La cybersécurité vit une véritable rupture. Les attaques n’ont jamais été aussi nombreuses, sophistiquées… et surtout silencieuses. Loin des virus bruyants des années 2000, les menaces actuelles se glissent dans le trafic réseau comme des passagers clandestins. Elles se fondent dans les flux autorisés, utilisent le chiffrement pour masquer leurs intentions, et échappent ainsi aux défenses traditionnelles.
Une tribune de Jérôme Beaufils, CEO de SASETY
Les chiffres sont éloquents : 97 % des entreprises hébergent au moins un terminal compromis par un botnet et une sur trois a subi une attaque par rançongiciel en un an. Dans la majorité des cas, les flux malveillants empruntent des ports et protocoles légitimes, ce qui rend leur détection impossible pour un firewall classique.
Des attaques invisibles, mais permanentes
L’exemple type est celui d’un poste infecté qui communique avec son serveur de commande via un tunnel HTTPS sur le port 443. Pour l’administrateur, le trafic ressemble à n’importe quelle navigation web. La règle du firewall ne bloque rien : l’exfiltration de données se déroule sans alerte.
Ces attaques ne sont plus ponctuelles. Elles sont systémiques et persistantes. Et elles prospèrent grâce au déploiement massif de protocoles chiffrés, qui privent les outils traditionnels de visibilité.
À cette complexité s’ajoute un phénomène nouveau : l’usage de l’IA générative pour concevoir des malwares. Avec quelques instructions, un individu dépourvu de compétences techniques peut générer un voleur de mots de passe ou un shell inversé en quelques minutes. L’émergence de ces “attaquants assistés par IA” change la donne : le risque ne vient plus seulement d’experts chevronnés, mais aussi d’utilisateurs opportunistes qui exploitent des outils puissants et accessibles.
Pourquoi les firewalls et VPN ne suffisent plus
Dans de nombreuses organisations, les architectures de sécurité reposent encore sur un empilement de solutions disparates : firewall, VPN, passerelles web, outils de détection… Or ces briques isolées ne se parlent pas entre elles. Résultat : aucune corrélation globale, aucune inspection cohérente des flux chiffrés, aucune visibilité unifiée sur l’activité des utilisateurs distants ou des applications SaaS.
L’entreprise pense être protégée, alors qu’elle est peut-être déjà compromise.
C’est dans ce contexte qu’émerge le SASE (Secure Access Service Edge), une architecture qui fusionne réseau (SD-WAN) et sécurité dans le cloud. Plutôt que d’ajouter des couches successives, le modèle SASE intègre nativement la sécurité au plus près du trafic.
Parmi ses composants, on retrouve le firewall-as-a-service, les passerelles web capables de déchiffrer et filtrer, le ZTNA qui remplace le VPN par un contrôle granulaire des accès, la protection des données en cloud (DLP/CASB), ou encore l’analyse comportementale basée sur le machine learning.
Quand l’IA détecte ce que l’œil humain ne voit pas
Les bénéfices sont concrets. Des attaques comme le botnet Ballista, exploitant une faille sur des routeurs TP-Link, ont été détectées grâce à la combinaison de l’IPS et de l’IA comportementale, alors qu’elles passaient inaperçues sur un firewall classique. De même, des malwares générés par des LLM ont pu être stoppés par analyse sémantique avant leur exécution.
En corrélant les signaux (utilisateur, application, protocole, géolocalisation), l’IA détecte les anomalies invisibles à l’œil humain et génère des alertes contextualisées pour les équipes de sécurité. Cato Networks illustre cette évolution avec une plateforme SASE entièrement cloud-native, reposant sur trois piliers : un backbone privé mondial, une pile de sécurité unifiée inspectant tout le trafic en un seul passage, et une couche d’IA/ML pour l’analyse et la remédiation.
Grâce à cette approche, les entreprises accèdent à une visibilité temps réel sur l’ensemble du trafic, bénéficient d’une détection proactive des flux suspects (C2, Tor, exploits, botnets) et disposent d’outils de supervision continue. En partenariat avec SASETY, ces capacités s’accompagnent d’un service SOC adapté aux besoins locaux, combinant expertise humaine et automatisation.
La cybersécurité moderne ne peut plus se contenter d’outils cloisonnés. Elle exige une fusion entre réseau et sécurité, renforcée par l’intelligence artificielle. C’est le sens de la démarche SASE : un modèle global, intelligent et évolutif qui élimine les angles morts et prépare les entreprises à une menace devenue invisible, chiffrée… et intelligente.
