Move to cloud et essor de l’IA : la plateformisation de la cyber s’accélère

La cybersécurité reste un domaine encore extrêmement dynamique de l’IT, avec l’apparition toujours très rapide de nouvelles solutions et de nouvelles catégories d’outils à intégrer. L’essor du cloud marque un point d’inflexion : de nombreuses technologies migrent désormais vers le web, et des plateformes cyber émergent avec la promesse d’apporter rationalité et simplicité.

Comme pour tout secteur qui gagne en maturité, nous assistons aujourd’hui à une concentration du marché de la cybersécurité. Après le feuilleton de l’acquisition par Google de Wiz, spécialiste de la sécurité cloud, pour 32 Md$, Palo Alto Networks a avalé cet été CyberArk, un autre spécialiste israélien, cette fois dans le domaine de la gestion des identités, pour 25 Md$. Cette vague de consolidation permet aux géants de la cyber de tenir leurs objectifs de croissance, mais vise aussi à leur permettre de constituer des plateformes cloud intégrant un maximum de briques de protection.

Ce mouvement de plateformisation est à l’oeuvre depuis quelques années et s’est renforcé ces derniers mois. Eric Antibi, directeur technique de Palo Alto Networks, raconte : « Bien que la situation économique ne soit pas très favorable, de plus en plus de nos clients accélèrent leurs projets de plateformisation. Cela va dans le sens d’une simplification des architectures de sécurité, et évite d’avoir à déployer des dizaines de solutions qu’il est ensuite extrêmement difficile d’administrer et qui imposent de maintenir des compétences multiples. »
Le responsable reconnaît que le moteur n°1 de ces projets chez ses clients est une recherche d’économies d’échelle. « Quand on remplace six à dix solutions en place par une plateforme et quelques options, l’économie est évidente. En outre, nous sommes capables de créer une trajectoire de migration sur trois à cinq ans pour que le client n’ait pas à payer des contrats redondants. »
Le second moteur, c’est la recherche d’efficacité opérationnelle. La présence d’un data lake unique rend cette approche par la plateforme beaucoup plus efficace.

La montée en puissance du modèle SASE (Secure Access Service Edge) dans l’accès témoigne de cet essor. Ces plateformes cloud allient des solutions de passerelle web SWG, une gestion des accès réseaux ZTNA, des briques CASB et DLP. Elles sont amenées à connaître une croissance supérieure à 27 % par an entre 2025 et 2030, pour atteindre des ventes de l’ordre de 17 Md$, selon Grand View Research.

Comme les CISO pourraient être réticents à mettre la majeure partie de leur sécurité dans les mains d’un seul et même éditeur, ces plateformes doivent être ouvertes au reste de l’écosystème cyber. C’est ce que l’on appelle chez Check Point Software la stratégie « open garden » que présente Adrien Merveille, son directeur technique France : « Chaque entreprise a son propre écosystème de solutions. À travers des intégrations et des partenariats, nous allons chercher à faciliter la sécurité entre ces différentes couches d’infrastructure. Ainsi, dans l’écosystème Azure, nous avons la capacité de nous intégrer aux services délivrés par Microsoft pour appliquer les règles de sécurité sans que nos clients aient à déployer eux-mêmes un firewall. »
L’éditeur a ainsi multiplié les partenariats technologiques, il en compterait actuellement près de 250 et fait aujourd’hui évoluer son approche afin d’automatiser la réponse à incident et d’augmenter la posture de sécurité.

Cette plateformisation participe aussi à la démocratisation des offres les plus pointues. Ainsi, l’analyse de flux réseaux avec les NDR est maintenant à la portée des PME. Pascal Le Digol, country manager France chez WatchGuard, explique pourquoi : « Le NDR était jusqu’alors très peu arrivé sur ce marché de la PME. Comme d’habitude, les nouvelles technologies cyber pénètrent d’abord les grands comptes, puis redescendent progressivement auprès des petites structures. »
L’américain, qui s’est fait une spécialité de la démocratisation de ces technologies, a réalisé l’acquisition de CyGlass il y a deux ans, avec pour objectif d’intégrer son NDR dans un package cyber global et proposé sous forme de simple option payante.

L’IA infuse dans l’ensemble des briques de sécurité

Cette meilleure intégration des outils ouvre la voie à une plus grande automatisation des SOC (Security Operations Center), ces véritables tours de contrôle qui veillent à la sécurité des systèmes d’information. Les solutions SOAR (Security Orchestration, Automation, and Response / Orchestration, automatisation et réponse en matière de sécurité) ont montré la voie, avec la capacité pour les analystes de créer des automatisations pour la collecte et l’enrichissement des données relatives à un incident et pour appliquer des mesures de remédiation. Cette première étape avait déjà permis à la productivité des équipes de progresser, mais l’IA va occasionner une rupture encore plus nette dans les pratiques et l’organisation des SOC.

L’une des clés de l’efficacité opérationnelle évoquée par Eric Antibi réside justement dans la mise en œuvre de ces technologies pour exploiter ces données, tant pour améliorer la détection que l’analyse des incidents. L’IA a fait ses preuves dans la protection des endpoints (postes de travail et serveurs) avec la montée en puissance des EDR qui ont permis de contrer la vague de ransomwares. Le machine learning a notamment donné de bons résultats là où l’antivirus traditionnel et sa base de signatures échouait à détecter des malwares sans cesse renouvelés. « En 2025, nous avons vu une multiplication du nombre de solutions qui embarquent des IA, explique Pierre Haikal, SOC manager France chez Nomios. Les éditeurs ont commencé à les intégrer à plusieurs endroits, notamment dans les interfaces à destination des analystes SOC. On a vu naître des chats ou des copilotes auxquels on peut poser des questions avec un LLM qui répond avec le contexte de la plateforme. Ce n’est toutefois que la genèse de ce que va permettre l’IA dans l’univers de la cyber. »

C’est que le « move to cloud » des plateformes cyber a repoussé les limites en termes de capacités de stockage des gestionnaires événements (SIEM). Eric Brégand, vice president produit et R&D chez Tehtris, le souligne : « L’IA vient aider les analystes en désignant les alertes sur lesquelles ils doivent concentrer leur attention, et enrichir les incidents de toutes les données pertinentes à la compréhension. »
La nouvelle version du XDR développé par l’éditeur français adopte une approche métier, pilotée par l’IA. « Lorsque l’analyste du SOC de l’entreprise ou du MSSP se connecte à la plateforme, l’IA a déjà analysé la situation et lui présente la liste des alertes sur lesquelles il doit se pencher. La landing page de l’application lui présente les trois alertes les plus importantes à traiter et leur impact potentiel sur le SI. L’idée est de gagner en productivité, mais aussi de contrer le phénomène de fatigue qui fait que l’analyste pourrait laisser passer un incident important du fait de la masse de travail à traiter. »

Aller vers des SOC sans analyses de niveau 1 est une autre tendance forte, comme nous l’explique Éric Vedel, directeur cybersecurity products specialists chez Cisco : « L’analyste de niveau 1, dont la mission était de faire du tri de manière très répétitive et fastidieuse, va pouvoir être reconverti en niveau 2 grâce à l’action des IA. Il pourra effectuer des tâches à plus haute valeur ajoutée et c’est très bien pour lui du point de vue développement personnel. »
Le spécialiste précise aussi que si les IA apportent une assistance dans la détection et la réponse aux incidents, l’humain reste décisionnaire dans la chaîne : « L’IA peut recommander de couper l’accès réseau d’un poste car il est infecté, mais seul l’humain sait si le poste en question joue un rôle critique dans un process industriel et ne doit pas être arrêté sans prendre des précautions. »

La sécurité du cloud et des IA en question

Le cloud et les IA apportent de nouvelles solutions aux problèmes existants, mais présentent aussi leur lot de vulnérabilités. L’accroissement de la surface d’attaque induit par la mise en oeuvre d’architectures hybrides ou 100 % cloud implique de revoir la sécurité des ressources placées dans ces infrastructures ouvertes. L’exemple connu des buckets AWS en accès public dans lequel les utilisateurs stockent des données confidentielles est sans doute caricatural, mais pas aussi rare qu’il n’y paraît. Ainsi, les données d’accès aux bases de données de Ford et de Netflix ont fuité dans la nature du fait d’un bucket S3 laissé libre d’accès par l’éditeur de logiciel Attunity (Qlik).

Singularity de SentinelOne est l’exemple type de la stratégie plateforme défendue par les grands éditeurs : de multiples briques de sécurité dont les données convergent vers une plateforme unique et qui viennent alimenter une IA.

Toute une série de nouvelles solutions cyber conçues pour le cloud sont donc apparues au catalogue de start-up spécialisées, puis dans celui des grands éditeurs. La gestion de la posture de sécurité ou CSP vise ici à s’assurer que la configuration de toutes les ressources cloud de l’entreprise est bien maîtrisée et conforme aux règles établies par le RSSI. Regroupées dans la catégorie valise CNAPP (pour Cloud-Native Application Protection Platform), ces nouvelles solutions ont pour noms WAAP (Web Application and API Protection), un firewall conçu pour le cloud, CSPM (Cloud Security Posture Management) et CIEM (Cloud Infrastructure Entitlement Management) qui visent à la conformité et la configuration des ressources cloud, DSPM (Data Security Posture Management) et CWPP (Cloud Workload Protection Platform) pour la détection des comportements anormaux en production.

Le potentiel de développement de ces solutions est considérable. « Notre mission est de sécuriser tout ce que les clients conçoivent et déploient dans le cloud, de façon claire, simple et intuitive », résume Geoffrey de Seroux, regional vice president pour la France du spécialiste du CNAPP Wiz, dont Google s’est donc emparé en mars dernier.
La plateforme Wiz se compose de trois modules : Wiz Cloud, l’offre « historique » de la start-up qui apporte la visibilité sur l’ensemble des ressources cloud (le CSPM), Wiz Code pour les développeurs d’applications dans une optique shift-left de la sécurité vers les développeurs, et Wiz Defend, son CWPP. « Depuis cinq ans, nous accompagnons des entreprises de toutes tailles, de tout secteur d’activité, et ce qui est frappant, c’est que nous suivons des clients qui présentent tous les stades de maturité dans le cloud. »

La protection cloud est le terrain de jeu de nombreux acteurs. C’est le cas de Netskope, avec un focus sur la donnée. Ray Canzanese, directeur des threat labs de l’éditeur, en résume la stratégie : « Nous délivrons une plateforme pour sécuriser les données, les ressources web, cloud, IA. L’entreprise fait passer par nous l’ensemble de son trafic et nous assurons le monitoring de ses flux afin de repérer toute fuite de données, les menaces. Nous surveillons l’ensemble des données stockées, que celles-ci soient dans le cloud et même on-premise. »
Sa plateforme repère tout usage inhabituel, par exemple un utilisateur qui commence à télécharger de gros volumes de données en dehors de l’entreprise. « La plateforme voit toutes les données où qu’elles se situent et repère ces menaces intérieures et externes, et tout ce qui peut faire peser un risque sur les données. »

L’IA : un nouveau workload avec des risques très spécifiques

Les nouveaux risques arrivent aussi avec l’IA. Les infrastructures des LLM sont bien souvent à base de conteneurs logiciels et d’appels à des API externes et doivent être sécurisées en tant que telles, mais les modèles euxmêmes présentent des vulnérabilités très spécifiques. Bernard Montel, directeur technique EMEA de Tenable, s’en inquiète : « Notre dernière étude Cloud Risk Report montre que si les projets d’IA vont très très vite, la sécurité ne suit pas. 70 % des services d’IA qui tournent chez nos clients présentent des vulnérabilités critiques, contre 50 % en moyenne pour les applications “classiques”. Nous travaillons sur ces nouveaux risques d’exposition amenés par l’IA car nos chercheurs comme nos clients pointent le besoin de solutions pour adresser ce problème. »

Un modèle peut notamment être utilisé par un attaquant pour organiser une fuite de données, peut être manipulé pour nuire à l’entreprise par une prompt injection, l’attaque contre les IA sans doute la plus connue. Les chercheurs ont déjà créé de multiples outils open source pour tester leurs créations, et les éditeurs s’intéressent de près à ce nouveau marché. Palo Alto a tiré le premier avec Prisma AIRS, une plateforme totalement dédiée à tous les aspects de la sécurité des IA. Nul doute que tous les autres majors de la cyber vont rapidement lui emboîter le pas.

---

Témoin : Pierre de Neve, responsable des ventes secteur public et leader de la sécurité du cloud hybride chez Trend Micro

Le CNAPP vérifie la mise en oeuvre des meilleures pratiques définies par l’OWASP Foundation

« Le CNAPP (Cloud-Native Application Protection Platform) propose une solution globale pour la protection du cloud. Il s’agit de sécuriser les conteneurs, la consommation de services et de micro-services, avec lesquels on ne maîtrise pas la plateforme sous-jacente. L’approche peut être assez traditionnelle, avec une protection des workloads assurée via les intégrations avec AWS, Azure, GCP et Alibaba. Ou passer par le CSPM (Cloud Security Posture Management) qui s’attache à donner de la visibilité sur les ressources cloud. Il s’agit alors de s’assurer de la bonne configuration de tous les services mis en oeuvre dans l’architecture par rapport aux meilleures pratiques définies par l’OWASP Foundation. »

---

À LIRE AUSSI :

Secu

Anticiper et innover pour ne plus subir, le Graal de la cybersécurité

François Jeanne

24 Nov