En supprimant la tarification par terminal pour son XDR et en intégrant nativement l’automatisation SOAR dans sa plateforme, Elastic s’attaque à deux des freins budgétaires les plus persistants des équipes SOC. Ces annonces faites lors de la RSA Conference 2026 redessinent la logique de couverture pour les organisations contraintes de choisir, faute de moyens, quels actifs méritent d’être protégés.
Depuis plusieurs années, le modèle dominant de la détection et de la réponse reposait sur un paradoxe. Plus une organisation cherchait à élargir sa surface de protection, plus ses coûts progressaient proportionnellement au nombre de terminaux surveillés. Cette logique tarifaire transformait chaque décision de couverture en arbitrage budgétaire, au détriment de la posture globale. L’éditeur américain y met un terme avec la suppression de la facturation à l’appareil pour Elastic Security XDR, annoncéece 26 mars.
L’enjeu dépasse la grille tarifaire. À mesure que les attaquants exploitent l’intelligence artificielle pour accélérer la propagation des menaces, toute anfractuosité dans la couverture représente une porte d’entrée exploitable en quelques minutes. Laisser des actifs sans surveillance parce qu’ils n’entrent pas dans l’enveloppe budgétaire est un compromis souvent employé. « Les organisations ne devraient pas avoir à décider quels systèmes méritent d’être protégés, et avec l’IA qui fait évoluer radicalement le paysage des menaces, elles ne peuvent pas se le permettre. La tarification par appareil transforme la couverture en une décision budgétaire », détaille Mike Nichols, general manager of Security chez Elastic
L’automatisation SOAR intégrée nativement
La seconde annonce traite d’un problème de complexité de la pile cyber qui affecte la plupart des SOC. Jusqu’ici, les équipes devaient s’appuyer sur un SOAR autonome pour automatiser les flux d’investigation et de réponse, ajoutant la couche d’un fournisseur supplémentaire, soit des intégrations à maintenir et des surcoûts récurrents. Elastic Workflows, désormais intégré directement à Elastic Security, supprime ce recours en apportant l’automatisation au cœur même de la plateforme SIEM et XDR.
Le gain opérationnel est renseigné par un responsable SOC au sein d’une agence gouvernementale européenne, dont le témoignage est anonymisé. Son équipe traitait quotidiennement 500 alertes, consacrant trois heures à la création et à l’enrichissement manuel des dossiers. Avec Elastic Workflows, ce travail s’effectue automatiquement, libérant jusqu’à deux heures trente par jour. « Si vous n’utilisez pas l’IA pour combattre l’IA, vous êtes déjà en retard, et si vous comptez toujours sur des outils SOAR distincts, vous l’êtes encore plus », affirme Mike Nichols sans détour.
Playbooks scriptés et raisonnement par agent IA
Sur le plan architectural, Elastic Workflows permet aux analystes d’exécuter des playbooks scriptés pour des réponses cohérentes et répétables, tout en intégrant des agents d’IA capables de raisonner lors d’investigations complexes. Un même workflow associe ainsi l’automatisation scriptée et le raisonnement agentique, couvrant les cas où une investigation ne correspond à aucun schéma connu. Cette approche repose sur Agent Builder, une fonctionnalité native d’Elasticsearch conçue pour concevoir des agents d’IA personnalisés. L’accès aux alertes, aux dossiers et aux données d’investigation s’effectue directement depuis la plateforme, sans extraction ni réintégration via un outil tiers.
Elastic Workflows est disponible en version « tech preview » à la date des annonces, la disponibilité générale étant prévue ultérieurement. Elastic Security XDR, en revanche, est d’ores et déjà disponible dans le cadre d’Elastic Security sans frais par terminal. Les deux annonces s’inscrivent dans une orientation stratégique cohérente : réduire le coût total de possession tout en élevant le niveau de couverture, dans un contexte où la fragmentation des outils SOC constitue elle-même une vulnérabilité.
