ZeroTrusted.ai SOAR : Reprenez le Contrôle de vos Données
ZeroTrusted.ai propose des solutions de sécurité pour l’intelligence artificielle, notamment un pare-feu AI, une passerelle AI et un contrôle de santé AI. Ces outils visent à offrir un contrôle et une confiance accrus dans l’IA au sein des entreprises.
Présentation de la plateforme ZeroTrusted.AI
ZeroTrusted.ai ne se contente pas de bloquer les accès. L’entreprise, basée à la fois aux États-Unis (Floride) et au Brésil, positionne son produit comme une solution complète de ZeroTrusted.ai AI SOAR (Security Orchestration, Automation, and Response). En clair, c’est une superbe tour de contrôle.
Le constat est simple et effrayant : 98% du Shadow AI (l’utilisation d’IA non approuvées par l’entreprise) passe sous les radars. La plateforme propose de s’intercaler entre vos utilisateurs et les modèles de langage (LLM) comme GPT-5, LLaMA ou Groq. Elle agit comme un intermédiaire de confiance.
Ce qui distingue cette offre sur le marché saturé de la cybersécurité, c’est son approche Bring Your Own Key (BYOK). Contrairement à des solutions qui revendent de l’IA, ZeroTrusted vous fournit l’infrastructure de sécurité, mais vous gardez la main sur vos contrats avec OpenAI ou Anthropic. C’est une nuance de taille pour la souveraineté de vos données.
La société met en avant une conformité lourde : HIPAA, PCI DSS, GDPR, NIST. On sent clairement que la cible n’est pas le blogueur du dimanche, mais bien la finance, la santé, les grandes entreprises ou encore les comptes publics.
Comment utiliser cette solution ?
L’installation de ZeroTrusted.ai varie radicalement selon que vous soyez une startup agile ou une banque paranoïaque. Pour la majorité d’entre vous, l’accès se fera en leur mode SaaS. Dans ce cas, le processus est assez simple :
- Inscription et Connexion : Vous créez un compte administrateur sur leur portail.
- Intégration des Clés (BYOK) : C’est l’étape cruciale. Vous devez entrer vos propres clés API (par exemple, votre clé OpenAI). ZeroTrusted ne fournit pas le carburant IA, mais le moteur sécurisé.
- Définition des Politiques : Vous configurez ce qu’ils appellent le Policy-as-code. Par exemple : “Interdire toute mention de numéros de sécurité sociale” ou “Bloquer les prompts liés au code source interne”.
- Déploiement : Vos utilisateurs n’accèdent plus directement à ChatGPT. Ils passent par l’interface de ZeroTrusted ou via des API sécurisées qui filtrent les demandes en temps réel.
Pour les structures plus complexes, l’option On-Premise (sur site) permet d’installer la solution via des conteneurs (Kubernetes), garantissant qu’aucune donnée ne quitte votre infrastructure physique. C’est plus lourd et plus complexe, mais c’est le prix de l’étanchéité totale.
Quelques bonnes pratiques
Voici quelques conseils pour ne pas transformer cet outil en usine à gaz :
- Commencez par un audit : Avant de tout bloquer, utilisez leur fonction de découverte pour voir ce que vos employés utilisent réellement. Vous serez surpris.
- La rédaction sélective : N’anonymisez pas tout brutalement. Configurez la rédaction (masquage de données) spécifiquement pour les PII (Données Personnelles Identifiables) et les PHI (Données de Santé). Trop de filtrage rend les réponses de l’IA incohérentes.
- Surveillez le HealthCheck : La nouvelle fonctionnalité AI HealthCheck surveille la dérive des modèles. Consultez ce tableau de bord chaque semaine. Une IA qui hallucine ou dont les performances se dégradent peut avoir des conséquences juridiques graves.
- Testez vos Jailbreaks : Utilisez le module de simulation d’attaques pour voir si vos propres règles de sécurité résistent à des prompts malveillants conçus pour contourner les protections.
Points forts et limites de la solution
Les atouts majeurs :
- Anonymisation robuste : La capacité à masquer les données sensibles (PII/PHI) avant qu’elles n’atteignent le LLM est excellente.
- Flexibilité de déploiement : Le choix entre SaaS, Cloud Privé et On-Premise couvre tous les besoins, du cabinet d’avocats au ministère.
- Agnostique : Vous n’êtes pas marié à un seul modèle. Vous pouvez basculer de GPT-5 à LLaMA selon vos besoins tout en gardant la même politique de sécurité.
- Audit : Les logs complets (“Chain of Custody”) sont un atout majeur pour les audits de conformité.
Les aspects perfectibles :
- Coût total de possession : Attention, le prix de l’abonnement ZeroTrusted s’ajoute à votre facture d’API LLM (OpenAI, etc.). La note peut vite grimper.
- Complexité initiale : Le “Policy-as-code” demande une certaine rigueur technique. Ce n’est pas du “plug and play” magique si vous voulez des règles fines.
- Latence : Ajouter une couche de sécurité et de chiffrement entre l’utilisateur et l’IA ajoute inévitablement quelques millisecondes de latence.
Et du coté des tarifs ?
| Plan | Cible | Prix Mensuel par utilisateur | Prix Annuel (par utilisateur/mois) | Caractéristiques Clés |
|---|---|---|---|---|
| Standard Plan | Startups (1-10 utilisateurs) | $9.99 | $8.33 ($99.99/an) |
|
| Team Plan | Petites équipes (11-50 utilisateurs) | $14.99 | $12.50 ($149.99/an) |
|
| Enterprise Plan | Grandes équipes | Sur devis | Sur devis |
|
| On-Premise Plan | Sécurité maximale (jusqu’à 100 users) | N/A | $2,400 / an (Total) |
|
4 alternatives à ZeroTrusted.AI
| Solution | Positionnement | Comparaison rapide |
|---|---|---|
| Lakera Guard | Sécurité des prompts | Très focalisé sur la défense contre les injections de prompts, là où ZeroTrusted vise une gouvernance plus large. |
| Credal.ai | Sécurité des données Entrerprise | Une excellente alternative pour connecter des sources de données internes de manière sécurisée aux LLMs. |
| Arthur.ai | Monitoring de modèles | Plus orienté vers l’observabilité technique et la performance des modèles que sur le pare-feu pur. |
| WhyLabs | Observabilité IA | Spécialiste de la détection de dérive des données (Data Drift), complémentaire mais moins bouclier que ZeroTrusted. |
Conclusion
En résumé, ZeroTrusted.ai répond à une angoisse très actuelle : comment ouvrir les vannes de l’IA sans noyer l’entreprise sous les risques juridiques ? Leur approche AI SOAR est cohérente et la possibilité d’installer la solution sur site est un argument massue pour les secteurs régulés. Cependant, gardez en tête que c’est une ceinture de sécurité : elle ne conduit pas la voiture à votre place. Vous devrez configurer vos clés, vos règles et payer votre carburant (tokens). Si vous manipulez des données sensibles, l’investissement de 10 à 15 dollars par mois par utilisateur est une assurance peu coûteuse face au risque d’une fuite de données majeure.
Je vous invite à tester leur version d’essai de 15 jours, ne serait-ce que pour auditer ce qui transite réellement dans vos prompts actuels.