Quand le « mur » cesse de fonctionner : ce que l’architecture « post-forteresse » peut apporter à l’expérience utilisateur en matière de cybersécurité

July 7, 2026
7/7/2026
Padraig Mannion
Directeur de l'UX
Quand le « mur » cesse de fonctionner : ce que l’architecture « post-forteresse » peut apporter à l’expérience utilisateur en matière de cybersécurité

Les forts en étoile représentaient autrefois le summum de l'ingénierie défensive.

Leurs bastions en angle, leur profil bas et leurs champs de tir qui se chevauchaient n’avaient rien de décoratif. Ils constituaient une réponse précise à l’évolution des capacités des assaillants. Les châteaux du début du Moyen Âge misaient sur la hauteur et la masse, mais l’artillerie à poudre rendait les hauts remparts vulnérables. La forteresse en étoile s’est adaptée en modifiant la géométrie de la défense. Elle a éliminé les angles morts. Elle a permis aux défenseurs de couvrir la base des remparts adjacents. Elle a rendu le périmètre actif.

Pendant un certain temps, ce fort en étoile n'était pas seulement beau. Il était parfait.

Mais toute architecture défensive n'est valable que face à un attaquant bien précis.

À mesure que l'artillerie se perfectionnait, les principes sur lesquels reposaient les fortifications fixes ont commencé à perdre de leur validité. Les canons rayés ont permis d'augmenter la portée, la précision et la puissance de destruction. En 1862, au fort Pulaski, l'artillerie rayée de l'Union a percé les murs de maçonnerie depuis une distance que les défenseurs jugeaient sûre ; le Service des parcs nationaux des États-Unis décrit cet événement comme ayant rendu les forts en maçonnerie obsolètes.  

La leçon à en tirer n'était pas que la défense n'avait plus d'importance. La leçon était que le mur ne pouvait plus être la seule solution.

À la fin du XIXe siècle, la conception des fortifications mettait de plus en plus l'accent sur la dissimulation, la répartition des positions, les ouvrages en terre et les positions se soutenant mutuellement, plutôt que sur des structures en maçonnerie visuellement imposantes. Historic England décrit cela comme un tournant décisif, marquant le passage de fortifications grandioses à des bastions moins imposants visuellement, où la dissimulation est devenue une priorité en matière de conception.  

C'est ainsi que nous devrions envisager aujourd'hui la conception en matière de cybersécurité.

Nous ne vivons pas l'époque de l'invention du fort en étoile. Nous entrons dans la période qui lui succède.

Le périmètre du réseau n'est plus la solution miracle

La cybersécurité a déjà dépassé le simple cadre de la réflexion axée sur le périmètre. Zero Trust parfaitement cette évolution. Le NIST définit Zero Trust l'abandon des périmètres statiques basés sur le réseau au profit de défenses centrées sur les utilisateurs, les actifs, les ressources et les flux de travail, sans accorder de confiance implicite au seul fait qu'un élément se trouve « à l'intérieur ».  

Mais l'IA modifie le degré d'urgence.

Les cybercriminels qui exploitent l’IA n’ont pas besoin de recourir à la magie pour poser un problème majeur aux défenses. Il leur suffit de « compresser » le temps. Ils peuvent ainsi accélérer la reconnaissance, mettre en œuvre des techniques d’ingénierie sociale plus convaincantes, varier leurs voies d’attaque et traiter plus rapidement les informations volées. Le Centre national de cybersécurité britannique estime que cybercriminels déjà l’IA pour améliorer la reconnaissance, la recherche de vulnérabilités, le développement d’exploits, l’ingénierie sociale, malware et l’analyse des données exfiltrées.  

Cela modifie les spécifications techniques du défenseur.

La question, depuis toujours, était la suivante : comment empêcher les pirates d'accéder à nos systèmes ?

La nouvelle question est la suivante : comment concevoir un modèle opérationnel permettant de faire face à des attaquants qui parviennent à s'introduire dans le système, se déplacent rapidement et imposent des décisions plus vite que les humains ne peuvent rassembler manuellement les éléments de contexte ?

Ce n'est pas seulement un problème d'outillage. C'est un problème d'expérience utilisateur.

Le SOC a été conçu autour des signaux, et non autour du mouvement

De nombreux centres d'opérations de sécurité sont encore organisés autour des résultats fournis par les produits : endpoint , alertes d'identité, cloud . Chacune d'entre elles peut s'avérer utile. Mais les attaquants ne se déplacent pas au sein d'une organisation en fonction des catégories de produits. Ils se déplacent en suivant les relations.

Ils piratent un compte. Ils accèdent à un ordinateur. Ils découvrent à quoi cet ordinateur a accès.

Ce chemin, c'est le champ de bataille moderne.

Le défenseur, cependant, perçoit souvent l'attaque sous forme de fragments. Une connexion suspecte. Une endpoint . Une connexion inhabituelle. Le plus difficile n'est pas de repérer chaque signal, mais de comprendre comment ces signaux s'articulent entre eux.

C'est là que l'analogie avec le « fort en étoile » s'avère utile pour les responsables de l'expérience utilisateur. Une fois que le mur peut être franchi, le défi de conception ne porte plus sur la solidité du périmètre, mais sur la connaissance du terrain. Les défenseurs doivent comprendre les mouvements, maintenir le commandement, coordonner la réponse et réduire le délai entre l'observation et l'action.

Un tableau de bord épuré ne suffit pas s'il repose sur un modèle mental erroné.

De l'UX « forteresse » à l'UX « post-mur »

Le changement fondamental en matière d'expérience utilisateur réside dans le passage d'une conception centrée sur les événements à une conception centrée sur le mouvement.

Ce tableau est au cœur de l'argumentation.

À l'ère de l'IA, la défense ne peut plus se contenter de compter sur des humains pour relier manuellement des événements fragmentés aux mouvements des attaquants. L'expérience offerte par le produit doit prendre davantage en charge cette synthèse. Elle doit aider les défenseurs à identifier les enchaînements, les relations, le niveau de confiance, les conséquences et les mesures à prendre.

C'est là que l'UX passe de l'optimisation de l'interface à la conception du modèle opérationnel.

Le NDR en tant que modèle de visibilité de l’après-mur

Le NDR n'est pas le nouveau mur. C'est un modèle de visibilité de l'ère post-mur.

Elle part du principe que l'attaquant se trouve peut-être déjà à l'intérieur et se concentre sur les comportements observés dans l'ensemble de l'environnement de l'entreprise moderne. Cet environnement ne se limite plus au seul réseau d'entreprise. Il englobe les centres de données, les sites distants, cloud , les applications SaaS, les identités, ainsi que les actifs non gérés ou semi-gérés. Vectra AI décrit la surface d’attaque moderne comme s’étendant au réseau, aux identités et cloud, le NDR permettant de relier les signaux entre ces différents domaines plutôt que de traiter le réseau comme un périmètre unique et fixe.  

Le NDR s'apparente ainsi aux systèmes d'observation et de coordination qui ont pris de l'importance après que les fortifications fixes ont perdu leur rôle prépondérant. Lorsque le périmètre n'est plus déterminant, les défenseurs doivent comprendre les mouvements au sein de l'environnement : comment les utilisateurs, les appareils, les charges de travail et les services interagissent ; ce qui s'est écarté du comportement normal ; et où un attaquant pourrait utiliser des voies légitimes à des fins illégitimes.

Pour les responsables de l'expérience utilisateur, l'essentiel est que le NDR incarne un principe de conception plus large : montrer le mouvement, et pas seulement les événements.

Cela revêt une importance particulière dans cloud hybrides et cloud , où les voies d’attaque peuvent passer d’ endpoint une identité, d’une identité au plan cloud , ou d’une charge de travail à une autre. Vectra AI la NDR autour de la détection comportementale au sein du trafic réseau et des métadonnées, notamment les signes de mouvement latéral, d’activité de commande et de contrôle, de reconnaissance et d’exfiltration — c’est-à-dire les types de comportements qui importent une fois qu’un attaquant a contourné les contrôles de prévention.  

Une expérience SOC qui intègre le comportement du réseau cloud lié à l'identité, endpoint et cloud offre aux défenseurs de meilleures chances de comprendre ce qui se passe avant que l'impact final ne se produise. Sans cette intégration, le NDR risque de devenir une file d'attente de plus. Grâce à elle, le NDR s'inscrit dans une vision opérationnelle partagée : un moyen d'aider les analystes à suivre le parcours de l'attaquant dans un environnement moderne, et non pas simplement un signal de plus provenant d'un autre outil.

Le rôle de l'UX consiste à repenser le processus de défense

La prochaine génération d'expérience utilisateur (UX) en matière de cybersécurité doit se demander quels flux de travail sont encore adaptés à la menace.

Un analyste devrait-il devoir lire dix alertes pour comprendre un seul vecteur d'attaque ?
Un système devrait-il attendre une vérification humaine avant de prendre une mesure de confinement à faible risque ?
La portée de l'incident, le niveau de confiance et la réversibilité devraient-ils être visibles avant toute intervention ?

Il s'agit autant de questions de stratégie produit que de questions de conception.

L'IA va obliger les solutions de sécurité à définir un nouvel équilibre entre le jugement humain et l'action des machines. Si l'automatisation est insuffisante, les équipes croulent sous le volume de travail. Si elle est trop opaque, les équipes perdent confiance. Le défi en matière d'expérience utilisateur réside dans le contrôle partagé : des systèmes capables de synthétiser, de recommander, de contenir et d'expliquer ; des humains capables de piloter, de passer outre et d'exercer leur jugement.

Cela implique de concevoir des systèmes qui inspirent confiance même en situation de pression. La confiance doit être manifeste. Les preuves doivent pouvoir être vérifiées. Les actions doivent être compréhensibles. Dans la mesure du possible, les interventions doivent être réversibles.

À l'avenir, le SOC deviendra un environnement de commandement

Le SOC « post-wall » ressemblera moins à un ensemble de tableaux de bord qu'à un environnement de commande.

Non pas parce qu'il a besoin de cartes cinématiques ou de visualisations spectaculaires. Mais parce qu'il doit aider les équipes à comprendre le terrain.

Qu'est-ce qui est connecté ?
Qu'est-ce qui a changé ?
Qu'est-ce qui bouge ?

Ce sont de meilleures questions que « Combien y a-t-il d'alertes en attente ? »

La meilleure expérience utilisateur en matière de cybersécurité à l'ère de l'IA réduira la charge cognitive. Elle transformera les signaux fragmentés en voies d'attaque. Elle intégrera la prévention, la détection, la réaction et la reprise en une expérience unique. Elle rendra l'automatisation suffisamment fiable pour être utilisée, mais suffisamment contrôlée pour inspirer confiance.

Le pare-feu reste essentiel. Les périmètres, les terminaux, les identités, les réseaux et cloud restent tous essentiels.

Mais aucune d'entre elles n'est une forteresse.

Le véritable produit, c'est l'expérience qui les relie les uns aux autres.

Lorsque le mur peut être franchi, les défenseurs doivent bien connaître le terrain. Lorsque les attaquants se déplacent à la vitesse de l'IA, cette connaissance ne peut pas reposer sur une reconstitution effectuée à la vitesse humaine.

Tel est le nouveau défi en matière d'expérience utilisateur (UX) pour la cybersécurité : concevoir l'expérience de défense « post-mur ».

Pour en savoir plus, lisez l'article de Padraig Mannion, ici.

Foire aux questions