Shadow AI, identités synthétiques, code généré : l’IA ouvre une nouvelle faille dans la cybersécurité. Tenable réagit en faisant l’acquisition d’une startup centrée sur cette problématique, Apex Security, afin de surveiller cette surface d’attaque jusqu’ici très invisible.

Tenable annonce son intention d’acquérir la jeune pousse israélienne Apex Security pour un montant non dévoilé mais probablement supérieur à 105 millions de dollars selon diverses sources. Cette opération, la sixième menée par l’Américain en Israël et la deuxième depuis janvier après le rachat de Vulcan Cyber, vise à étendre la plateforme Tenable One à un nouveau périmètre : le risque induit par l’intelligence artificielle.

Pourquoi Apex ?

Fondée en 2023 par les anciens officiers de l’unité de renseignement 8200 de Tsahal (l’armée Israélienne), la start-up a développé une solution capable de cartographier l’ensemble des usages d’IA (applications “shadow”, code généré, identités synthétiques) et d’en faire respecter la politique de sécurité définie par l’entreprise. « La surface d’attaque de l’IA est intimement liée au reste de l’environnement ; l’aborder au travers du prisme de l’exposition est la démarche la plus stratégique », explique Matan Derman, co-fondateur d’Apex Security pour justifier le bien-fondé de ce rachat pour Tenable.

Passer de la visibilité des risques à l’application des règles

Tenable avait déjà posé les bases en 2024 d’une évaluation de la surface d’exposition de l’IA avec son outil AI Aware. L’acquisition d’Apex Security doit venir enrichir cet outil en lui apportant une couche d’exécution. « Apex renforcera notre plateforme d’exposition en aidant les organisations à sécuriser à la fois l’IA qu’elles conçoivent et celle qu’elles consomment », résume Eric Doerr, Chief Product Officer.

Une stratégie d’achats ciblée

Depuis le rachat d’Indegy en 2019, Tenable accumule les briques complémentaires : Cymptom (2022) pour la gestion des chemins d’attaque, Ermetic (2023) pour la sécurité cloud, Eureka (2024) pour la protection des données, puis Vulcan (janvier 2025) pour l’automatisation de la remédiation. Hors d’Israël, le groupe a également acquis Alsid (Active Directory) et Accurics (IaC) en 2021. L’addition d’Apex Security confirme une logique d’expansion horizontale centrée sur l’exposition, chaque entreprise acquise répondant finalement à une faille émergente.

La pression organisationnelle pour adopter l’IA accroît la surface d’attaque plus vite que les politiques de sécurité ne s’adaptent. En ramenant l’IA dans le même cadre d’exposition que le cloud, l’OT ou l’AD, Tenable promet une gouvernance unifiée : découverte automatisée des usages, évaluation du risque, application des contrôles et, surtout, la possibilité de bloquer les dérives plutôt que de les constater a posteriori.

Si la transaction reçoit les feux verts réglementaires (ce qui paraît fort probable, d’ailleurs Tenable prévoit de la boucler dans le second semestre), les premiers connecteurs Apex intégrés à Tenable One devraient être disponibles avant la fin de l’année. Les partenaires MSSP de l’éditeur disposeront alors d’un nouvel argument pour répondre à une question devenue obsédante dans les comités exécutifs : comment concilier accélération de l’IA et la maîtrise du risque cyber qui l’accompagne ?

 

À lire également :