Le « déjà-vu » de DSPM : pourquoi nous reconstruisons le bouclier de papier de l’informatique fantôme

Par Tony Frum - Ingénieur émérite, Gestion des produits

19 mars 2026 5 Temps de lecture : 5 minutes

La gestion de la posture de sécurité des données (DSPM) reste un peu un mystère pour beaucoup de gens, moi y compris. Je me retrouve souvent à mener des discussions quelque peu théoriques sur ce qu’est, exactementest réellement le DSPM. Après de nombreux débats de ce type, j’en suis venu à cette conclusion : le DSPM, dans son essence, n’est rien d’autre qu’une solution de sécurité des données qui détecte des données que vous ne lui avez pas demandé de rechercher. Vous n’avez pas besoin de définir des classifications (qui permettent de déterminer ce qui est sensible) ni de politique (qui décrit où rechercher les données sensibles et que faire lorsque vous les trouvez). Il vous suffit de le lancer, et il détecte les données sensibles dont vous n'aviez peut-être pas connaissance, puis il répertorie tout ce qu'il trouve. C'est simple.

Je maintiens cette définition aujourd’hui, mais l’un de mes collègues, Suhaas Kodagali, l’a formulée d’une manière bien plus perspicace, et je ne cesse d’y penser. Il a déclaré : «Le DSPM, c’est encore une fois du Shadow IT», et cette affirmation m’a époustouflé. Permettez-moi de vous expliquer ce qui est en fait une blague entre nous.

Il y a une dizaine d'années, le marché Secure Web Gateway SWG) était déjà bien établi et, pour ainsi dire, dépassé.  Les solutions SWG permettent de visualiser l’ensemble de votre trafic Web, de bloquer tout ce que vous souhaitez et d’enregistrer chaque requête HTTP provenant de pratiquement n’importe quel appareil de votre environnement. Il s’agit d’une technologie puissante, généralement considérée comme absolument indispensable dans toute infrastructure de sécurité complète. Puis est apparu le marché Cloud Access Security Broker CASB), principalement lancé par Skyhigh Networks, l’une de nos sociétés ancestrales, qui a développé une solution que nous appelons encore aujourd’hui « Shadow IT ».

En quoi consiste le « Shadow IT » ? Permettez-moi de vous l'expliquer en vous posant une question. Savez-vous ce qu'est le domaine twtimg.com ? Probablement pas, mais c'est l'abréviation de « Twitter images » – l'un des nombreux domaines associés à X, anciennement Twitter. Si vous aviez vu cela dans les données de rapport d'une solution SWG, vous n'auriez probablement aucune idée de ce dont il s'agissait. Prenons un autre exemple au hasard, sanpdf.com. Si vous ne le connaissez pas, une recherche rapide sur Google vous indiquera que SanPDF est un ensemble d’outils de conversion de documents. Le domaine est clair, mais pourriez-vous répondre facilement à des questions de sécurité concernant SanPDF ? Leurs mentions légales leur donnent-elles le droit d’utiliser vos données converties à leurs propres fins ? Savez-vous s’ils stockent les données en toute sécurité ? En bref, savez-vous si vous devriez autoriser vos utilisateurs à l’utiliser ? Il y a de fortes chances que vous ne le sachiez pas. C'est là qu'intervient le Shadow IT. Il vous aide à donner du sens à vos rapports SWG et à élaborer une politique raisonnable fondée sur les risques opérationnels.

Ce qui est intéressant ici, c'est que Skyhigh Networks, en tant que fournisseur de solutions pour le « Shadow IT », ne disposait pas des capacités fondamentales pour inspecter le trafic Web ni pour bloquer quoi que ce soit. L'entreprise importait les données des journaux SWG et établissait des rapports pertinents pour vous indiquer où se situaient vos risques, ce qui vous permettait ensuite de définir une politique. Le « Shadow IT » pouvait ainsi servir de base à l'élaboration de politiques Web en vous permettant de définir certains éléments de risque jugés inacceptables, ce qui donnait lieu à la création de listes d'applications à bloquer, ainsi que de tous leurs domaines associés. Voici la chute de la blague : le Shadow IT ne pouvait pas appliquer ses propres politiques de manière autonome. Il était contraint de s’intégrer à un SWG qui pouvait, soit de développer son propre proxy. Le Shadow IT a été contraint soit de rester dépendant du SWG, soit de devenir un proxy redondant, et aucune de ces options n’était attrayante pour leurs clients.

C'est une analogie parfaite pour les solutions DSPM spécialisées d'aujourd'hui. Les fournisseurs Security Service Edge SSE) disposent désormais de toute la visibilité et de tout le contrôle nécessaires pour protéger vos données dans vos applications cloud autorisées, votre trafic Web, vos applications privées, etc. Alors, qu'est-ce que le DSPM peut vous apporter ? Le DSPM vous aide à utiliser votre technologie de sécurité des données SSE plus efficacement tout comme le Shadow IT a aidé les organisations à utiliser plus efficacement leur technologie SWG. Grâce aux portefeuilles SSE modernes, vous pouvez classer et protéger vos données avec précision, mais quoi que vous fassiez, vous vous surprendrez à vous demander : « Qu’est-ce que j’ignore ? » Vers quelles applications vos utilisateurs envoient-ils des données sensibles pour lesquelles vous n’avez pas défini de politique de prévention ? Avec quels types de données sensibles votre entreprise travaille-t-elle sans que vous ne l’ayez jamais envisagé ? Enfreignez-vous une loi dont vous ignorez totalement l’existence ? Le DSPM vise à répondre à ces questions. Il recherche tout type de données sensibles partout vous l'autorisez à effectuer des recherches. Il vous informe de ce que vous ignorez afin que vous puissiez établir une politique pour vous protéger, tout comme l'a fait le Shadow IT.

Le problème est que de nombreux fournisseurs de solutions DSPM se trouvent aujourd’hui dans la même situation que celle qu’a connue le « Shadow IT » : ils sont contraints soit de rester dépendants ou de devenir superflus. La plupart des solutions DSPM spécialisées ne sont que de simples outils de découverte qui ne protègent les données. Désormais, ces fournisseurs doivent soit s'appuyer sur des fournisseurs SSE établis pour mettre en œuvre des protections autour des données identifiées, soit développer un ensemble de fonctionnalités afin d'offrir les capacités de protection que bon nombre de leurs clients ont déjà déployées grâce à leurs investissements SSE. Leur choix semble avoir été fait, car de nombreux fournisseurs ont déjà mis en place des intégrations API avec des applications IaaS et SaaS qui font double emploi avec la partie CASB des solutions SSE établies.

Mettez-vous à la place d'une organisation qui a déployé une solution SSE robuste et qui a également investi dans un fournisseur spécialisé dans la gestion des risques liés aux données (DSPM). La solution DSPM vous a permis d'identifier où vos données sensibles sont déployées, mais vous devez utiliser la solution SSE pour protéger concrètement ce qui a été détecté. Vous disposez de deux solutions distinctes intégrées, par exemple, à Microsoft 365, et celles-ci risquent de se heurter aux limites de débit des API de Microsoft lorsque les deux outils tentent d'analyser les mêmes données. Cette approche est-elle pertinente ? Et, si vous êtes le fournisseur spécialisé en DSPM, comment résolvez-vous ce problème ? Allez-vous développer une solution à un problème qui a été résolu par le marché des CASB il y a environ dix ans ?

Je ne suis pas un expert en matière de marché, mais les similitudes entre le DSPM et le « Shadow IT » sont indéniables. Il me semble tout au moins logique de penser que le DSPM pourrait suivre la même trajectoire et finir par être intégré à la pile technologique qu’il vise à renforcer – principalement la SSE. Pourquoi les entreprises devraient-elles être contraintes de mettre en œuvre les deux un DSPM et une solution SSE pour détecter puis protéger leurs données ? Ne serait-il pas plus logique que l’approche de détection automatique du DSPM fasse partie intégrante de la pile SSE, qui est en fin de compte nécessaire pour protéger efficacement les données détectées ? Je soupçonne que le marché finira par parvenir à la même conclusion qu’il l’a fait avec le Shadow IT : la détection et l’application des règles ont leur place sur la même plateforme.

Retour à Blogs