Zscaler avale Symmetry Systems : pendant que l'Amérique consolide, où en est la maîtrise européenne de la sécurité des données ?

# Zscaler avale Symmetry Systems : pendant que l'Amérique consolide, où en est la maîtrise européenne de la sécurité des données ?

Un rachat de plus dans la consolidation du marché US de la cybersécurité. Une acquisition supplémentaire qui mérite, pour les DSI et RSSI d'ETI européennes, bien plus qu'un simple coup d'œil dans le rétroviseur.

Zscaler vient donc d'intégrer Symmetry Systems, spécialiste de la sécurité centrée sur la donnée (*Data Security Posture Management*, DSPM). Sur le papier, c'est une extension logique : un acteur dominant du SASE (Secure Access Service Edge) qui absorbe une brique de visibilité sur les données structurées et non structurées. Dans les salles de réunion de San Jose, c'est une bonne nouvelle. Dans les DSI de Lyon, Düsseldorf ou Varsovie, c'est une question qui s'impose : nos données d'entreprise sont-elles encore pilotées depuis l'Europe, ou depuis un dashboard californien ?

Ce n'est pas une question rhétorique. C'est une question opérationnelle, et elle mérite une réponse technique sérieuse.

Ce que l'acquisition change concrètement dans l'architecture SASE/DSPM

Symmetry Systems avait construit une approche originale : cartographier automatiquement les flux de données sensibles à travers les environnements cloud hybrides, identifier les accès excessifs, et alerter sur les dérives de posture. La promesse était séduisante pour les équipes IT : moins de bruit, plus de signal sur ce qui compte vraiment — qui accède à quoi, depuis où, et avec quel niveau de risque réel.

Intégrée dans la plateforme Zscaler, cette capacité DSPM devient une couche supplémentaire d'un écosystème déjà très fermé. Et c'est là que le problème commence pour les équipes IT européennes.

L'architecture Zscaler repose sur un modèle de proxy cloud centralisé. Tout le trafic applicatif transite par les datacenters de l'éditeur avant d'atteindre sa destination. Avec l'ajout du DSPM, c'est désormais aussi la *métadonnée de la donnée* — qui y accède, quand, depuis quel contexte, avec quel niveau de classification — qui remonte vers cette infrastructure. Pour une ETI européenne manipulant des données couvertes par le RGPD, des secrets industriels ou des informations relevant de la directive NIS2, la question de la localisation de ce traitement analytique n'est pas secondaire. Elle est centrale.

Le marketing de l'acteur américain répondra que les datacenters européens de Zscaler garantissent la résidence des données. Mais résidence des données et maîtrise de la donnée sont deux notions distinctes que trop de RSSI confondent encore en 2026. Les métadonnées d'usage, les logs d'analyse comportementale, les modèles d'apprentissage nourris par le trafic de vos utilisateurs — où vivent-ils ? Qui y a accès légalement en vertu du Cloud Act américain ? Les réponses restent, au mieux, floues dans les contrats.

Trois approches, trois niveaux de maîtrise réelle pour les équipes IT

Comparons concrètement ce que cela signifie au quotidien pour une équipe IT d'ETI européenne, sur quatre critères qui comptent vraiment.

| Critère | Zscaler + Symmetry (acteur US dominant) | Approche SASE/DSPM souveraine européenne | Approche hybride open-source maîtrisée |

|---|---|---|---|

| Architecture de traitement | Proxy cloud centralisé, infrastructure US, datacenters EU disponibles mais gouvernance groupe américaine | Infrastructure opérée sur sol européen, juridiction européenne, pas d'exposition au Cloud Act | Composants déployables on-premise ou chez un hébergeur qualifié, contrôle total du flux analytique |

| Visibilité et contrôle DSPM | Tableau de bord unifié, forte automatisation, mais boîte noire sur les modèles de détection | Cartographie des données intégrée, auditabilité des règles de détection, export des logs garanti | Visibilité granulaire sur les règles, effort d'intégration élevé, expertise interne requise |

| **Intégration dans le SI quotidien** | Connecteurs natifs nombreux (M365, Salesforce, AWS…), onboarding rapide, dépendance forte à l'écosystème US | Intégration plus sélective, mais cohérence avec les outils européens et les exigences NIS2/RGPD | Intégration sur mesure, liberté totale, mais charge opérationnelle réelle sur les équipes |

| Gouvernance et audit | Certifications SOC2/ISO27001 disponibles, mais accès aux logs bruts limité contractuellement | Qualification possible ANSSI/BSI, accès complet aux logs, réversibilité documentée | Réversibilité totale, gouvernance interne, mais documentation et montée en compétence à prévoir |

*Tableau comparatif — aucun tarif inclus intentionnellement.*

Les questions qui dérangent, et que personne ne pose lors des démos

Les commerciaux de l'acteur américain sont excellents. Les démonstrations sont fluides, les dashboards impressionnants, les promesses de réduction de charge opérationnelle réelles — à court terme. Mais voici les questions que vos équipes IT devraient poser, et que les slides marketing n'abordent jamais :

1. Qui entraîne les modèles de détection — et avec quelles données ?

La DSPM intégrée par Zscaler repose sur des modèles d'apprentissage. Ces modèles s'améliorent avec le volume de données traitées. Concrètement : le comportement de vos utilisateurs, la structure de vos données sensibles, vos patterns d'accès anormaux — tout cela nourrit une intelligence collective gérée depuis les États-Unis. Est-ce que votre contrat vous garantit que vos données ne participent pas à l'entraînement global ? Lisez les clauses avant de répondre.

2. Que se passe-t-il le jour où Zscaler est lui-même compromis ?

Ce n'est pas une hypothèse d'école. Des acteurs SASE majeurs ont été ciblés par des groupes APT ces dernières années. Quand toute votre politique d'accès et votre cartographie DSPM vivent dans une plateforme tierce, votre surface d'attaque devient celle de votre fournisseur. Quelle est votre capacité de bascule en cas d'incident grave chez l'éditeur ? En combien de temps ?

3. La promesse de réduction de charge est-elle réelle sur le long terme, ou crée-t-elle une dépendance opérationnelle irréversible ?

Les équipes IT qui adoptent massivement ce type de plateforme US gagnent en efficacité initiale — c'est documenté. Elles perdent progressivement la compétence interne pour comprendre, auditer et faire évoluer leur posture de sécurité sans l'éditeur. En 2026, avec les tensions géopolitiques actuelles et l'incertitude réglementaire transatlantique, cette dépendance est un risque de continuité d'activité, pas seulement un sujet de principe.

Ce que les acteurs européens peuvent (et doivent) proposer à la place

Deux acteurs méritent l'attention sérieuse des RSSI d'ETI en Europe, sans que cela relève de la posture idéologique.

Sekoia.io (France) a construit une plateforme SOC-as-a-service dont l'architecture est pensée dès le départ pour la souveraineté : hébergement qualifié SecNumCloud, chaîne de traitement auditable, règles de détection exportables et vérifiables par le client. Ce n'est pas équivalent à une suite SASE complète, mais sur la couche analytique et détection, l'équipe IT garde une visibilité réelle sur ce qui se passe — pas seulement sur ce que l'éditeur choisit de montrer.

Tehtris (France également, mais avec une présence européenne croissante) propose une approche XDR qui intègre des capacités de détection sur les endpoints et les données sans faire transiter l'analyse hors de l'infrastructure cliente. Pour les ETI qui veulent une brique DSPM légère intégrée à leur posture de défense, c'est une piste à évaluer sérieusement — en posant les mêmes questions difficiles qu'on vient de lister.

La vérité inconfortable, c'est qu'aucun acteur européen ne propose aujourd'hui une suite aussi intégrée que Zscaler post-Symmetry. La consolidation américaine crée objectivement un écart fonctionnel. Mais cet écart doit être mis en balance avec le risque souverain réel, et non ignoré au nom du confort opérationnel à court terme.

La vraie question pour les DSI/RSSI d'ETI en 2026

Chaque nouvelle acquisition américaine dans la cybersécurité redessine un peu plus un paysage où la dépendance devient structurelle. Zscaler + Symmetry, c'est un fournisseur de plus qui devient critique — et un de moins que vous pouvez remplacer facilement.

La question n'est pas de savoir si l'acteur américain est techniquement compétent. Il l'est. La question est : jusqu'où êtes-vous prêt à déléguer la connaissance intime de votre SI à une entité dont la loyauté juridique ultime n'est pas envers vous, ni envers la réglementation européenne ?

En matière de sécurité des données, cette question n'est pas philosophique. Elle est inscrite dans le règlement NIS2, dans le RGPD, et bientôt dans les audits de vos clients grands comptes. Mieux vaut se la poser maintenant que sous contrainte.