Pourquoi Zscaler peut être un problème pour le phishing
Les passerelles web sécurisées comme Zscaler sont un vrai pilier de la défense moderne : elles inspectent le trafic à grande échelle, bloquent les destinations malveillantes connues et appliquent la politique où que se trouve l'utilisateur. Mais s'y fier aveuglément peut devenir un problème : aucun proxy web n'arrête tout le phishing, et le considérer comme une réponse complète crée un dangereux faux sentiment de sécurité. Voici pourquoi Zscaler — comme tout proxy — peut vous exposer, et pourquoi la couche humaine reste essentielle.
Ce qu'une passerelle web sécurisée fait bien
Un proxy cloud s'insère en ligne entre les utilisateurs et Internet et apporte une réelle valeur :
- Filtrage d'URL et de catégories contre de vastes flux de threat intelligence.
- Inspection TLS pour voir dans le trafic chiffré, autrement opaque.
- Analyse inline des malwares et du contenu sur les téléchargements et les pages.
- Politique cohérente pour les utilisateurs distants comme au bureau.
Ces contrôles bloquent chaque jour un grand volume de phishing de masse. Les angles morts ci-dessous ne visent aucun éditeur en particulier — ce sont des limites structurelles qui s'appliquent à toute la catégorie.
Par où passe le phishing moderne
Domaines récents et éphémères
Les systèmes de réputation ont besoin d'historique. Un domaine enregistré il y a une heure, utilisé pour une campagne de deux heures puis abandonné, n'a aucun antécédent à signaler. Le renseignement le rattrape souvent après la fermeture de la fenêtre de campagne.
Moment du clic contre moment du scan
Un proxy évalue une page au moment où elle est demandée. Les attaquants l'exploitent avec des pages d'abord inoffensives qui servent un contenu anodin aux scanners et ne basculent vers la charge de phishing que pour les vraies victimes — via géofiltrage, vérification du referer, empreinte d'appareil et portails CAPTCHA.
IP scanner / bac à sable → page anodine « en construction »
Victime ciblée + jeton → page active de vol d'identifiants
Lacunes de l'inspection TLS
L'inspection TLS est puissante mais rarement universelle. Épinglage de certificat, exclusions de secours, appareils non gérés et BYOD, dérogations de confidentialité : une partie du trafic passe sans inspection. Le phishing qui atterrit dans une lacune d'inspection est de fait invisible pour le proxy.
Abus d'hébergements légitimes et de confiance
De plus en plus, le contenu de phishing réside sur une infrastructure qu'un proxy ne devrait pas bloquer en bloc :
- SharePoint, OneDrive, Google Docs/Drive hébergeant l'appât ou la redirection.
- Domaines Cloudflare, Azure et CDN servant de façade aux pages attaquantes.
- Redirections ouvertes sur des domaines réputés blanchissant la destination finale.
Bloquer ces plateformes purement et simplement n'est pas viable pour la plupart des organisations : les attaquants empruntent donc leur réputation.
Proxys AiTM et vol de jeton de session
Le cas le plus difficile : les kits adversary-in-the-middle relaient la vraie page de connexion en temps réel et volent le cookie de session authentifié, contournant la MFA. Le contenu est authentique, le certificat valide, et le domaine peut être tout neuf — il reste bien peu à saisir pour un contrôle par signature.
Le phishing qu'il faut le plus arrêter est précisément celui conçu pour paraître identique au trafic légitime. C'est un problème difficile pour tout filtre inline, par nature.
La défense en profondeur, pas un mur unique
Une passerelle n'est qu'une couche. La résilience vient de l'empilement de contrôles indépendants, pour qu'un raté à un niveau soit rattrapé à un autre :
- MFA résistante au phishing (FIDO2/passkeys) pour qu'un mot de passe volé ou un code relayé ne finalise aucune connexion.
- Identité et accès conditionnel liant les sessions à des appareils conformes et gérés.
- Authentification e-mail (SPF, DKIM, DMARC) pour couper l'usurpation en amont.
- Détection sur les endpoints pour ce qui franchit le réseau.
- Surveillance de la transparence des certificats et des domaines récents pour raccourcir le délai de réaction.
- Une couche humaine formée et signalante — le contrôle qui attrape l'appât inédit qu'aucun filtre n'a encore vu.
L'utilisateur qui marque un temps d'arrêt, se méfie d'un message trop urgent et le signale n'est pas un palliatif à une technologie défaillante. Dans un programme bien conçu, il est un capteur qui alimente votre SOC d'un signal qu'aucun proxy ne peut générer seul.
Comment GottaPhish aide
Aucun proxy web n'arrête tout le phishing : une passerelle comme Zscaler laisse toujours des angles morts, et la considérer comme une réponse complète crée un dangereux faux sentiment de sécurité. GottaPhish et son équipe d'experts mesurent ce que votre passerelle ne peut garantir : la capacité de vraies personnes, sur de vrais appareils, à résister au phishing qui franchit le proxy. Nos simulations autorisées reproduisent les techniques exactes qui échappent au filtrage web — camouflage « d'abord inoffensif », appâts sur hébergements de confiance et vol de session adversary-in-the-middle — en toute sécurité et avec un audit complet, tandis que nos experts vous aident à concevoir les scénarios, déployer les campagnes et interpréter les données d'exposition par utilisateur et par service. Résultat : une formation ciblée et des tableaux de bord clairs qui font de vos équipes une couche de signalement fiable, complémentaire à Zscaler plutôt que dépendante de lui.
