Tandis que le marché de la cybersécurité entre dans l’ère de l’agentification des attaques et de l’automatisation par l’IA, Trend Micro adapte sa plateforme Vision One en cockpit de gestion continue de l’exposition. Au cœur de cette stratégie, l’agentification, la contextualisation, l’intégration des métiers et la remédiation en continu. Xavier Duros, responsable grands comptes, décrypte cette vision élargie de la cybersécurité.
Présent depuis plus de 35 ans dans l’écosystème de la cybersécurité, Trend Micro a accompagné les grandes évolutions du secteur : antivirus, détection réseau, gestion des vulnérabilités, SOC géré… Mais aujourd’hui, le groupe fait le pari de l’unification, en misant sur une vision continue, proactive et contextualisée de l’exposition au risque. Avec la plateforme Vision One et son moteur agentique Cybertron, il entend proposer aux entreprises une gouvernance de sécurité adaptée aux nouvelles logiques d’orchestration, d’IA générative et d’intégration métier. Entretien.
Trend Micro est historiquement associé à la sécurité du poste et de la messagerie. Comment expliquez-vous cette évolution vers la gestion globale de l’exposition au risque ?
Historiquement, la cybersécurité a fonctionné en silos : un produit pour le poste de travail, un autre pour le réseau, un troisième pour la messagerie… Cette approche n’est plus viable. On ne peut plus se contenter de réagir à des alertes isolées. Les surfaces d’attaque se multiplient et se déplacent : cloud, identités, microservices, agents IA… Il faut les observer, les comprendre, les corréler. C’est cette approche que nous avons formalisée dans Vision One. Elle repose sur un socle unique, agentique, contextualisé, extensible à tout l’environnement du client. La cybersécurité devient une fonction transverse, pilotée comme un actif stratégique.
Vous évoquez une approche agentique. Qu’est-ce que cela change concrètement ?
Notre moteur Cybertron n’est pas une simple surcouche d’IA. C’est un agent capable de comprendre, en langage naturel, les événements de sécurité, les logs et les signaux faibles. Il les interprète selon leur contexte métier, infrastructurel ou réglementaire. Il est intégré nativement dans Vision One, et déjà interconnecté à plus de 900 outils tiers, de Palo Alto à SentinelOne. L’objectif est d’être capable d’intégrer toute nouvelle source de sécurité en moins de trois jours, et, dès 2026, en moins de trois heures. Cette vitesse d’intégration est la condition sine qua non d’une gouvernance fluide de l’exposition.
Comment structurez-vous l’observabilité du risque au sein de Vision One ?
Nous avons structuré notre plateforme autour de plusieurs capteurs : pour les postes, la messagerie, les identités, le cloud, les fichiers, les objets connectés… Mais surtout, Vision One permet de croiser ces données avec celles d’acteurs tiers, y compris dans des environnements serverless, containers ou IoT/OT. À cela s’ajoute une capacité à analyser le comportement des identités, à prédire les chemins d’attaque, à simuler des scénarios d’intrusion. L’idée est de ne plus se contenter de collecter des alertes, mais de construire une conscience globale de l’exposition au risque.
La remédiation automatisée fait-elle partie intégrante de cette stratégie ?
Absolument. Nous avons développé des composants d’Agentic SIEM et d’Agentic SOAR qui automatisent les remédiations en fonction des scénarios. Le tout reste supervisé par un humain, mais bénéficie d’un accompagnement agentique proactif : recommandations d’action, vérification de l’impact, prédiction de l’effet d’entraînement. On sort d’un modèle d’alerte pour entrer dans un modèle de décision partagée entre humain et machine. Cela permet de réduire considérablement la fatigue des analystes et d’élever le niveau de maturité des équipes SOC.
Cette plateforme s’inscrit-elle dans une logique CTEM (Continuous Threat Exposure Management) ?
Exactement. CTEM n’est pas un acronyme de plus, c’est une méthodologie qui structure déjà les projets de nos clients : cartographie dynamique de la surface d’attaque, évaluation continue du risque, remédiation automatisée ou recommandée, et mesure d’impact métier. Vision One embarque aussi une fonction de jumeau numérique de l’infrastructure pour simuler des scénarios de crise ou des pannes. On sort de la logique de pentest ponctuel pour entrer dans une approche continue, contextualisée, intégrée.
Comment traitez-vous la dimension métier dans cette vision d’exposition au risque ?
Le pilotage de la sécurité ne peut plus être l’affaire exclusive de la DSI. Il faut parler aux métiers, comprendre leurs priorités, leurs processus, leur exposition spécifique. C’est pour cela que Vision One intègre des fonctions d’adaptation sectorielle, de gouvernance réglementaire (NIS 2, DORA…), et d’indicateurs de performance opérationnelle. On ne parle plus seulement de sécurisation, mais de pilotage. Le SOC devient un cockpit d’aide à la décision.
Quel est le rôle des partenaires et du réseau dans cette nouvelle approche ?
Nous sommes à 100 % indirects, et la montée en compétence de nos partenaires est essentielle. Cela suppose de passer d’une logique transactionnelle à une logique de trajectoire : accompagnement sur plusieurs années, intégration dans les schémas directeurs, adaptation à la maturité réelle des clients. Nos partenaires ne sont plus de simples revendeurs, ce sont des co-constructeurs de résilience. Nous structurons aussi des contrats modulables, avec crédits d’usage, pour suivre cette logique de transition progressive.
Et pour les entreprises qui développent leurs propres agents IA ?
Nous avons anticipé cette mutation. Trend Micro propose des briques de sécurisation des LLM et des agents maison, avec un moteur dédié (Cybertron open source), une analyse des prompts, des mécanismes de validation de l’intégrité et un accompagnement « security by design ». Nous intégrons également des fonctions de surveillance des comportements anormaux des agents, y compris sur les API. Le risque d’empoisonnement, de dérive, ou de compromission silencieuse est réel. Il faut des outils adaptés, mais aussi une méthodologie rigoureuse.
Comment voyez-vous l’évolution du marché d’ici 2 à 3 ans ?
La complexité va encore s’accentuer. La sophistication des attaques, la multiplicité des sources, les interactions inter-agents vont imposer une agilité organisationnelle et une maturité technique accrues. Mais cela ne doit pas pousser à l’immobilisme. La clé, c’est la progressivité. On ne construit pas une résilience en achetant un produit, mais en structurant une démarche. Et c’est précisément ce que nous apportons avec Vision One : un socle, un cadre, une vision.
