Yazid Akadiri, Solution Architect chez Elastic, revient sur la montée des attaques visant les fournisseurs, la place de l’IA dans la détection et la défense proactive, et les grands enseignements du Global Threat Report 2025. Il évoque également la nouvelle solution EASE, qui s’inscrit dans la feuille de route d’Elastic autour de l’IA agentique appliquée à la cybersécurité.
SNC : Pourquoi observe-t-on une recrudescence d’attaques passant par les fournisseurs ?
Yazid Akadiri : C’est une évolution assez logique. Les entreprises se sont mieux équipées, notamment grâce à des solutions comme Elastic Security, donc les cybercriminels déplacent leurs cibles vers les fournisseurs, perçus comme le maillon faible. Ce type d’attaque permet un effet d’échelle : en compromettant un seul fournisseur, on peut toucher plusieurs entreprises clientes. C’est d’autant plus vrai que beaucoup de ces prestataires sont de petites structures, souvent moins bien protégées.
Est-ce une tendance durable ou un phénomène opportuniste ?
Y. A. : Il faut observer comment cela évolue dans le temps. Chez Elastic, grâce à la télémétrie collectée par nos agents de sécurité, on suit ces comportements pour détecter des schémas récurrents. Le monde de la cybersécurité évolue très vite : les attaquants testent, adaptent, changent de tactique. Ce qui fonctionne est répliqué. Ce qui échoue disparaît vite. Cette agilité rend la défense plus complexe.
Quels sont les secteurs les plus exposés ?
Y. A. : Aujourd’hui, tous les secteurs sont concernés. Toute entreprise est une cible potentielle. C’est pour cela qu’Elastic a conservé une approche ouverte avec sa distribution open source, afin de permettre aussi aux petites structures — qui n’ont pas toujours les moyens d’un SOC — de gagner en visibilité sur leur infrastructure. Il serait illusoire de croire qu’une taille ou un secteur protège.
Qu’est-ce qui rend un fournisseur particulièrement vulnérable ?
Y. A. : Souvent, c’est son rayonnement ou son niveau d’intégration. On l’a vu avec des attaques comme celle de Log4j en 2021 : l’impact a été massif parce que la bibliothèque Java touchée était omniprésente. Ce n’était pas une attaque « fournisseur » au sens strict, mais le principe est le même : une dépendance logicielle très utilisée devient un vecteur de propagation à grande échelle.
Pour ces acteurs, la clé est la visibilité — comprendre ce qui se passe dans leur périmètre avant même d’activer des mécanismes de détection avancés. C’est pour cela qu’Elastic associe observabilité et sécurité, car les données collectées d’un côté servent aussi à l’analyse de sécurité.
Quelles failles reviennent le plus souvent dans les investigations ?
Y. A. : Les bibliothèques logicielles et composants tiers figurent parmi les vecteurs d’attaque les plus fréquents, selon notre Global Threat Report. Les applications développées en interne s’appuient souvent sur ces librairies sans contrôle rigoureux, ce qui introduit des vulnérabilités parfois invisibles au départ.
Peut-on réellement hiérarchiser le risque fournisseur ?
Y. A. : Oui, mais cela suppose avant tout d’avoir de la visibilité sur la façon dont chaque partenaire s’intègre au SI : quels services il alimente, quelles données il manipule, quel est son impact sur le trafic ou les applications. À partir de là, on peut établir une cartographie et une hiérarchisation du risque, un peu comme on le fait avec une matrice MITRE pour le SI interne. Mais sans solution de sécurité et d’observabilité capable de centraliser ces données, cette évaluation reste très difficile.
Où se situe EASE dans la stratégie IA d’Elastic ?
Y. A. : EASE s’inscrit dans la continuité de nos travaux sur l’IA appliquée à la cybersécurité. Depuis deux ans, nous avons intégré des fonctionnalités comme Attack Discovery, qui utilise l’IA pour analyser en continu les alertes et identifier les attaques prioritaires sur lesquelles les analystes doivent se concentrer. Face à la multiplication des alertes, c’est un vrai gain de temps et de pertinence.
L’IA croise les données collectées, les contextualise et les mappe au framework MITRE ATT&CK pour proposer une vue claire de la situation.
Quand vous parlez “d’agents IA”, quelle autonomie ont-ils réellement ?
Y. A. : Aujourd’hui, nous tenons à laisser la décision finale à l’analyste. L’IA peut regrouper, interpréter et hiérarchiser les alertes, mais l’action reste humaine. La prochaine étape consistera à accroître l’autonomie de ces agents, tout en conservant un contrôle strict. L’idée n’est pas de déléguer sans supervision.
Quelles tendances ressortent du Global Threat Report 2025 ?
Y. A. : La plus inquiétante est l’utilisation croissante de l’IA à des fins malveillantes.
Cela démultiplie la capacité d’action des attaquants, qui peuvent automatiser la génération de code, d’hameçonnages ou de scripts. Face à cela, les entreprises doivent elles aussi s’équiper d’outils d’IA pour se défendre avec les mêmes armes.
Quelles sont encore les zones aveugles pour les grandes entreprises ?
Y. A. : Même les organisations bien équipées restent confrontées à un défi : la collecte complète des données produites par le SI. La surface d’attaque évolue sans cesse, notamment avec le cloud, les environnements hybrides et les API. Notre priorité, chez Elastic, est de permettre cette collecte sans contrainte, pour que les entreprises puissent enfin voir tout ce qui se passe dans leur environnement.
Comment l’IA aide-t-elle à réduire le temps de détection et de réponse ?
Y. A. : L’IA permet de contextualiser les alertes et d’en extraire automatiquement les plus pertinentes. Nos modèles s’appuient sur le moteur de recherche Elastic, capable de trier les informations et d’alimenter le modèle avec les bons signaux. Cela réduit considérablement le bruit et recentre le travail des analystes sur ce qui compte vraiment.
L’IA devient une arme offensive entre de mauvaises mains. C’est à la fois le constat le plus préoccupant et le moteur de notre innovation : utiliser cette même IA pour inverser la tendance et renforcer la défense.
Et selon vous, quelle sera la prochaine grande étape pour la cybersécurité augmentée par l’IA ?
Y. A. : Nous allons vers davantage d’autonomie des systèmes, mais une autonomie maîtrisée. Le futur, ce sont des agents capables d’agir vite, sans mettre en risque l’organisation. Trouver cet équilibre entre automatisation et contrôle humain sera, à mon avis, la grande évolution des prochaines années.
Un dernier mot ?
Y. A. : Oui : les attaques par la supply-chain touchent d’abord les petites entreprises, qui deviennent sans le vouloir la porte d’entrée des cybercriminels. Il est essentiel qu’elles puissent s’équiper de solutions accessibles, comme Elastic Security, y compris dans sa version open source, pour gagner en visibilité et en protection. C’est ainsi qu’on limitera, en cascade, le risque pour l’ensemble de l’écosystème.
