EnforceGate vX
FR

Sécuriser l'invisible : l'angle mort du trafic chiffré

Nicolas | 8 minutes | Articles
Nick

Nicolas

PDG, Ingénieur sécurité

OSCP GXPN CCNP JNCIP-SP

Le chiffrement devait être une bonne nouvelle. Pendant une décennie, la communauté de la sécurité a poussé le web vers le « HTTPS partout » — et cela a fonctionné. Aujourd'hui, l'écrasante majorité du trafic qui quitte votre réseau est chiffrée par défaut. C'est une vraie victoire pour la confidentialité et l'intégrité des données.

C'est aussi devenu le plus grand angle mort de la sécurité en entreprise.

Le chiffrement n'est plus l'exception — c'est tout

Le basculement a été plus rapide que l'adaptation de la plupart des architectures de sécurité. Selon le Transparency Report de Google, la part du trafic web chiffré est passée d'environ 50% en 2014 à environ 95% à partir de 2020.1  En octobre 2025, l'adoption de HTTPS sur Android a dépassé 99%, rejoignant les plateformes de bureau et comblant le dernier écart notable. La réalité concrète pour toute entreprise aujourd'hui : presque chaque requête web de vos utilisateurs voyage dans un tunnel TLS.

Le point de bascule du chiffrement Part du trafic web servi en HTTPS 95% 50% 0 ~50% ~95% 99%+ 2014 2018 2020 2025

Pour la plupart des organisations, cela signifie qu'entre 85% et 95% du trafic web sortant est chiffré. Le chiffre exact dépend de la méthode de mesure, mais la tendance ne fait aucun doute. Le HTTP en clair est désormais l'erreur d'arrondi, pas la règle.

Le problème : les menaces ont emménagé avec tout le monde

Les attaquants vont là où se trouve le trafic, et le trafic est chiffré. Le même tunnel TLS qui protège une connexion légitime dissimule aussi la diffusion de maliciels, les charges de phishing, les balises de commande et contrôle (C2) et l'exfiltration de données — et il les dissimule à tout contrôle de sécurité incapable d'y regarder.

Ce qu'une passerelle voit réellement 95% 5% HTTP en clair — ≈5% (tout ce qui est réellement vu) Chiffré (HTTPS) — ≈95% (l'angle mort) ≈87% des menaces bloquées se cachent dans la part chiffrée Sans solution adaptée, une passerelle ne voit que les ≈5% en clair — et manque l'essentiel des menaces.
Sources : Google Transparency Report ; Zscaler ThreatLabz 2024 — voir les références ci-dessous.

Les chiffres sont sans appel. L'équipe ThreatLabz de Zscaler a analysé 32,1 milliards d'attaques bloquées entre octobre 2023 et septembre 2024 et a constaté que 87,2% d'entre elles transitaient par des canaux chiffrés — une hausse de 10% sur un an.2  Les maliciels représentaient à eux seuls l'essentiel de ces attaques chiffrées. Le rapport Internet Security Report Q1 2025 de WatchGuard aboutit à la même conclusion sous un autre angle : 71% des maliciels arrivent désormais par des connexions chiffrées.3 

Mettez ces deux faits côte à côte et la conclusion s'impose d'elle-même. Si environ 95% de votre trafic est chiffré et qu'environ 87% des menaces se cachent dans le chiffrement, alors une passerelle de sécurité qui n'inspecte que ce qu'elle peut lire en clair surveille les mauvais 5%.

Tout trafic HTTPS qui ne fait pas l'objet d'une inspection en ligne est un angle mort que les attaquants exploitent activement. Le filtrage d'URL, les contrôles par catégorie, les flux de renseignement sur les menaces et les politiques d'usage acceptable se réduisent tous à des conjectures dès lors que la charge utile est chiffrée et que la passerelle ne voit qu'un nom de domaine — et, de plus en plus souvent, même pas ce nom de domaine.

La visibilité est une décision de politique, pas un réglage par défaut

Voici la partie inconfortable : la plupart des organisations le savent et n'inspectent toujours pas. Les raisons sont réelles et méritent d'être nommées honnêtement.

Le déchiffrement a un coût. L'inspection TLS est coûteuse en calcul, et de nombreux équipements hérités ne savent tout simplement pas déchiffrer à débit nominal ; les équipes la désactivent donc pour préserver le débit. Résultat : un contrôle de sécurité qui existe sur le papier mais n'inspecte qu'une fraction de ce qui le traverse.

Le déchiffrement a des conséquences. Rompre puis rétablir le TLS implique de terminer les sessions, de gérer une autorité de certification interne et de composer avec les applications qui utilisent l'épinglage de certificat. C'est un engagement opérationnel, pas une case à cocher.

Le déchiffrement a des règles. Le droit d'inspecter le trafic des employés dépend de votre juridiction et de l'information que vous fournissez ou du consentement que vous obtenez. C'est une question de gouvernance que les équipes de sécurité ne peuvent trancher seules.

Aucune de ces raisons ne justifie de rester aveugle. Ce sont des raisons de traiter l'inspection comme une politique délibérée et ajustable — appliquée là où elle compte, restreinte là où elle ne compte pas, et correctement gouvernée de bout en bout.

Ce qu'exige une visibilité réelle

Une passerelle web qui gère efficacement le trafic chiffré a besoin de trois choses.

D'abord, une inspection graduée — la capacité de choisir la profondeur d'analyse, par déploiement et par politique. Certains flux ne justifient que la lecture du SNI  pour appliquer un verdict sur le nom de domaine. D'autres justifient un déchiffrement complet. D'autres encore — la banque, la santé, tout ce qui est juridiquement sensible — ne devraient jamais être déchiffrés. Un simple interrupteur marche/arrêt impose un mauvais compromis ; un modèle à modes distincts permet d'ajuster l'examen au risque.

Inspection TLS graduée — ajuster l'examen au risque Tunnel TLS Off Aucune inspection Aucune visibilité Peek Lit le SNI / nom de domaine Charge utile scellée Bump Déchiffrement complet Verdict charge utile EnforceGate vX expose précisément ces trois modes — réglables par politique, pour garder les catégories sensibles privées.

Ensuite, des verdicts sur les requêtes chiffrées, pas seulement sur les connexions. Autoriser ou bloquer par URI, nom de domaine, SNI, user-agent et identité du client — avant que la requête ne quitte le réseau — c'est ce qui transforme « nous chiffrons tout » en « nous contrôlons tout ».

Enfin, une inspection qui vous appartient réellement. Si déchiffrer le trafic impose de le faire transiter par le cloud d'un fournisseur, vous avez résolu un problème de visibilité en créant un problème de résidence des données et de confiance. Avec les passerelles livrées depuis le cloud — le modèle vendu par des fournisseurs comme Fortinet et Palo Alto Networks — votre trafic déchiffré, qui contient régulièrement des données personnelles d'employés et de clients, est traité dans le cloud du fournisseur ; selon l'emplacement de ce cloud, cela peut à soi seul créer un risque juridique et de protection des données au regard de régimes comme le RGPD de l'UE ou la LPD suisse. Une inspection réalisée à l'intérieur de votre propre périmètre — où les données, les journaux et le trafic déchiffré ne quittent jamais votre infrastructure — est la seule version défendable devant un délégué à la protection des données, un auditeur ou un régulateur.

Où a lieu le déchiffrement ? Votre périmètre — auto-hébergé Passerelle Données Journaux Données, journaux et trafic ne sortent jamais. Backhaul cloud Votre trafic Cloud fournisseur Les données déchiffrées quittent votre contrôle.
EnforceGate vX
Accès Anticipé

C'est précisément ce pour quoi nous avons conçu EnforceGate vX

Une passerelle web sécurisée auto-hébergée, avec inspection SSL/TLS à profondeur réglable, filtrage d'URL et contrôle d'accès basé sur l'identité. Tout s'exécute sur votre site : votre trafic, vos données et vos politiques ne quittent jamais votre propre infrastructure — aucun backhaul vers le cloud, et rien n'est envoyé à un fournisseur pour être inspecté. Le filtrage d'URL s'effectue aussi localement : aucune requête vers le cloud ne peut échouer — ni problème de routage transitoire, ni panne du cloud, ni fenêtre de maintenance ne peut interrompre le filtrage ou laisser passer du trafic en douce.

Et elle rend l'inspection abordable. EnforceGate vX fonctionne sur du matériel courant, grand public, et passe à l'échelle horizontalement — généralement 4 à 5× moins cher que les équipements de filtrage d'URL traditionnels, sans le plafond de débit qui pousse les équipes à désactiver l'inspection.

Découvrir EnforceGate vX

En résumé

Le web a gagné le débat sur le chiffrement, et c'était la bonne issue. Mais « chiffré » et « de confiance » ne sont pas synonymes. Quand 95% de votre trafic est opaque et que 87% des menaces se cachent dans cette opacité, la visibilité sur le trafic chiffré cesse d'être une fonctionnalité avancée pour devenir l'exigence de base pour faire de la sécurité tout court.

On ne peut pas filtrer ce qu'on ne peut pas lire. On ne peut pas bloquer ce qu'on ne peut pas voir. Et on ne peut pas prétendre sécuriser un réseau où l'écrasante majorité du trafic passe sans être examinée.

La question, pour toute équipe de sécurité, n'est pas de savoir s'il faut inspecter le trafic chiffré. C'est de savoir si elle peut le faire à l'échelle, selon ses propres termes, et sans confier ses données à quelqu'un d'autre pour le faire à sa place.

Découvrez comment EnforceGate vX comble cet angle mort

Sources

  1. Google, Transparency Report — chiffrement HTTPS sur le web. transparencyreport.google.com
  2. Zscaler ThreatLabz, Encrypted Attacks Report 2024 (32,1 Md d'attaques bloquées, oct. 2023–sept. 2024). zscaler.com/threatlabz
  3. WatchGuard, Internet Security Report — Q1 2025. watchguard.com