Les architectures traditionnelles de sécurité du cloud hybride ne parviennent pas à faire face aux cybermenaces émergentes basées sur l’IA.
L’architecture utilisée pour sécuriser le cloud hybride n’a pas été conçue pour ce à quoi nous sommes confrontés aujourd’hui. Ces systèmes ont été conçus il y a dix ans pour des attaques plus lentes, menées par des humains. Ce n’est plus le cas aujourd’hui. Nous sommes entrés dans un espace où les machines attaquent les machines, où les systèmes d’IA font de la rétro-ingénierie des vulnérabilités et lancent des attaques en quelques millisecondes. Les anciens outils, conçus pour analyser les journaux toutes les quelques minutes et alerter un humain 15 minutes plus tard, n’ont aucune chance.
Les modèles de sécurité élaborés avant l’avènement de l’IA fonctionnaient parfaitement lorsque les attaquants se déplaçaient à la vitesse de l’homme. Mais l’IA n’attend pas. Elle ne se repose pas et ne se déplace certainement pas lentement. Lorsque les adversaires utilisent l’IA autonome pour scanner, exploiter et compromettre les systèmes plus rapidement que vos outils ne peuvent collecter les journaux, il n’y a pas de véritable défense. Si vous ne voyez pas les menaces en temps réel ou, mieux encore, si vous ne les prévenez pas avant qu’elles ne se manifestent, vous réagissez au lieu de vous défendre.
Voici ce que disent les chiffres. Selon l’enquête 2025 de Gigamon sur la sécurité du cloud hybride, 55 % des organisations ont subi une violation du cloud au cours de l’année écoulée. C’est 17 points de plus que l’année précédente. Et selon le rapport 2025 State of Cloud Security Report de Fortinet, alors que 82 % des entreprises exploitent des environnements hybrides ou multi-cloud, seules 36 % sont convaincues de pouvoir détecter les menaces en temps réel. Ce n’est pas de la théorie, c’est déjà le cas. L’écart entre l’exécution et la détection des menaces est devenu une responsabilité que les PDG ne peuvent ignorer.
Les environnements cloud hybrides, dans lesquels les entreprises gèrent certains services dans le cloud et d’autres sur site, ne sont pas près de disparaître. La flexibilité qu’ils offrent est trop précieuse. Mais la complexité qui rend les environnements hybrides stratégiques les expose également. Les hypothèses initiales sur lesquelles repose la sécurité du cloud ne tiennent tout simplement pas face aux menaces qui surviennent à la vitesse de la machine. Nous n’avons plus affaire à des pirates amateurs, mais à des systèmes d’apprentissage qui s’exécutent à une vitesse surhumaine. Tout système qui a besoin d’un analyste humain pour interpréter une alerte en file d’attente a déjà perdu cette bataille.
Les cyberattaques alimentées par l’IA raccourcissent considérablement les délais d’exécution et dépassent les mesures de sécurité conventionnelles.
Le rythme des cyberattaques a tellement changé que la plupart des entreprises n’ont même pas réalisé qu’elles étaient à la traîne. Les semaines qui s’écoulaient entre la découverte d’une vulnérabilité et son exploitation se mesurent aujourd’hui en heures. L’IA en est la principale raison. Elle automatise la découverte, l’exploitation et le déplacement latéral à la vitesse de la machine. C’est plus rapide que ce que peut gérer un centre d’opérations de sécurité basé sur des examens manuels et des files d’attente d’alertes.
Si vous patchez lentement, vous êtes exposé. Les adversaires d’aujourd’hui, dont beaucoup sont parrainés par des États, utilisent l’IA pour faire de la rétro-ingénierie sur les correctifs nouvellement publiés en moins de 72 heures. C’est votre fenêtre d’exploitation. Si vos systèmes ne sont pas corrigés pendant cette période, votre infrastructure devient la prochaine cible facile. Mike Riemer, SVP et Field CISO chez Ivanti, le dit clairement : « Si les entreprises n’appliquent pas de correctifs dans ce laps de temps, elles peuvent être exploitées. C’est la nouvelle réalité.
Le rapport semestriel de CrowdStrike sur la chasse aux menaces montre que les intrusions dans le cloud ont bondi de 136 % d’une année sur l’autre. Les ransomwares ont fait un bond de 126 %, rien qu’au premier trimestre 2025. Et environ 40 % de ces intrusions sont le fait d’acteurs de la menace ayant des liens avec des entités chinoises. Cette ampleur et cette rapidité ne sont pas possibles sans l’automatisation et l’IA qui font le gros du travail. L’époque des attaques manuelles en ligne de commande est révolue. Nous sommes confrontés à des campagnes automatisées fonctionnant 24 heures sur 24, 7 jours sur 7, qui se répètent plus vite que nous ne pouvons les analyser.
N’oubliez pas que la plupart des outils de détection interrogent encore les journaux toutes les cinq, dix ou quinze minutes. Ce délai donne l’avantage aux attaquants. Le temps que l’alerte apparaisse, la charge utile est exécutée, les données sont exfiltrées, les plans de contrôle sont compromis et vous êtes déjà dans l’impasse. Si l’IA est la raison pour laquelle ces attaques prennent de l’ampleur, l’IA doit également faire partie de la solution. C’est la seule façon de se défendre contre les menaces à ce niveau de précision et de rapidité.
Les entreprises qui ne parviennent pas à ajuster leurs délais d’application des correctifs et d’intervention ne se contenteront pas d’être à la traîne, elles seront victimes. Les organisations qui gagneront cette transition seront celles qui passeront d’une pensée réactive à une automatisation proactive. Car à l’ère de l’IA, le temps n’est pas une ressource, c’est une surface de menace. Accélérer l’action n’est plus facultatif. C’est le coût de la survie.
Les équipes de sécurité sont submergées par le volume d’alertes, ce qui entraîne l’épuisement des analystes et compromet la réponse aux menaces.
Les chiffres le montrent clairement. Les centres d’opérations de sécurité (SOC) se débattent sous le poids de volumes d’alertes ingérables. Un SOC moyen traite 960 alertes par jour. L’examen de chaque alerte prend environ 70 minutes. À cette échelle, les heures s’écoulent rapidement et les menaces se faufilent. Et c’est le cas. Au moins 40 % des alertes ne sont pas traitées. Le risque de violation ainsi créé est énorme.
Le coût humain est tout aussi important. Selon une étude de Tines, 71 % des analystes SOC sont épuisés et les deux tiers de leur temps sont consacrés à des tâches manuelles et répétitives. Une telle charge de travail n’est pas viable. L’attrition des analystes devient inévitable. Et sans effectif, la détection stagne. Vous ne pouvez pas mettre en place une défense moderne avec des opérateurs épuisés. Cela affecte directement les performances de votre équipe de sécurité lorsque c’est important.
Il ne s’agit pas d’un problème d’outillage. C’est un problème de conception du système. Les cadres de sécurité cloud traditionnels n’ont pas été conçus pour le type de volumes d’alertes que les attaques alimentées par l’IA génèrent aujourd’hui. Dans les environnements hybrides, où les entreprises utilisent différents outils pour AWS, Azure et les systèmes sur site, il n’y a pratiquement pas de corrélation transparente des alertes. Souvent, elle est effectuée manuellement par le personnel le plus expérimenté, si tant est qu’elle soit effectuée. Cela ralentit la réponse, manque des associations entre les événements et oblige les équipes à des cycles réactifs.
Les dirigeants doivent se rendre compte que la capacité n’est plus le problème principal, c’est la coordination qui l’est. L’afflux de données sur les menaces dans les systèmes hybrides exige un niveau d’automatisation et de triage en temps réel que la plupart des entreprises n’ont pas encore déployé. Les équipes de sécurité ne peuvent pas surpasser les vitesses d’attaque de l’IA, mais elles peuvent les traiter avec la bonne architecture automatisée. C’est là qu’il faut investir, maintenant.
Les outils traditionnels de sécurité du cloud, basés sur le Cloud, sont de plus en plus dépassés face aux cyberattaques à l’échelle de la milliseconde, menées par des machines
Les anciens outils de sécurité du cloud n’ont pas été conçus pour le temps réel. Ils dépendent de la détection par lots, en extrayant les journaux toutes les quelques minutes, en les traitant à l’aide de moteurs et en déclenchant des alertes en différé. Cette solution ne convient que si vos menaces mettent 15 minutes ou plus à s’exécuter. Ce n’est plus le cas aujourd’hui. Les attaques alimentées par l’IA se déplacent latéralement en quelques secondes, et une fois qu’un plan de contrôle est compromis, il ne faut que quelques instants pour causer de réels dommages.
Lorsque la détection est retardée ne serait-ce que d’une minute, vous êtes déjà en mode de réponse post-intrusion. Et dans les environnements hybrides complexes, il n’y a aucune garantie que vos outils de réponse s’alignent sur les systèmes. L’investigation d’un tel événement devient un exercice médico-légal au lieu d’une défense en temps réel. Il se peut même que vous ne remarquiez l’attaque que des semaines plus tard, voire jamais.
Elia Zaitsev, directeur technique de CrowdStrike, a décrit directement cette lacune : « Tous les autres sont basés sur le traitement par lots… ce n’est pas de la détection, c’est de l’archéologie ». Les outils actuels de détection et de réponse dans le cloud n’ont tout simplement pas été conçus pour fonctionner à la vitesse à laquelle les adversaires peuvent désormais se déployer. Le processus qui consiste à attendre les données, à les importer, à les traiter, puis à alerter le SOC ne protège plus rien. Il ne fait que confirmer ce qui a déjà été perdu.
Les dirigeants doivent insister auprès des fournisseurs sur cette question d’architecture. Si un pipeline de détection est ralenti par les cycles de traitement par lots, vous travaillez avec un indicateur de retard. Dans le paysage actuel des menaces basées sur l’IA, ce retard vous expose. Ce que les dirigeants d’entreprise devraient privilégier, c’est un cadre de détection en temps réel ou quasi réel qui fonctionne dans tous les environnements cloud, sans attendre le prochain intervalle d’interrogation.
Sur le plan opérationnel, le passage à la détection en temps réel n’est pas seulement une meilleure option, c’est désormais l’exigence minimale de pertinence en matière de cybersécurité. Les équipes de sécurité ne peuvent pas défendre des systèmes qu’elles ne voient pas instantanément. Les décideurs doivent auditer leurs outils actuels, poser des questions difficiles et faire pression pour obtenir des plateformes qui s’alignent sur la vitesse des attaques que nous observons actuellement. L’avenir ne pardonne pas la lenteur des systèmes ou des décisions.
La nouvelle plateforme de détection et de réponse dans le cloud de CrowdStrike illustre une évolution décisive vers une sécurité du cloud en temps réel, renforcée par l’IA.
La sécurité doit désormais fonctionner à la vitesse de l’attaque, et non plus à la vitesse de l’examen des politiques. C’est ce changement que CrowdStrike vise avec sa nouvelle plateforme de détection et de réponse dans le cloud. Ce système n’est pas basé sur le traitement par lots. Il se connecte directement à AWS EventBridge pour traiter les données d’événements au fur et à mesure qu’elles sont générées, ce qui permet d’analyser les menaces en temps réel dans les environnements cloud. Au lieu d’interroger les journaux, il surveille un flux continu, appliquant l’IA pour interpréter immédiatement l’activité et déclencher des actions suffisamment rapidement pour perturber les menaces actives.
Ce qui rend cette plateforme pertinente, c’est sa capacité à rapprocher les décisions et l’application de la loi du moment de l’intrusion. Elle ne se contente pas de détecter l’escalade des privilèges ou l’abus de jetons d’identité ; elle agit, automatiquement. Elle révoque les jetons. Elle élimine les sessions. Il neutralise les modèles CloudFormation malveillants. Il ne s’agit pas seulement d’alerter un analyste SOC, mais de combler les lacunes en matière de réponse aux incidents avant que des humains ne soient nécessaires. Le résultat est une diminution importante de la fenêtre de risque.
C’est crucial car, comme le dit Elia Zaitsev, directeur technique de CrowdStrike, « tout ce qui se nomme CNAPP et qui ne dispose pas d’une détection et d’une réponse en temps réel dans le cloud est désormais obsolète. » Et il n’exagère pas. La plateforme est capable de gérer 60 millions d’événements par seconde. L’automatisation intégrée de l’IA via Charlotte AI offre une précision de triage de 98 %, ce qui supprime plus de 40 heures de travail manuel des analystes par semaine. Cela a un impact direct sur l’efficacité de la sécurité, la fidélisation des analystes et le temps moyen de confinement, tous en faveur du défenseur.
Il s’attaque également à une faiblesse que de nombreuses plates-formes négligent encore : la protection du plan de contrôle au moment de l’exécution. Les outils CSPM vous indiquent ce qui pourrait mal tourner. Les outils CWP défendent les charges de travail. Mais ni l’un ni l’autre n’arrête traditionnellement un attaquant qui tire parti des API du cloud pour se déplacer latéralement, escalader les privilèges ou déployer des actifs malveillants. CrowdStrike comble cette lacune en offrant un contrôle unifié sur l’ensemble de la pile hybride, cloud, sur site, identité et tout ce qui se trouve entre les deux.
Les dirigeants doivent reconnaître qu’il ne s’agit pas simplement d’un nouveau produit. Il s’agit d’un réalignement des priorités : la vitesse, l’automatisation et l’intégration architecturale plutôt que les bidouillages d’intégration et les rapports post-fraude. C’est la base de référence pour l’avenir.
L’infrastructure hybride est un élément permanent
L’hypothèse selon laquelle les entreprises finiront par « finir » de passer au cloud ne tient plus. La plupart des entreprises ne se lancent pas à corps perdu dans le cloud. Elles s’adaptent en fonction des besoins de l’entreprise, de l’économie et des contraintes réglementaires. Résultat ? L’hybride est la norme et continuera de l’être. Les entreprises exécutent des charges de travail de production sur AWS, Azure et des systèmes sur site, en jouant sur les points forts de chaque environnement, et non en imposant un modèle unique.
Les stratégies de sécurité doivent refléter cette réalité opérationnelle. De nombreuses entreprises se comportent encore comme si l’hybride était un état de transition, avec des solutions disparates, des équipes cloisonnées et une visibilité limitée sur de multiples environnements. Cela crée des angles morts, et les attaquants le savent. Ils exploitent les failles dans la visibilité en sautant entre les systèmes où les défenses fonctionnent indépendamment. Sans télémétrie unifiée et corrélation en temps réel, les équipes de sécurité sont coincées dans la gestion des menaces qui dérivent entre les réseaux hors de leur contrôle.
Les chiffres le confirment. 91 % des responsables de la sécurité admettent avoir fait des compromis dans des configurations de cloud hybride, troquant généralement la visibilité contre la performance ou la commodité. Seuls 17 % d’entre eux peuvent détecter efficacement les mouvements latéraux au sein de leurs environnements. C’est une lacune énorme, et c’est le genre de choses que les adversaires exploitent pour rester des mois dans un environnement avant de déclencher un Ransomware ou une destruction de données.
Mandy Andress, CISO chez Elastic, souligne clairement le problème : « Vous ne pouvez pas sécuriser ce que vous ne pouvez pas voir ». C’est là le cœur du défi : la visibilité sur une infrastructure fragmentée, des cycles technologiques accélérés et un personnel limité. Et M. Zaitsev de CrowdStrike souligne que ce modèle hybride n’est pas une phase, mais qu’il est éternel. Les organisations ramènent les charges de travail sur site lorsque cela s’avère économiquement judicieux. Pendant ce temps, les attaquants gagnent en confiance en exploitant les incohérences entre les environnements cloud et on-prem.
Les dirigeants doivent cesser de considérer l’hybride comme un phénomène temporaire et commencer à le concevoir de manière structurelle. Cela signifie qu’il faut investir dans des plateformes qui s’intègrent nativement dans tous les environnements, avec une orchestration de la télémétrie en temps réel, des réponses automatisées et une mise en œuvre cohérente de l’identité. Les politiques doivent être cohérentes. L’application doit être instantanée. Et la détection des menaces doit être centralisée dans l’ensemble de l’infrastructure, et non répartie entre les équipes, les outils et les consoles.
L’architecture de sécurité doit évoluer pour correspondre à la manière dont les entreprises fonctionnent réellement, et non à celle qu’elles espéraient. C’est dans cette friction entre l’intention et la réalité que réside le risque. Il est temps de l’éliminer.
Le marché du CNAPP, en pleine évolution, donne la priorité à la sécurité du cloud en temps réel.
Les plateformes de sécurité cloud se restructurent rapidement. Le marché de la CNAPP (Cloud-Native Application Protection Platform) ne se limite plus à la visibilité ou à la gestion des mauvaises configurations. Il évolue vers une défense unifiée et en temps réel à travers les charges de travail, les identités, les API et les conteneurs, en particulier dans les environnements hybrides où les outils, les politiques et les équipes sont répartis sur plusieurs clouds et infrastructures sur site.
La vitesse et l’intégration sont les moteurs de cette évolution. Les responsables de la sécurité abandonnent les solutions ponctuelles fragmentées au profit de plateformes consolidées capables de prévenir, de détecter et de répondre aux menaces en quelques millisecondes. Cette fenêtre de réponse est plus importante que jamais. Les adversaires tirent parti de l’IA pour lancer des campagnes à grande échelle, traversant les environnements en quelques secondes. La fragmentation de la défense est donc un multiplicateur de risques.
CrowdStrike positionne sa plateforme de détection et de réponse en temps réel dans le cloud comme une exigence de base pour le CNAPP à l’avenir. Selon le directeur technique Elia Zaitsev, « tout ce qui se nomme CNAPP et qui ne dispose pas d’une détection et d’une réponse en temps réel dans le cloud est désormais obsolète. » Ce message est tactique, et pas seulement rhétorique. Les CNAPP traditionnels qui se concentrent uniquement sur la posture (CSPM) ou la défense des points d’extrémité (CWP) sans aborder l’exploitation du plan de contrôle ou le mouvement latéral ne peuvent pas couvrir toute la surface des menaces modernes.
Cette évolution est soutenue par la dynamique du marché. Gartner prévoit un taux de croissance annuel composé de 25,9 % pour la sécurité du cloud jusqu’en 2028. Precedence Research prévoit que le marché au sens large passera de 36 milliards de dollars en 2024 à 121 milliards de dollars en 2034. La direction est claire : la demande s’accélère pour des plateformes capables de faire converger la détection, la réponse et la remédiation, à la vitesse et à l’échelle du cloud.
Pour les environnements hybrides, cette capacité est essentielle. Les attaquants sautent délibérément d’un environnement à l’autre car ils savent que les équipes sont souvent divisées par fournisseur de cloud ou par préférence d’outil. La plupart des plateformes CNAPP n’ont pas résolu ce problème. CrowdStrike vise à combler cette lacune en prenant en charge l’application et la corrélation cohérentes entre les identités, les actifs et les charges de travail dans le cloud et sur site, ce qui rend plus difficile pour les attaquants d’échapper à la détection.
Les RSSI et les leaders technologiques doivent recadrer ce que l’on peut qualifier de sécurité « complète » du cloud. Il ne s’agit pas seulement d’un inventaire. Ce n’est pas seulement la conformité. Il s’agit de savoir à quelle vitesse vous pouvez identifier les menaces, à quel point vous pouvez réagir automatiquement et si votre architecture traite l’hybride comme un élément de premier ordre et non comme une complication à contourner.
Chaim Mazal, directeur de la sécurité chez Gigamon, résume le défi : « La cybersécurité moderne consiste à faire la différence entre un risque acceptable et un risque inacceptable ». Lorsque la vitesse des menaces augmente, la marge de latence diminue. Les investissements en matière de sécurité doivent se concentrer sur la visibilité de toutes les données en mouvement et être architecturés de manière à combler l’écart d’exécution. C’est ce qui fait passer le CNAPP d’une catégorie à une exigence critique pour l’entreprise.
En conclusion
Les menaces basées sur l’IA remodèlent le paysage de la cybersécurité plus rapidement que la plupart des dirigeants ne le réalisent. Ce qui fonctionnait auparavant, à savoir des outils basés sur des lots, des systèmes cloisonnés et des réponses à vitesse humaine, ne permet plus d’assurer la protection exigée par les environnements hybrides. La vitesse des attaques a changé. Votre architecture de sécurité doit en faire autant.
Il ne s’agit pas de courir après la prochaine tendance. Il s’agit d’aligner les investissements en matière de sécurité sur la réalité : l’hybride est permanent, les attaquants sont automatisés et les fenêtres de détection sont passées de quelques heures à quelques secondes. Vous ne pouvez pas faire évoluer les défenses au rythme d’hier et vous attendre à la stabilité de demain.
Les entreprises qui seront en tête au cours de la prochaine décennie ne seront pas celles qui disposeront des budgets de sécurité les plus importants, mais celles qui auront les architectures les plus intelligentes. Visibilité en temps réel. Action autonome. Plates-formes unifiées conçues pour la complexité moderne. C’est là que l’avantage concurrentiel se gagne aujourd’hui.
La sécurité ne peut plus se permettre d’être réactive. Elle doit être conçue pour l’avenir, et non pour ce qui est familier. Construisez pour la vitesse. Construisez pour l’intégration. Construisez pour que l’hybride soit une constante. Le reste suivra.
