SASE Has An AI Blind Spot. Inspecting Packets Is No Longer Enough.
Mis à jour :
Les limites du SASE traditionnel face à l’ère de l’IA
Les architectures SASE (Secure Access Service Edge) basées sur le filtrage réseau par proxy cloud deviennent obsolètes face à l’essor des applications SaaS, des outils d’IA générative et des agents autonomes. Le contrôle réseau classique échoue à inspecter les interactions ayant lieu au niveau de la couche présentation (le navigateur), créant des angles morts critiques.
Points clés :
- Inadaptation technique : Les protocoles modernes (TLS 1.3, HTTP/3, épinglage de certificats) empêchent techniquement l’inspection par proxy (“man-in-the-middle”), forçant les équipes IT à créer des listes d’exceptions qui réduisent la sécurité.
- Dégradation des performances : Le routage systématique vers des proxys distants (“taxe de détour”) ralentit les applications et pousse les utilisateurs à contourner les outils de sécurité (Shadow IT).
- Angle mort de l’IA : Un proxy réseau voit une connexion chiffrée valide, mais ne peut pas analyser l’intention de l’utilisateur ou le contenu des requêtes (ex: exfiltration de code propriétaire via un agent IA).
Vulnérabilités :
- L’article ne mentionne pas de CVE spécifiques, mais souligne une vulnérabilité structurelle liée à l’incapacité de contrôler les interactions au sein du navigateur.
- L’utilisation généralisée d’exceptions de déchiffrement TLS crée des vecteurs d’attaque où le trafic malveillant passe inaperçu.
Recommandations :
- Déplacer l’application de la politique au terminal : Effectuer l’inspection et le contrôle au point d’interaction (navigateur/endpoint) pour analyser le contexte avant l’envoi des données.
- Adopter une architecture “Perfect Packet” : Évaluer le contexte localement sur le terminal et ne rediriger le trafic vers une inspection cloud que si une vérification supplémentaire est nécessaire.
- Optimisation du chemin réseau : Autoriser le trafic de confiance à emprunter un chemin direct pour restaurer les performances applicatives tout en assurant une gouvernance granulaire sur les flux sensibles.
