Zscaler offre le plan de migration le plus simple des deux startups que nous avons rencontré : il suffit de modifier la configuration du proxy des navigateurs. Outre le traditionnel filtrage antiviral, Zscaler intègre également de nombreux autres services, de la policy compliance au log management temps réel en passant par le contrôle d’utilisation du web et la maîtrise des sites web sociaux. Le tout centralisé en une interface unique.

La seconde startup sur notre radar est Zscaler , une société américaine créée à l’été 2008 et installée en France depuis mars 2009. La société, bien que tout à fait une startup, bénéficie cependant d’un encadrement de vétérans. En plus d’avoir à la barre l’ex-fondateur de CipherTrust et l’ex-architecte en chef de NetScaler, Zscaler a récupéré l’essentiel des country managers d’IronPort, rachat par Cisco oblige (c’est notamment le cas en France, avec Frédéric Bénichou aux commandes).

Zscaler se veut une solution Software as a Service (SaaS), mais contrairement à bon nombre d’acteurs qui exhibent ce label, la société s’en est donné les moyens : elle a déployé un réseau doté d’une vingtaine de points de présence dans le monde, et à la manière d’un CDN (Content Delivery Network), les clients sont orientés vers le POP le plus proche de leur localisation géographique.

Derrière ces frontaux un cloud privé met en commun les différentes ressources de l’éditeur (Zscaler annonce notamment une capacité de 250 000 transactions par seconde). La solution est ainsi, avant même de parler sécurité, surtout un proxy web géant à l’échelle d’un cloud.

Ensuite seulement vient la sécurité. « Notre objectif est d’en faire un maximum sur le HTTP », explique Frédéric Bénichou, le patron pour la France. Cela passe bien entendu par le traditionnel filtrage antivirus (Zscaler utilise notamment les services d'[Authentium | http://www.authentium.com/] pour cela, comme d’ailleurs beaucoup d’autres acteurs dans ce domaine).

Mais la solution n’aurait que peu d’intérêt si elle s’arrêtait là. Zscaler profite également de voir passer le trafic HTTP pour y réaliser une passe de « DLP light », basée sur des dictionnaires métiers, quelques règles traditionnelles (cartes bancaires, numéros de sécurité sociale aux Etats-Unis, etc…) ainsi que des dictionnaires adaptés aux exigences de PCI-DSS, HIPAA ou SOX par exemple. « Nous nous limitons à une analyse sémantique simple car le traitement doit se faire en temps réel, ce qui présente un défi en terme de performance », explique Damien Chastrette, ingénieur avant-vente EMEA pour Zscaler.

La solution prend également en charge l’authentification des clients afin de gérer ensuite leurs droits d’usage du web. L’entreprise peut ainsi placer des quotas par utilisateurs ou groupes d’utilisateurs, extraits de son annuaire (l’authentification peut être d’ailleurs être conservée localement si l’entreprise ne veut pas voir sortir ses crédances).

Les quotas peuvent concerner la consommation de la bande passante (QoS), mais aussi – et c’est plus original – l’utilisation du web : telle catégorie d’utilisateur pourra ainsi accéder à Facebook à loisir tandis que le reste de la population ne pourra le faire que durant les heures de pause. Ou le visionnage de vidéos sur Youtube pourra être limité à un certain volume par jour.

Zscaler permet aussi de contrôler plus finement l’usage fonctionnel des médias sociaux : la solution sait par exemple faire la différence entre la consultation d’un blog et l’action d’y poster un article, ou un commentaire. Elle permet également d’autoriser (sélectivement, toujours) les conversations par messagerie instantanée mais d’en interdire le transfert de fichiers. Et de même, bien sûr, pour les webmails.

Administré globalement depuis une interface en ligne, Zscaler offre aux entreprises dotées de multiples filiales la capacité de définir de manière centralisée leurs politiques web respectives, et surtout d’en auditer l’efficacité. La partie log management du produit a en effet été particulièrement mise en avant lors de la démonstration qui nous en a été faite. Les journaux d’accès web sont consolidés en temps quasi-réel entre toutes les filiales et sont disponibles en ligne immédiatement après l’événement. Y compris, bien entendu, chez les utilisateurs mobiles.

Les rapports disponibles permettent notamment, très classiquement, de connaître les plus grands consommateurs de bande passante, les plus fervents utilisateurs de tel site, ou les sites les plus visités. Mais là où Zscaler va plus loin, c’est qu’il est possible à partir de ces informations de « descendre » jusqu’aux lignes du journal en question, à des fins d’audit et de conformité par exemple.

Pour les grandes entreprises, Zscaler propose enfin de déporter une partie de son infrastructure chez le client, sous la forme d’appliance. Il s’agit notamment de permettre au client de conserver le contrôle sur l’authentification de ses utilisateurs et sur ses logs, qui sont alors transmis chiffrés à sa propre appliance au lieu d’être traités et conservés au sein du cloud de l’éditeur.

Techniquement, la solution peut se déployer très simplement en modifiant l’adresse du proxy dans les navigateurs (solution idéale pour les utilisateurs mobiles par exemple) ou bien au niveau de l’infrastructure en créant par exemple un tunnel GRE pour re-router le trafic de l’entreprise. Voire une redirection de port.

L’avis de SecurityVibes :

Une véritable solution SaaS, d’une simplicité de mise en oeuvre et d’administration extrême. Et malgré tout, la possibilité de déporter une partie de la solution en interne pour les clients qui le souhaitent, tout en continuant à bénéficier des avantages du SaaS.

Simplicité extrême de la solution.

Prise en charge de l’ensemble de la problématique web.

Log Management innovant.

Dépendance d’un seul fournisseur pour l’ensemble de sa sécurité web.