Stratégie Zero Trust et IA : le vrai chantier n’est pas l’algorithme, mais la qualité du SI. 

En collaboration avec HPE Aruba Networking et TD SYNNEX

Cette justification repose sur un SI propre : identités exploitables, télémétrie cohérente, segmentation maintenable, chaîne de décision traçable. Sans ce socle, l’IA ne durcit pas la posture. Elle accélère la prise de décisions sur des signaux fragiles. 

Le réseau devient capteur : utile, jusqu’au moment où il faut assumer une décision 

Aina Rampanana, avant-vente cybersécurité, pousse une lecture claire : le réseau ne sert plus uniquement à transporter, il observe, contextualise et, potentiellement, applique des politiques au plus près des flux. ¹ Dans un SI hybride, multi-sites, multicloud, avec des flux est-ouest partout, l’argument tient : le réseau reste l’un des rares points d’observation continus. 

Le problème survient à l’étape suivante. Le réseau remonte un écart. Il ne dit pas si l’écart est malveillant ou simplement nouveau. Migration, montée en charge, changement d’application, arrivée d’un prestataire : tout ressemble à une anomalie au départ. La stratégie Zero Trust se joue donc avant la technologie “capteur” : inventaire des actifs, cartographie des dépendances, identités propres, exceptions documentées. Sans ça, le signal existe, mais la décision reste un débat. 

UEBA : le score existe, l’IAM fait la différence au moment de décider 

C’est là que l’IA entre en scène, souvent via l’UEBA (User and Entity Behavior Analytics, analyse comportementale des utilisateurs et des entités). Objectif : détecter des connexions atypiques, des séquences d’accès inhabituelles, des élévations de privilèges, des exfiltrations probables. Dans les faits, l’UEBA trie plus qu’elle ne tranche. Les environnements modernes génèrent du bruit : télétravail, sous-traitance, comptes techniques, réorganisations, shadow IT SaaS. Les usages des assistants IA introduisent des patterns applicatifs qui évoluent rapidement. 

Le SOC finit alors par se heurter au même mur : un score sans contexte ne guide pas une action. L’UEBA prend de la valeur quand le contexte est solide. Un IAM (Identity and Access Management, gestion des identités et des accès) propre, un MFA (Multi-Factor Authentication, authentification multifacteur) cohérent, une hygiène stricte des comptes, une séparation claire entre les humains et les comptes de service, une posture device exploitable. Gartner rappelle ce principe dans sa définition publique du SASE (Secure Access Service Edge, périmètre de services d’accès sécurisé) : l’accès “zero trust” s’appuie sur l’identité et le contexte en temps réel pour appliquer des politiques de sécurité et de conformité.² 

Sans cet étage, l’UEBA produit des scores que les équipes n’osent pas convertir en politique. Avec cet étage, l’UEBA devient exploitable, et la question change : comment faire appliquer, sans casser. 

Automatiser une politique : là où le cyber rencontre la prod 

Les éditeurs adoptent des politiques “dynamiques” : durcissement contextuel, restrictions conditionnelles, segmentation adaptative, quarantaines. Le but est connu : réduire le temps d’exposition et limiter la propagation. 

Le frein tient en une phrase : une action automatique casse vite. Un blocage coupe un flux, rompt une dépendance, déclenche un effet domino. Les DSI avancent donc par paliers. Ils acceptent d’abord ce qui reste réversible et borné : mesure limitée dans le temps, traçabilité, possibilité de retour en arrière, chemin de réintégration. La recommandation et l’optimisation passent plus vite que l’exécution autonome à grande échelle. 

Ce choix renvoie à un impératif technique : pour automatiser sans incident en prod, il faut comprendre les flux. On retombe sur la qualité de la télémétrie. 

NDR et télémétrie : l’IA ne fonctionne pas sur des logs approximatifs 

La sécurité assistée par IA dépend d’une chose fondamentale : la qualité de la collecte. Mouvement latéral, flux est-ouest, dépendances applicatives, corrélation identité + posture + trafic : tout suppose un socle cohérent. Horodatage fiable, normalisation minimale, inventaire à jour, couverture homogène. 

Le NDR (Network Detection and Response, détection et réponse sur le réseau) illustre l’écart entre la promesse et la réalité : sans signaux stables, la corrélation ressemble à une loterie sophistiquée. Les outils produisent des hypothèses plausibles, mais l’équipe SOC manque de matière pour en tirer une décision opérationnelle. 

Même logique pour la micro-segmentation. Sur le papier, elle réduit la surface. Dans le SI réel, elle expose les exceptions, les flux implicites, les dépendances historiques. L’IA peut cartographier, suggérer, repérer des exceptions toxiques. Elle ne supprime ni l’arbitrage métier ni la dette d’intégration. Et plus on automatise, plus cette dette devient une source d’incidents : une politique automatique ne pardonne pas un flux mal identifié. 

Edge vs cloud : l’inférence en périphérie, c’est du run 

Quand la promesse d’automatisation rencontre la latence, la souveraineté ou les contraintes d’exploitation locale, le débat bascule sur l’edge : rapprocher l’inférence, agir plus vite, remonter moins de données. Sur le papier, c’est propre. 

Dans un SI réel, c’est du run : hétérogénéité matérielle, patch management, supervision distribuée, cohérence des politiques entre sites, surface d’attaque des agents. L’edge ne résout pas la complexité. Il la déplace. La stratégie Zero Trust n’oppose pas edge et cloud par posture. Elle arbitre selon des critères d’exploitation : observabilité, patchabilité, auditabilité, cohérence de la politique. 

Cet arbitrage ramène à un sujet qui finit toujours par dominer dès qu’une action est automatisée : la preuve. 

Gouvernance IA : la traçabilité, sinon rien 

Dès qu’une décision de sécurité s’appuie sur l’IA, la question dépasse la performance. Il faut une chaîne explicable : traçabilité, contrôle des données d’entrée, mesure de la dérive, tests, sécurisation du cycle de vie, règles de délégation, périmètres d’autonomie. Sans preuve exploitable, une action devient indéfendable, surtout lorsqu’elle coupe un accès. 

Cette exigence de preuve met en difficulté les architectures empilées. Plus la chaîne “signal → décision → action” traverse de briques, plus l’explication se fragmente. Forrester décrit le SASE comme un paysage structuré (historiquement couvert sous l’angle de “Zero Trust Edge”) et met en avant une démarche de rationalisation : moins d’empilement, politiques plus cohérentes, télémétrie moins dispersée.³ Dans ce cadre, la gouvernance ne sert pas à rassurer : elle permet de reconstituer un enchaînement de faits. Forrester le rappelle d’ailleurs sans détour : le Zero Trust reste une stratégie, pas un produit.⁵ 

Même logique côté de la gouvernance de l’IA. Gartner place AI TRiSM (AI Trust, Risk and Security Management, gouvernance de confiance, risque et sécurité de l’IA) dans ses tendances stratégiques : contrôles, garde-fous, et capacité à gouverner l’IA comme un composant critique.⁶ Gartner alerte aussi sur des risques associés à des usages GenAI (Generative AI, IA générative) transfrontaliers, ce qui renforce la nécessité de traçabilité et de contrôle.⁷ 

La boucle est bouclée : automatiser sans gouverner finit par se transformer en incident. Gouverner sans rationaliser finit en audit impossible. Et sans identité ni télémétrie, on ne gouverne rien. 

Trois contextes, trois déclinaisons : l’automatisation suit les contraintes 

La stratégie Zero Trust ne se déploie pas de la même manière d’un secteur à l’autre. Disponibilité, legacy, audit : ces contraintes déterminent le degré d’automatisation acceptable. 

Industrie 4.0 (OT/IT).  

Dans l’OT/IT (Operational Technology / Information Technology, systèmes industriels / systèmes d’information), le sujet n’est pas de durcir au maximum. Il faut durcir sans casser. Observation longue, compréhension des flux légitimes, segmentation progressive, verrouillage des accès humains et techniques, automatisation bornée. Les actions qui “coupent” restent rares. L’IA sert surtout à stabiliser des baselines et repérer des écarts. 

Santé.  

La disponibilité prime. Une quarantaine mal déclenchée impacte une chaîne de soins. Confinement ciblé, isolement temporaire, accès conditionnels, procédures break-glass auditables : l’automatisation avance, mais sous contrôle strict. L’IA corrèle et priorise ; elle ne décide pas seule. 

Finance.  

Temps réel et audit marchent ensemble. Détecter vite ne suffit pas : il faut justifier. Une décision influencée par IA sans preuve exploitable devient un risque de conformité en plus du risque cyber. L’automatisation progresse quand la traçabilité suit : signal, règle appliquée, niveau de confiance, mesure proportionnée, retour arrière. 

Ce que l’IA accélère vraiment 

L’IA apporte des gains concrets : corrélation multi-domaines, priorisation, recommandations de politiques, durcissement graduel, automatismes réversibles. L’exécution autonome à grande échelle reste freinée par des contraintes connues : identité exploitable, télémétrie fiable, segmentation maintenable, gouvernance opérationnelle. 

Les promesses tiennent quand les rails existent. Sans rails, l’IA ne met pas en place une stratégie Zero Trust : elle accélère la vitesse d’un SI déjà incertain quant à ses décisions. 

Sources 

¹ “Smarter networks, stronger defenses: The rise of zero trust and AI-powered security”, HPE Community, 21 nov. 2025 : https://community.hpe.com/t5/networking/smarter-networks-stronger-defenses-the-rise-of-zero-trust-and-ai/ba-p/7258686 

² “Secure Access Service Edge (SASE)”, Gartner IT Glossary : https://www.gartner.com/en/information-technology/glossary/secure-access-service-edge-sase 

³ “The Secure Access Service Edge Landscape, Q4 2024”, Forrester, 18 nov. 2024 : https://www.forrester.com/report/the-secure-access-service-edge-landscape-q4-2024/RES181761 

⁵ “Announcing The Forrester Wave: Zero Trust Platforms, Q3 2025”, Forrester Blog, 10 juil. 2025 : https://www.forrester.com/blogs/announcing-the-forrester-wave-zero-trust-platforms-q3-2025-choosing-a-platform-solution-for-your-zero-trust-journey/ 

⁶ “Gartner Identifies the Top 10 Strategic Technology Trends for 2024” (AI TRiSM), Gartner Newsroom, 16 oct. 2023 : https://www.gartner.com/en/newsroom/press-releases/2023-10-16-gartner-identifies-the-top-10-strategic-technology-trends-for-2024 

⁷ “Gartner Predicts 40% of AI Data Breaches Will Arise from Cross-Border GenAI Misuse by 2027”, Gartner Newsroom, 17 fév. 2025 : https://www.gartner.com/en/newsroom/press-releases/2025-02-17-gartner-predicts-forty-percent-of-ai-data-breaches-will-arise-from-cross-border-genai-misuse-by-2027