« On ne sait pas ce qui se passe entre Paris et Brest » : pourquoi la visibilité réseau devient le nouveau défi de la cybersécurité

Publié le
03 July 2026
Restez connectés aux idées qui comptent
Recevez nos émissions en avant-première, accédez aux coulisses des débats, et rejoignez les professionnels qui façonnent l’écosystème Cyber, Tech et Défense.
S’inscrire à la newsletter
Flèche violet foncé pointant vers le haut sur un fond blanc.

Les entreprises investissent massivement dans des solutions de cybersécurité toujours plus performantes. Pourtant, une partie du trafic réseau leur échappe encore. Lors de notre émission L'Angle d'Attaque, Pascal Beurel, Senior Sales Engineer chez Gigamon, revient sur les angles morts créés par les infrastructures hybrides, le chiffrement des flux et l'évolution des architectures cloud, qui limitent aujourd'hui l'efficacité des outils de détection.

Pascal Beurel et Yasmine Douadi / Photo : David Marmier

La visibilité réseau, nouvel enjeu de la cybersécurité

Trafic chiffré, infrastructures hybrides, cloud public, cloud privé... Les cybermenaces ne se limitent plus aux frontières traditionnelles du système d'information. Elles circulent désormais à l'intérieur même des réseaux. Lors de notre émission L'Angle d'Attaque, Pascal Beurel, Senior Sales Engineer chez Gigamon, est revenu sur ces angles morts qui compliquent aujourd'hui le travail des équipes de cybersécurité.

Les entreprises ont multiplié les dispositifs de protection : pare-feux nouvelle génération, EDR, XDR, NDR… Des investissements importants sont réalisés pour renforcer les capacités de détection. Pourtant, les attaques continuent de progresser.

À lire aussi : Fuites de données : quand le cybercrime alimente le crime organisé

Pour Pascal Beurel, cette situation s'explique par une limite fondamentale : « On sécurise ce qu'on connaît ». Autrement dit, les entreprises ne peuvent protéger efficacement que les flux qu'elles parviennent réellement à observer.

La donnée a quitté le périmètre

Pendant longtemps, les systèmes d'information reposaient sur une architecture relativement centralisée : un ou plusieurs datacenters, des points d'entrée clairement identifiés et une sécurité largement concentrée sur le périmètre. L'essor du cloud, de la virtualisation, des conteneurs ou encore de Kubernetes a profondément transformé cette approche. Les données circulent désormais entre cloud public, cloud privé et infrastructures internes, souvent sans traverser les équipements sur lesquels sont déployées les solutions de sécurité.

Comme l'explique Pascal Beurel : « La donnée est aujourd'hui en mouvement entre différentes infrastructures. Une partie du trafic Est/Ouest ne passe plus par les équipements physiques sur lesquels sont généralement déployés les outils de sécurité. » Conséquence : des angles morts apparaissent. « Les outils de sécurité ne détectent pas correctement certaines menaces et cela complique aussi les investigations lorsqu'un incident est avéré. »

À lire aussi : Deepfakes, smishing : comment l'IA industrialise les arnaques en ligne

Ces angles morts concernent notamment le trafic Est/Ouest, c'est-à-dire les communications latérales entre serveurs, machines virtuelles ou conteneurs. C'est précisément ce type de trafic qu'un attaquant exploite pour se déplacer discrètement une fois présent dans le système d'information.

Le chiffrement protège… mais masque aussi les attaques

Le chiffrement est devenu indispensable pour sécuriser les échanges. Mais sa généralisation crée également une difficulté pour les équipes de sécurité. Comme le résume Pascal Beurel : « Le trafic chiffré, qui était initialement là pour protéger les entreprises, transporte désormais aussi les menaces ». Les outils de détection ne peuvent pas exploiter pleinement un trafic qu'ils ne sont pas capables d'analyser.

L'approche présentée par Gigamon consiste à collecter les flux dans les environnements hybrides tout en permettant leur observation au moment où ils sont encore lisibles, sans casser les mécanismes de chiffrement. L'entreprise s'appuie notamment sur une technologie baptisée Precryption, qui permet d'accéder aux données avant leur chiffrement ou après leur déchiffrement applicatif afin d'alimenter les outils de sécurité.

Pascal Beurel / Photo : David Marmier

Centraliser la visibilité plutôt que multiplier les sondes

Les architectures hybrides imposent souvent le déploiement de nombreuses sondes afin de couvrir l'ensemble de la surface d'attaque : cloud public, cloud privé, datacenters ou environnements virtualisés. Selon Pascal Beurel, cette approche augmente rapidement les coûts et la complexité opérationnelle.

L'idée défendue par Gigamon est différente : collecter une seule fois le trafic puis redistribuer les informations vers les différents outils de sécurité. « On collecte une seule fois le trafic, quelles que soient les infrastructures, puis on alimente l'ensemble du banc d'outillage ».

À lire aussi : SASE : comment l'architecture cloud redéfinit la sécurité des accès en entreprise

Cette approche permet également de distinguer clairement les rôles. « Une solution NDR assure la détection, la remédiation et l'investigation. Notre rôle est de fournir la meilleure visibilité possible en isolant l'information utile du bruit. »

Détecter les usages non maîtrisés de l'IA

L'essor de l'intelligence artificielle générative fait également émerger de nouveaux risques pour les entreprises. Le Shadow AI, c'est-à-dire l'utilisation d'outils d'IA sans validation de la DSI ou de la sécurité, peut favoriser les fuites d'informations sensibles. « C'est un vrai danger pour les entreprises. Cela fait partie des problématiques de fuite d'information. »

Gigamon explique intégrer des mécanismes d'inspection capables d'identifier plusieurs dizaines de grands modèles de langage (LLM) afin de détecter certains usages non autorisés ainsi que des comportements pouvant traduire une exfiltration de données.

Réduire le bruit pour accélérer les investigations

Au-delà de la visibilité, l'un des défis des centres opérationnels de sécurité reste la multiplication des alertes. Les équipes doivent souvent corréler les informations issues des SIEM, des solutions NDR, des journaux d'événements et des différents outils de supervision avant de confirmer une menace.

À lire aussi : Identités non-humaines : pourquoi elles deviennent le nouveau défi de la cybersécurité

Pour Pascal Beurel, cette phase mobilise beaucoup de ressources. « Tout cela prend du temps, mobilise plusieurs ingénieurs et plusieurs équipes qui doivent travailler ensemble ». Gigamon développe ainsi des capacités de corrélation basées sur l'intelligence artificielle afin d'accélérer les investigations et d'aider les analystes à distinguer les faux positifs des incidents réels.

Pascal Beurel / Photo : David Marmier

« On ne sait pas ce qui se passe entre Paris et Brest »

C'est sans doute l'image la plus parlante employée durant cet échange. « On sait ce qui se passe aux frontières du réseau, mais on ne sait pas ce qui se passe entre Paris et Brest. »

À travers cette comparaison, Pascal Beurel illustre la principale limite des approches exclusivement périmétriques. Les entreprises disposent aujourd'hui d'outils de sécurité toujours plus performants, mais leur efficacité dépend directement de la qualité des données qui leur sont fournies.

À mesure que les infrastructures deviennent hybrides et que les flux sont massivement chiffrés, la visibilité réseau apparaît ainsi comme un maillon indispensable pour améliorer la détection, faciliter les investigations et exploiter pleinement les capacités des solutions de cybersécurité.

Lysandre Martin
Journaliste RISKINTEL MEDIA