une longueur d'avance par rapport à tout un tas d'acteurs de ce marché, pas ceux qui ont décidé de s'intégrer ou de s'interfacer avec des hyperscalers, mais plus ceux qui avaient aussi une approche purement cloud qui ont décidé d'avoir des infrastructures différentes en fonction d'une région ou d'une autre [...] Ce que le SASE nous amène en plus, c'est le fait de ne pas avoir de ralentissements dans le traitement du flux qu'on va intercepter et donc analyser. Avec des data centers de la sorte, c'est fait en un seul trait et on n'a pas besoin de s'appuyer sur telle ou telle ressource à côté ».
À lire aussi : SASE : comment l'architecture cloud redéfinit la sécurité des accès en entreprise
David Fonseca le confirme : disposer de ses propres data centers permet une meilleure maîtrise des données et des outils utilisés au sein des organisations. « Le gros avantage d'avoir ses propres infrastructures, c'est qu'on maîtrise de là où part la donnée. Parce que si l'on se porte sur un cloud provider, on est dépendants de là où sont leurs disques durs, là où part le stockage. On maîtrise tout de A à Z. Donc aujourd'hui, quand on travaille avec un client, on est capables de fournir des documents de privacy et de compliance qui sont extrêmement détaillés, pour savoir comment est traitée chacune de ses metadata, comment est gérée la configuration, comment sont gérés les dashboards. Ça c'est extrêmement clair et extrêmement précis parce que justement on a nos propres infrastructures ».

Le mot de la fin : voir avant de contrôler
En conclusion de l'émission, Stan Nabet ramène tous ces enjeux à une seule condition préalable, celle qui rend possible tout le reste : le déchiffrement du trafic. « On a encore trop de discussions avec des clients, avec des prospects, qui n'ont pas encore décidé de déchiffrer le trafic. C'est un problème parce que tout ce qu'on vient de se dire (la visibilité, les mécanismes de blocage, de coaching, la capacité de voir le prompt d'un collaborateur, quelle donnée est envoyée) n'est possible qu'à partir du moment où vous déchiffrez le trafic. Et quand on sait que 95 % de ce qu'on vient de se dire aujourd'hui se pose sur Internet, et que sur Internet on a 95 % du trafic qui est chiffré, il faut vraiment passer la seconde et décider de déchiffrer le trafic parce que pour pouvoir contrôler, il faut voir ».
Alors que l'IA et le cloud gagnent en importance jour après jour, les risques associés à une utilisation inappropriée grandissent également. Face à ces problématiques, des systèmes comme le SASE s'imposent comme des solutions durables permettant d'allier sécurité et productivité. L'idée n'est pas d'interdire l'IA ou de freiner l'innovation, mais de les encadrer et de mieux accompagner les organisations. À condition, d'abord, d'accepter de voir ce qui s'y passe réellement.
.avif)







.avif)