Lors du Zenith Live 2026 qui s’est tenu les 16 et 17 juin à Vienne, Zscaler a mis en évidence une réalité que les DSI et RSSI d’Asie du Sud-Est perçoivent déjà : les agents d’IA deviennent rapidement des travailleurs numériques au sein de leurs organisations, tandis que les régulateurs renforcent les règles de résidence des données et que les attaques de la chaîne d’approvisionnement se rapprochent des opérations principales de l’entreprise.
La solution de Zscaler consiste à étendre sa plateforme Zero Trust Exchange et SASE au-delà des utilisateurs et des charges de travail aux agents d’IA, aux appareils non gérés, aux charges de travail multi-cloud et aux partenaires B2B, positionnant ainsi efficacement le Zero Trust comme plan de contrôle pour l’adoption sécurisée de l’IA sur des marchés hautement connectés et hautement réglementés comme l’Asie du Sud-Est.
À mon avis, trois évolutions se démarquent pour les organisations d’Asie du Sud-Est au niveau de l’IA :
1. Un courtier IA doté d’un registre d’agents qui régit la manière dont les agents IA communiquent avec les données, les applications et les autres agents, inspectant les invites et les réponses et appliquant le moindre privilège en temps réel. À mon avis, cela est essentiel dans les secteurs confrontés à des règles strictes de traitement des données dans plusieurs juridictions.
2. Endpoint AI Security qui expose les outils d’IA locaux, les extensions de navigateur et les plugins risqués qui prolifèrent sur les points de terminaison parmi les effectifs distribués et les écosystèmes d’entrepreneurs courants en Asie du Sud-Est.
3. Un AI Access Graph et AI Protect qui cartographient les actifs d’IA, l’utilisation des modèles et les flux de données dans le SaaS, le cloud public et sur site, soutenus par une équipe rouge, un renforcement rapide et des garde-fous pour plus de 250 applications GenAI.
La manière dont Zscaler gère la connectivité et la souveraineté transfrontalières est tout aussi importante pour la région de l’Asie du Sud-Est. Le Zero Trust B2B Exchange de l’entreprise remplace les liens VPN et MPLS de site à site par un accès aux applications contrôlé par des politiques, de sorte que les partenaires, les sous-traitants et les filiales régionales ne sont jamais assis sur le même réseau. Et ce, même si les données et les flux de travail se déplacent entre les marchés. En parallèle, son cloud est conçu pour une stricte localisation des journaux et des opérations, avec des centres de données régionaux et aucun « kill switch » externe, une conception clairement influencée par le RGPD européen et les exigences de localisation qui font désormais écho dans les régimes de données d’Asie du Sud-Est.
Sur le terrain, les témoignages de clients d’AkzoNobel et de Siemens Healthineers montrent à quoi cela ressemble lorsqu’il est appliqué de manière décisive : des branches « sombres » qui ne peuvent pas être découvertes sur Internet, une connectivité B2B basée sur la confiance zéro et une stratégie explicite pour guider l’adoption de l’IA plutôt que de l’interdire.
Pour les RSSI d’Asie du Sud-Est, voici le message pratique :
1. Construisez un inventaire en direct de l’utilisation de l’IA et du flux de donnéess au-delà des frontières avant que les régulateurs et les auditeurs n’imposent la question.
2. Cachez votre infrastructure et votre chaîne d’approvisionnement derrière confiance zérode sorte que ni les partenaires ni les agents d’IA ne peuvent transformer une seule erreur de configuration en un incident régional.
3. Considérez le zéro confiance comme votre Modèle opérationnel de l’IAet non un projet parallèle, car chaque nouvel agent IA que vous déployez fait désormais partie de votre personnel, de votre posture de conformité et de votre surface d’attaque.
Mes recommandations pour 3 priorités immédiates pour les RSSI d’Asie du Sud-Est à l’ère de l’IA
1. Recadrer le modèle de menace autour des agents, et pas seulement des utilisateurs
un. Mettez à jour les modèles de menace et les cadres de contrôle pour inclure explicitement les agents d’IA en tant qu’identités : à quoi ils peuvent accéder, quelles actions ils peuvent effectuer et comment ils sont surveillés.
b. Classez les agents par criticité et rayon d’action de la même manière que vous privilégiez les comptes humains et les applications critiques.
2. Coupez les mouvements latéraux avant de rechercher chaque vulnérabilité
un. Partez du principe que vous ne corrigerez jamais tout, concentrez-vous d’abord sur l’élimination de la visibilité et des mouvements latéraux entre les succursales, les usines et les charges de travail multicloud.
b. Utilisez la segmentation Zero Trust afin qu’une connexion d’agent, de point de terminaison ou de partenaire compromise ne puisse voir et toucher que ce que la politique autorise explicitement.
3. Opérationnaliser les garde-fous et les preuves de l’IA pour les régulateurs
un. Implémentez des contrôles compatibles avec l’IA : AI Broker, garde-fous pour les applications GenAI, traçabilité des données via des graphiques d’accès et visibilité des points finaux dans les outils d’IA.
b. Assurez-vous de pouvoir produire des preuves telles que des journaux, des politiques, un traçage, montrant comment l’accès à l’IA est régi au-delà des frontières, des partenaires et des ensembles de données réglementés.
OSC ASEAN
