Zscaler achète SPLX pour sécuriser tout le cycle de vie de l’IA : découverte d’actifs, évaluation automatique de la sécurité et garde-fous natifs dans Zero Trust Exchange

DXC et Akamai signent une alliance pour accélérer l'adoption de Zero Trust
Share on Pinterest Share on LinkedIn

Zscaler (NASDAQ : ZS) a annoncé l’acquisition de SPLX, une jeune startup innovante dans le domaine de la sécurité de l’IA. Cette opération renforcera sa plateforme Zero Trust Exchange™ en intégrant des capacités de découverte shift-left des actifs IA, un équipe de red teaming automatisé et une gouvernance de bout en bout. La mission de l’entreprise est claire : protéger les investissements en IA, du développement à la mise en production. Le secteur prévoit en effet de dépenser plus de 250 milliards de dollars en infrastructure IA d’ici à la fin 2025.

« L’IA génère une valeur énorme, mais celle-ci ne se concrétise que lorsqu’elle est sicurisée », résume Jay Chaudhry, fondateur et CEO de Zscaler. « Avec la technologie de SPLX et l’intelligence de Zero Trust Exchange —qui classifie, gouverne et préviens les fuites de données sensibles dans prompts, modèles et sorties—, nous couvrirons l’ensemble du cycle de vie de l’IA sur une seule plateforme. »

Cette acquisition intervient dans un contexte où la surface d’attaque s’étend, marqué par l’émergence de shadow AI et l’adoption d’agents dans des processus concrets. Zscaler souhaite éviter que le déploiement de modèles, de workflows et d’outils liés à RAG et MCP (Model Context Protocol) ne devienne une nouvelle porte dérobée pour le vol de données, la manipulation de sorties ou les mouvements latéraux entre agents et services.

Les apports de SPLX à la plateforme Zscaler

Zscaler intégrera la technologie et le personnel de SPLX comme une couche de protection IA native dans le Zero Trust Exchange™, organisée en quatre modules :

1) Découverte des actifs IA et évaluation des risques (shift-left)

Au-delà des catalogues publics d’IA générative ou des clouds publics, la découverte s’étend à modèles internes, pipelines, dépôts de code, RAG, serveurs MCP et flux tant publics que privés. L’objectif étant de disposer d’un inventaire dynamique, avec un risque évalué pour chaque actif, avant leur mise en production.

2) Red teaming automatisé et remédiation

SPLX fournit un moteur avec plus de 5.000 simulations d’attaques spécifiques à l’IA — prompt injection, jailbreaks, exfiltration de données, appel de fonctions malicieux, abus d’outils, etc. — pouvant s’exécuter depuis le développement jusqu’à la production. Le système priorise les vulnérabilités identifiées et suggère des remèdes en temps réel, permettant aux équipes de corriger rapidement sans attendre d’audits manuels.

3) Barrières de sécurité en temps d’exécution et renforcement du prompt

Zscaler étend ses AI Runtime Guardrails, qui bloquent déjà les fuites de données et attaques entre applications IA et LLM, pour approfondir la protection dans les environnements de développement (IDE, CI/CD) et automatiser la mise en place de guardrails pour les actifs à risque (par exemple, agents avec accès à des données sensibles ou outils avec des fonctions critiques). La fortification des prompt s’intègre comme une politique, et non comme une simple meilleure pratique.

4) Gouvernance et conformité

Un cadre unifié permettant de passer d’une défense réactive à une protection proactive : politiques par modèle, environnement, personne et donnée ; enregistrements et preuves pour audit ; contrôles pour les cadres de gouvernance émergents (ex : contrôles de données et model risk). L’objectif est que conformité, sécurité et produit parlent le même langage.

« Zscaler et SPLX partagent la même vision : relever le défi de la nouvelle surface d’attaque créée par l’expansion de l’infrastructure IA », souligne Kristian Kamber, CEO et cofondateur de SPLX. « Ensemble, nous renforcerons la sécurité la plus fiable au monde, en assurant une innovation IA à la vitesse où elle est adoptée. »

Pourquoi cela est-il crucial : la sécurité IA ne se limite plus à « filtrer les prompts »

Les investissements massifs, dépassant 250 milliards de dollars en 2025 selon Goldman Sachs, ont propulsé l’IA de prototypes isolés vers systèmes en production : LLMs orchestrant des outils, agents avec mémoire, RAG connectés à des sources internes, MCP pour connecter des applications avec des modèles de manière standardisée. Cette évolution expose à de nouveaux risques, parmi lesquels :

  • Découverte : L’IA naît distribuée — modèles dans plusieurs clouds, dépôts, pipelines, environnements de feature stores. Identifier ce qui existe et où se trouve l’information reste une étape clé.
  • Développement peu sécurisé : prompts codés en dur, clés exposées, dépôts contenant des datasets sensibles, tests avec des tokens de production. Le shift-left doit inclure l’IA, pas seulement le code.
  • Attaques ciblées : injection de prompt, “hallucinations dirigées” pour induire des actions, abus d’agents et de fonctions, exfiltration via les sorties ou journaux, poisoning de données contextuelles.
  • Gouvernance et guardrails : contrôle de qui peut utiliser quels modèles, avec quelles données et outils, selon quelles politiques, avec quels passeports d’audit.

La vision de Zscaler est que tout cela — inventaire, tests offensifs, contrôles d’exécution et conformité — doivent coexister dans une même plateforme, intégrés à la protection des données et au Zero Trust déjà en place sur les applications, utilisateurs et charges de travail.

Pour qui et quels bénéfices ?

  • CSO et GRC : un dashboard unique des actifs IA avec risques, politiques et preuves pour l’audit. Finies les feuilles Excel, place aux contrôles observables.
  • MLOps / Plateformes de données : tests automatisés de red teaming intégrés en CI/CD, avec remédiation contextuelle. Découverte de RAG et MCP self-hosted.
  • Ingénierie produit : guardrails d’exécution pour éviter fuites ou abus, sans freiner l’innovation ; fortification des prompts comme politique intégrée, non optionnelle.
  • Conformité : support aux cadres réglementaires émergents via tracabilité par prompt, modèle et sortie, et gouvernance des données sensibles dès la conception.

Intégration avec Zero Trust Exchange : perspective technique

Zscaler dispose d’une télémétrie massive et d’une protection de données native (classification et prévention de la fuite) sur le trafic, les applications et les utilisateurs. Avec l’ajout de SPLX :

  1. L’inventaire IA (modèles, workflows, RAG, MCP, dépôts) est découvert et étiqueté dans la même architecture que l’identité, l’application et les données.
  2. Le moteur de red teaming s’intègre à CI/CD et aux environnements (développement, test, production), alimentant des politiques.
  3. Les guardrails sont appliqués en temps réel — entre applications IA et LLMs, ou entre agents — empêchant exfiltrations et attaques sans interrompre l’expérience utilisateur.
  4. La gouvernance et la conformité profitent de registres cohérents et d’un enforcement centralisé.

En termes d’opération, la promesse est de réduire les MTTD / MTTR liés aux incidents IA et de diminuer les erreurs humaines — principales causes de fuites — sans multiplier les outils ni créer de silos.

Exemples de risques couverts par cette synergie

  • Un agent ayant accès à des dépôts de code qui, suite à une injection, exfiltre des secrets dans la sortie.
  • Un RAG indexant des documents sombres et livrant des fragments hors contexte à un utilisateur non autorisé.
  • Un serveur MCP ouvert, sans authentification ni limites, permettant des actions critiques via prompts malveillants.
  • Des dépôts avec des datasets non anonymisés, réutilisés dans des tests et finissant par fuir dans les logs ou télémétrie.

Ce qui demeure inchangé (et ce que Zscaler prévient)

Il s’agit d’une annonce d’acquisition, accompagnée de déclarations prospectives. Zscaler devra intégrer la technologie SPLX dans sa cloud, conserver l’équipe et aligner ses feuilles de route. La valeur pour le client dépendra de la rapidité d’intégration des nouvelles fonctionnalités, de leur couverture dans des environnements hybrides, et de la qualité de l’automatisation des remédiations.

Signaux pour le marché

  1. La sécurité IA devient une catégorie à part entière (au-delà du simple « DLP pour prompts »).
  2. Zero Trust étend son périmètre : modèle, agent et contexte deviennent principaux acteurs dans la définition des politiques.
  3. L’automatisation offensive (red teaming continu) commence à s’intégrer dans les plateformes, au-delà des outils isolés.

En 2025, alors que les investissements en infrastructure IA atteindront des sommets, l’acquisition de SPLX illustre la volonté des clients de ne pas simplement ajouter « une nouvelle plateforme », mais de disposer d’une security IA intégrée, gouvernée depuis la plateforme qui protège déjà utilisateurs, applications et données.

Questions fréquemment posées

Qu’est-ce que SPLX et qu’apporte-t-elle concrètement à Zscaler ?
SPLX est une startup spécialisée en sécurité IA : découverte d’actifs (modèles, RAG, MCP, dépôts), red teaming automatisé avec plus de 5 000 simulations d’attaques, guardrails en exécution et gouvernance. Zscaler intégrera ces capacités comme une couche native dans Zero Trust Exchange™ pour couvrir l’intégralité du cycle—du développement à la production.

Comment fonctionne le red teaming automatisé pour l’IA, notamment en CI/CD ?
Il s’agit d’un processus continu et automatisé de tests d’attaques IA ciblées (ex : injection de prompt, jailbreak, exfiltration, abus d’agents ou de fonctions) à chaque modification de code, modèle ou infrastructure. La solution s’intègre avec CI/CD, priorise les vulnérabilités par risque et propose des remédiations en temps réel pour permettre aux équipes d’intervenir avant la mise en prod.

Que sont les guardrails d’exécution IA ?
Ce sont des contrôles dynamiques qui clasifient et gouvernent les données sensibles dans les prompts, modèles et sorties. Ils empêchent aussi les attaques entre applications IA et LLMs et limitent le champ d’action des agents et serveurs MCP. Avec SPLX, ces guardrails sont déployés en environnement de développement, avec une automatisation pour leur activation sur les actifs à risque.

Comment Zscaler et SPLX assurent-ils la gouvernance et la conformité en IA ?
Ils proposent un cadre unifié comprenant un inventaire dynamique, une évaluation des risques, des politiques par modèle/donnée/personne, des preuves d’audit et un contrôle centralisé. Cela permet d’harmoniser la sécurité, le MLOps et la conformité, tout en s’adaptant aux cadres réglementaires émergents, en évitant la mise en silo d’outils.

pour plus d’informations, voir : zscaler

Share on Pinterest Share on LinkedIn

Info Cloud

le dernier

Zscaler achète SPLX pour sécuriser tout le cycle de vie de l’IA : découverte d’actifs, évaluation automatique de la sécurité et garde-fous natifs dans Zero Trust Exchange

Trulioo présente des capacités d’identité de « nouvelle génération » pour couvrir l’ensemble du cycle de confiance numérique

Fuite du Exynos 2600 : un échantillon d’ingénierie égalise l’Apple M5 en mono-core (Geekbench 6) et atteint 4,20 GHz sur son cœur principal

Vertiv achète PurgeRite pour environ 1 milliard de dollars afin de renforcer ses services de refroidissement liquide dans les centres de données

Confluent lance Confluent Private Cloud pour apporter la simplicité du cloud aux installations sur site

SK hynix dessine la décennie de la mémoire : HBM4E aujourd’hui, HBM5 et DDR6 à partir de 2029, SSD PCIe 7.0 et UFS 6.0… et une « mémoire avec IA » pour clôturer le cycle