SASE Has An AI Blind Spot. Inspecting Packets Is No Longer Enough.

1 minute de lecture

Mis à jour :

Les limites du SASE traditionnel face à l’ère de l’IA

Les architectures SASE (Secure Access Service Edge) basées sur le filtrage réseau par proxy cloud deviennent obsolètes face à l’essor des applications SaaS, des outils d’IA générative et des agents autonomes. Le contrôle réseau classique échoue à inspecter les interactions ayant lieu au niveau de la couche présentation (le navigateur), créant des angles morts critiques.

Points clés :

  • Inadaptation technique : Les protocoles modernes (TLS 1.3, HTTP/3, épinglage de certificats) empêchent techniquement l’inspection par proxy (“man-in-the-middle”), forçant les équipes IT à créer des listes d’exceptions qui réduisent la sécurité.
  • Dégradation des performances : Le routage systématique vers des proxys distants (“taxe de détour”) ralentit les applications et pousse les utilisateurs à contourner les outils de sécurité (Shadow IT).
  • Angle mort de l’IA : Un proxy réseau voit une connexion chiffrée valide, mais ne peut pas analyser l’intention de l’utilisateur ou le contenu des requêtes (ex: exfiltration de code propriétaire via un agent IA).

Vulnérabilités :

  • L’article ne mentionne pas de CVE spécifiques, mais souligne une vulnérabilité structurelle liée à l’incapacité de contrôler les interactions au sein du navigateur.
  • L’utilisation généralisée d’exceptions de déchiffrement TLS crée des vecteurs d’attaque où le trafic malveillant passe inaperçu.

Recommandations :

  • Déplacer l’application de la politique au terminal : Effectuer l’inspection et le contrôle au point d’interaction (navigateur/endpoint) pour analyser le contexte avant l’envoi des données.
  • Adopter une architecture “Perfect Packet” : Évaluer le contexte localement sur le terminal et ne rediriger le trafic vers une inspection cloud que si une vérification supplémentaire est nécessaire.
  • Optimisation du chemin réseau : Autoriser le trafic de confiance à emprunter un chemin direct pour restaurer les performances applicatives tout en assurant une gouvernance granulaire sur les flux sensibles.

Source