Concevoir une plateforme de cybersécurité avec IA intégrée

Cette étude de cas couvre la deuxième phase de notre travail avec une plateforme d’atténuation des cyberrisques basée aux États-Unis (NDA) avec laquelle nous collaborons depuis juillet 2020. La première phase a fait passer le produit du prototype à un SaaS adopté par des entreprises du Fortune 500 (vous pouvez en lire plus ici). Cette phase couvre la suite : construire une IA intégrée au sein du produit en production.

Le défi

En 2025, la plateforme était un produit d’analyse mature, avec une proposition de valeur solide et une base de clients du Fortune 500. Trois problèmes sont apparus à mesure que le produit arrivait à maturité :

• Complexité apparente. La plateforme traitait des données riches sur les cyberrisques, mais leur interprétation exigeait une expertise de haut niveau. Ce schéma est courant dans des secteurs réglementés et riches en données : comptabilité, banque, finance, conformité.
   
• Faible fréquence d’utilisation. La plupart des utilisateurs n’ouvraient l’outil qu’une fois par trimestre pour produire des rapports périodiques. Le produit ne faisait pas partie de leur flux de travail quotidien.
   
• Intégration lourde. Les nouveaux clients avaient besoin d’environ 45 minutes de configuration guidée et d’une implication active du support client avant de pouvoir utiliser le produit de manière autonome.

Lorsque les interactions de type agent, à la manière de ChatGPT, sont devenues une attente du marché, le client est venu nous voir avec une directive claire : apporter ce modèle d’interaction à leur plateforme de cyberrisques. La difficulté tenait au fait que le panneau devait fonctionner pour trois utilisateurs très différents en même temps.
 

Un membre du conseil d’administration a besoin d’une capture d’écran qui se suffit à elle-même, prête à être insérée dans un rapport trimestriel. Un CFO a besoin d’un récit derrière les chiffres. Un CISO a besoin d’une profondeur conversationnelle pour examiner les données et agir. La même interface devait servir les trois. Réaliser cela signifiait bien plus que déposer un clone de ChatGPT au-dessus de la plateforme. Cela signifiait une interface unique, trois personas et un LLM étroitement intégré à leur manière de travailler.

Notre approche : Conception produit

La question produit centrale était d’introduire un LLM dans une interface classique de tableau de bord sans forcer les utilisateurs à choisir entre deux modes de travail. Nous ne voulions pas créer un autre clone de ChatGPT ni un copilote à côté de la plateforme, car ces approches laissent l’utilisateur avec deux interfaces parallèles. Nous avons choisi un hybride. L’utilisateur conserve la familiarité du cliquer-et-agir pour ce qu’il sait déjà faire, et gagne le demander-et-agir pour tout le reste. L’hybride protège la courbe d’apprentissage. Les utilisateurs sont introduits à la collaboration avec un LLM progressivement, avec des garde-fous à chaque étape, jusqu’à devenir autonomes.

Au cœur de la solution se trouve un modèle en quatre couches : une échelle qui permet aux utilisateurs de plonger dans les données à leur rythme, avec Aria présente à chaque niveau. Chaque couche répond à une question différente. Plus la couche est profonde, plus l’interaction est lente et flexible. Plus elle est haute, plus elle est rapide et déterministe. Nous avons reconstruit le panneau autour d’un principe unique : simplicité d’abord, complexité à la demande.

Couche 0 — Exécutif : Que se passe-t-il ?

La première vue après connexion, conçue pour les membres du conseil, la direction et toute personne ayant besoin d’une orientation en quelques secondes. Le haut du panneau met en avant les indicateurs d’état de cybersécurité les plus importants. C’est la vue de tableau de bord classique, disponible immédiatement, sans IA. Des boutons bleus sous chaque métrique mènent à du contenu pré‑rendu : des réponses affichées instantanément à partir des données existantes, sans appel au modèle, sans attente. C’est le niveau « capture d’écran d’abord », celui qui s’explique de lui‑même.

Couche 1 — Financier : Pourquoi cela se produit‑il ?

La couche d’investigation, où des profils comme les CFO et responsables financiers explorent le récit derrière le chiffre. Chaque métrique peut être explorée davantage via les boutons bleus (décrits ci‑dessus) ou des boutons violets qui ouvrent le chat IA intégré avec Aria. Des pastilles de prompts contextuels se trouvent à côté du champ de question ouvert. Elles ressemblent à de petits boutons violets, mais chacune embarque un prompt complexe, suggérant quoi demander en fonction de ce que l’utilisateur regarde. Les pastilles violettes sont le point d’entrée pour aller plus loin.

Couche 2 — Exécution : Faites‑le pour moi

La couche d’action, utilisée le plus souvent par les CISO et les opérateurs sécurité qui comprennent déjà le problème et ont besoin qu’Aria agisse. Les boutons cessent d’être passifs (« Afficher ») et deviennent des commandes (« Créer », « Identifier », « Préparer »). Le produit passe de l’affichage du risque à sa résolution.

Couche 3 — Question ouverte : Tout ce qui vous passe par la tête

Un champ de prompt libre, toujours disponible, fonctionnant en parallèle de l’échelle à quatre couches. Les utilisateurs qui savent exactement ce qu’ils veulent n’ont pas à parcourir chaque couche pour y parvenir. Ils ouvrent le champ et demandent.
L’échelle n’est délibérément pas linéaire. En pratique, la Couche 1 boucle sur elle‑même de nombreuses fois (explorer → explorer plus en profondeur → explorer à nouveau → et seulement ensuite agir), car chaque utilisateur a son propre rythme décisionnel et sa propre profondeur d’investigation avant d’accorder sa confiance au chiffre.

Ce que différents utilisateurs retirent de la même interface 

Pour un CISO, c’est un outil pour creuser un chiffre avec la profondeur voulue, au rythme choisi. Pour les membres du conseil, c’est une capture d’écran qui s’explique d’elle‑même. Pour un CFO, c’est un récit cohérent sans en révéler les arcanes de la méthodologie. Et tout au long, les utilisateurs n’ont pas eu à apprendre un nouveau produit pour bénéficier de l’IA. L’IA les a rejoints là où ils travaillaient déjà.

Notre approche : Architecture

Nous avons reconstruit l’environnement d’exécution autour de trois décisions d’architecture essentielles pour les déploiements en entreprise : comment l’agent raisonne, comment il reste dans les limites du client, et comment il se connecte à la pile de sécurité opérationnelle du client.
 

Orchestration et raisonnement

Aria s’exécute sur LangGraph, un framework d’orchestration d’agents stateful qui prend en charge la composition multi‑agents, une mémoire persistante multi‑tours et la diffusion en temps réel de l’exécution des outils. La couche de raisonnement utilise les modèles Claude d’Anthropic. Le choix du modèle est configurable, non architectural, de sorte que la plateforme peut changer de fournisseur sans réécriture.
 

Isolement de tenant

Les agents d’Aria travaillent avec des dizaines d’outils spécialisés : exposition au risque, cadres, gouvernance, scoring, planification, E/S de documents et tout ce que le client expose via ses propres connecteurs. Chaque outil est relié à l’utilisateur authentifié, à l’organisation et au profil au moment de sa création. Le modèle ne peut ni transmettre, ni modifier, ni voir cette identité.
 

Ceci est crucial pour les systèmes agents. L’accès cross‑tenant dans Aria n’est pas un filtre en aval qui pourrait être contourné par du prompt injection, des tentatives de jailbreak ou des instructions malveillantes intégrées dans des documents téléversés. L’agent ne peut tout simplement pas appeler des outils en dehors de son périmètre de tenant. Dans les chats à l’échelle de l’organisation, les noms d’unités opérationnelles sont également pseudonymisés avant que tout message n’atteigne le modèle et désanonymisés dans le flux de réponse, de sorte que le modèle ne voit jamais de véritables identifiants clients.

Intégrations en direct via MCP

Aria interroge la pile de sécurité opérationnelle du client, pas seulement les données de la plateforme. CrowdStrike Falcon aujourd’hui, tout outil compatible MCP demain. L’enregistrement se fait par profil, avec OAuth 2.1 pour l’authentification. Cela fait passer Aria d’un produit d’analytique autonome à une couche d’orchestration de l’ensemble des opérations de sécurité du client.
Nous étendons également Aria pour exposer ses propres outils en tant que serveur MCP, afin que Claude Desktop, Cursor ou les outils internes du client puissent récupérer les données d’Aria depuis l’endroit où l’utilisateur travaille déjà. Aria lit depuis tout outil connecté par le client et expose ses propres données aux clients MCP côté client.

Agents définis par l’administrateur

L’administrateur du client crée de nouveaux spécialistes directement depuis l’UI de l’application : nom, prompt, outils. De nouveaux agents passent en production pour toute l’organisation en quelques minutes. Cela fonctionne en parallèle des prompts que nous gérons comme voie rapide pour les besoins immédiats, afin que le client enseigne à la plateforme de nouveaux rôles au lieu d’attendre une version.

La solution

Aria est une IA embarquée native de la plateforme. Elle vit à l’intérieur de l’interface, de la marque et du périmètre d’authentification du client, avec la profondeur analytique de la plateforme d’origine derrière elle et une interface conversationnelle par‑dessus. Les utilisateurs n’ont pas à basculer vers un outil séparé pour l’utiliser.

Pour les utilisateurs, l’expérience a changé. Le produit répond désormais à leurs questions et agit dessus dans le même panneau. L’outil d’analytique qui nécessitait auparavant une interprétation experte est devenu un produit en libre‑service où l’on demande, explore et agit au même endroit. Le risque n’est plus seulement affiché. Il est traité dans le même flux de travail.

Pour le client, l’évolution du produit n’est plus contrainte par les cycles de version. L’équipe d’administration peut déployer de nouveaux agents, de nouveaux prompts et de nouveaux connecteurs vers des outils de sécurité en direct en quelques minutes, configurés directement depuis l’UI de l’application. Le client peut étendre la plateforme lui‑même au fil des besoins, sans attendre un sprint ni un déploiement.

Le changement structurel est que la plateforme fonctionne désormais comme une couche d’orchestration de la pile de sécurité du client, et non plus seulement comme un produit d’analytique. La même interface sert les rapports au conseil, les récits pour les CFO et les investigations des CISO. La même architecture permet à l’équipe d’administration du client d’étendre les capacités d’Aria et de connecter de nouveaux outils de sécurité sans intervention des équipes d’ingénierie.