À force d’ajouter une brique à chaque nouvelle menace, la cybersécurité ressemble parfois à une salle de contrôle où tous les écrans parlent une langue différente. La plateformisation promet de reconnecter réseau, endpoint, cloud, identité et automatisation pour gagner du temps, réduire les angles morts et agir avant que l’attaque ne déroule son scénario.
Dans la plupart des grandes organisations, la cybersécurité ne s’est pas construite by design, mais par sédimentation. Un outil pour le firewall. Un autre pour le VPN. Puis un proxy, un EDR plus moderne, un CASB pour le cloud, un SOAR pour automatiser et un SIEM pour centraliser…etc. Chaque nouvelle menace, chaque nouvel usage, chaque audit déclenche l’ajout d’une brique supplémentaire.
Sur le papier, la couverture progresse.
Sur le terrain, le RSSI hérite d’un système de défense complexe, fragmenté et coûteux à opérer.
Le résultat est bien connu des équipes : une mosaïque de solutions, chacune avec sa console, ses politiques, ses identités, ses tickets, ses licences. Et surtout, une vision fragmentée des attaques. Lors de son sommet annuel l’année dernière, Gartner estimait que la plupart des grandes organisations utilisent en moyenne 43 outils de sécurité. Peu d’équipes seraient capables d’en dessiner la cartographie complète.
Le paradoxe est là : jamais les organisations n’ont autant investi en cybersécurité, et pourtant elles peinent toujours à détecter, qualifier et contenir les attaques à temps. Le problème n’est pas uniquement technologique. Il est structurel.
Les attaquants n’attaquent pas par produit, mais par scénario
Les attaques modernes sont transverses par nature. Un phishing aujourd’hui ouvre la porte à une compromission de compte, qui mène à un abus d’identité, à du mouvement latéral, puis à l’exfiltration de données. L’attaque exploite précisément ce que nos architectures ont laissé en silos. L’attaquant enchaîne les couches sans se soucier des périmètres organisationnels.
La défense, elle, reste trop souvent cloisonnée. Chaque outil voit une partie de l’attaque, rarement l’attaque dans sa globalité. Les signaux ne se parlent pas. Le SOC recolle les morceaux à posteriori, sous forme de tickets, de corrélations fragiles ou de scripts difficiles à maintenir.
Dans un monde où les attaques se déplacent vite (demain encore plus avec l’IA) et où les équipes manquent de temps, la plateformisation de la cybersécurité s’impose progressivement comme une réponse pragmatique. Ce n’est pas une mode : c’est une stratégie d’efficacité opérationnelle.
Plateformiser : un choix d’architecture et de gouvernance, pas un pari technologique
Plateformiser ne consiste pas à tout remplacer par un outil unique. Il s’agit de mutualiser ce qui doit l’être : la gestion, les identités, les politiques, la télémétrie, l’automatisation et le renseignement sur la menace.
L’objectif n’est pas l’uniformité, mais un tout actionnable efficacement.
Dans une approche en silos, la cohérence est souvent déclarative : normes, documents, conventions. Dans une plateforme, elle devient opérationnelle. Un même utilisateur, une même application ou un même niveau de risque alimente plusieurs contrôles — réseau, endpoint, accès distant, identité, application, e-mail. Une modification de politique est faite une fois, journalisée, revue, et appliquée transversalement.
Le bénéfice est immédiat : moins d’oublis, moins d’incohérences, moins d’exceptions qui finissent par devenir des angles morts.
Quand les signaux se renforcent au lieu de s’additionner
L’un des apports majeurs d’une approche plateforme est la corrélation native. Un signal n’est plus isolé dans son périmètre d’origine :
* un comportement suspect sur un poste peut déclencher une restriction réseau automatique ;
* une authentification à risque peut durcir immédiatement une politique d’accès (ZTNA ou VPN) ;
* un domaine malveillant peut enrichir simultanément le filtrage DNS/URL et le contrôle e-mail ;
* une alerte de fuite DLP/CASB dans le cloud peut ajuster les contrôles sur l’endpoint et le proxy.
On ne parle pas ici d’un SIEM enrichi, mais d’actions concrètes, déclenchées en moins d’une minute, sans scripts fragiles ni intégrations multi-API.
Pour un RSSI, c’est la différence entre piloter le risque ou le subir.
L’automatisation devient enfin industrialisable
Beaucoup d’organisations ont investi dans des playbooks SOAR pour gagner en vitesse. Beaucoup ont aussi constaté leur fragilité dans le temps : évolutions d’API, divergence des champs de logs, désalignement des identités.
Dans une plateforme, l’automatisation repose sur des modèles de données communs : inventaire partagé, mêmes tags, mêmes référentiels d’actifs et d’utilisateurs. Le triage est plus rapide, les faux positifs diminuent, la remédiation est plus fiable et journalisée.
Surtout, l’automatisation n’est plus réservée à une poignée d’experts capables de maintenir des intégrations complexes. Elle devient une capacité native, reproductible, et donc réellement exploitable à l’échelle.
Le risque de concentration existe, et il est traitable
L’objection revient systématiquement : « tous les œufs dans le même panier ». Elle est légitime. Une plateforme mal conçue augmente l’impact potentiel d’une erreur de configuration, d’une compromission du plan d’administration ou d’une panne majeure. À cela s’ajoute le risque de verrouillage fournisseur (vendor lock-in) et la tentation de « tout activer » sans maturité opérationnelle.
Mais ces risques ne sont pas une fatalité. Ils appellent une réponse d’ingénierie, pas un renoncement :
* Séparation stricte du plan de management et du plan de données avec des accès administratifs depuis des environnements durcis, segmentation stricte, et journaux d’audit centralisés et immuables.
* Mise en place des comptes de dernier recours et du RBAC avec comptes d’urgence hors SSO, ou encore MFA résistante au phishing.
* Stratégie de haute disponibilité et plan de reprise testé, documenté, reproductible
* Et surtout, portabilité des données : logs, indicateurs, inventaires et politiques doivent pouvoir être exportés et réutilisés.
La réversibilité ne se décrète pas contractuellement. Elle se conçoit, se documente et se teste.
Une question d’exploitation, pas de foi
Face à des menaces toujours plus rapides et outillées, le risque majeur n’est plus d’être trop intégré, mais d’être fragmenté, lent et difficile à opérer. Les attaquants, eux, n’ont pas de silos : ils enchaînent identité, endpoint, réseau, cloud, données.
Lorsqu’elle est menée avec méthode, la plateformisation ne supprime pas la complexité — elle la maîtrise. Elle transforme une accumulation d’outils en un système cohérent, capable d’observer, décider et agir plus vite que l’adversaire.
Ce n’est ni une posture idéologique, ni une réponse universelle. C’est un choix d’ingénierie et d’exploitation. Et pour beaucoup d’organisations, c’est aujourd’hui le choix le plus rationnel pour reprendre ce qui manque le plus en cybersécurité : du contrôle, du temps et une capacité d’action.
____________________________
Par Sébastien Viou, Stratège Cybersécurité chez Fortinet
____________________________
puis