Young woman selecting a product off of a store shelf.

Échapper au piège COTS

Lucas Morel

Modèles architecturaux pour l’agilité stratégique dans les systèmes de cybersécurité d’entreprise.

Au fil des années, les environnements de cybersécurité des entreprises ont accumulé un nombre impressionnant d’outils commerciaux. Les recherches du secteur convergent vers une image cohérente de la prolifération des outils, source de complexité, de coûts et de risques. Le marché mondial de la cybersécurité est évalué à environ 243 milliards de dollars en 2024 et devrait dépasser les 520 milliards de dollars par an d’ici 2026. Les logiciels commerciaux prêts à l’emploi (COTS) promettent rapidité et maturité, tout en évitant des années de développement personnalisé. Au début, tout se passe parfaitement et la décision semble justifiée.

Cependant, au fil du temps, l’organisation peut modifier ses objectifs, s’intégrer à d’autres systèmes ou même décider de s’éloigner complètement du logiciel. C’est à ce moment-là que de vrais problèmes commencent à apparaître et que les équipes réalisent soudain à quel point il est difficile d’avancer. Apporter des changements fondamentaux peut prendre du temps, remplacer les systèmes semble risqué et l’organisation est coincée dans une énigme. Ce que nous appelons le « piège COTS ».

Le coût de la dépendance aux COTS devient plus visible lorsque les organisations tentent de changer de plateforme. Les statistiques d’échec de migration soulignent la profondeur de l’enchevêtrement architectural créé par les plates-formes COTS. C’est parce que le système qui l’entoure a été conçu de telle manière qu’il est difficile d’abandonner le logiciel. La dépendance aux COTS en matière de cybersécurité est structurelle, coûteuse et de plus en plus rapide. Les organisations qui ne parviennent pas à mettre en œuvre des contre-mesures architecturales sont confrontées à des coûts croissants, à une flexibilité stratégique réduite et à une vulnérabilité croissante aux cybermenaces et aux perturbations des fournisseurs.

Qu’est-ce que COTS et pourquoi les gens l’aiment-ils ?

COTS (abréviation de logiciel commercial prêt à l’emploi) fait référence à un logiciel prêt à l’emploi généralement vendu en ligne ou dans les magasins de détail. Ils sont livrés avec des fonctionnalités préconfigurées dès la sortie de la boîte, ils nécessitent donc peu ou pas de modifications.

Les exemples incluent :

  • JE SUIS
  • GRC
  • IGA
  • Plateforme de détection des menaces

La plupart des entreprises les apprécient pour les raisons suivantes :

  • Ils « travaillent » déjà.
  • Ils se déploient facilement et rapidement.
  • Dépenses à long terme réduites comme promis par les fournisseurs.

En un coup d’œil, ces avantages sont convaincants. Les défis surviennent lorsque le logiciel devient plus qu’un outil et commence à façonner l’architecture elle-même.

Dynamiques émergentes : l’IA et la prochaine vague de verrouillage

L’intelligence artificielle représente à la fois la prochaine frontière des capacités de cybersécurité et le prochain vecteur de dépendance aux fournisseurs. L’étude 2024/2025 de McKinsey identifie l’IA comme susceptible d’étendre le marché total adressable de la cybersécurité à 2 000 milliards de dollars. Les plates-formes de sécurité basées sur l’IA, depuis l’analyse comportementale jusqu’à la détection automatisée des menaces en passant par le SIEM basé sur l’IA, créent de nouvelles formes de dépendance COTS. Les modèles d’IA sont formés sur des ensembles de données propriétaires, utilisent des flux de renseignements sur les menaces spécifiques au fournisseur (62 % des déploiements d’entreprise intègrent des renseignements sur les menaces qui consomment 2,4 milliards d’indicateurs de compromission quotidiens) et nécessitent une infrastructure de calcul spécialisée. L’investissement dans des modèles de détection basés sur l’IA crée une nouvelle catégorie de coûts de changement : recyclage des modèles, rétablissement des lignes de base comportementales et perte de renseignements sur les menaces institutionnelles. Les organisations qui adoptent des plates-formes de sécurité natives d’IA courent le risque que leur efficacité de détection des menaces soit liée aux données de formation du modèle et à l’approche algorithmique d’un fournisseur unique.

Comment la dépendance vis-à-vis du fournisseur se forme dans les architectures de sécurité d’entreprise

La dépendance envers un fournisseur se produit rarement du jour au lendemain. Au lieu de cela, cela émerge progressivement à mesure que les décisions techniques et commerciales s’accumulent. Comment?

Logique métier intégrée

Après avoir utilisé le logiciel pendant un certain temps, l’entreprise se sent à l’aise et des règles importantes telles que la logique de tarification et les validations finissent par être enfouies dans le logiciel. Avec le temps, l’entreprise perd progressivement le contrôle direct de sa propre logique.

Flux de travail façonnés par le fournisseur

« C’est ainsi que fonctionne le système » est rapidement devenu une excuse pour la plupart des entreprises pour modifier les flux de travail afin de correspondre aux limites du logiciel. Cela signifie que de nombreux processus seront soit simplifiés, soit déformés, soit même jugés « assez bons », simplement parce que les modifier semble trop difficile.

Personnalisation native de la plateforme

Lorsque des modifications sont nécessaires, les équipes ajoutent généralement des scripts, des configurations et des extensions personnalisés pour garantir une meilleure adaptation du logiciel. Et même si cela peut s’avérer pratique, voire nécessaire à ce moment-là, ils sont généralement adaptés à la plate-forme de ce fournisseur particulier.

Enchevêtrement des données

En termes simples, vos données sont piégées dans des formats et des structures que seul le fournisseur comprend. Le lire devient difficile, lent et coûteux. Cela rend la progression difficile car les données tiennent l’entreprise en otage.

Des modèles architecturaux qui brisent le piège COTS

Échapper au piège COTS ne signifie pas éviter les logiciels commerciaux. Cela signifie concevoir des systèmes de manière à ce que le logiciel ne devienne jamais le point de contrôle.

Solution 1 : La couche anti-corruption

Cela signifie simplement avoir un tampon entre vos systèmes et le logiciel. Son objectif principal est de garantir que les deux ne communiquent pas directement. Il agit comme un traducteur permettant à vos systèmes de continuer à parler la langue de votre entreprise. Le système fournisseur reste un outil, et non la base architecturale de votre modèle commercial.

Solution 2 : modèle d’abstraction de processus

Ne laissez pas le logiciel dicter la manière dont vous gérerez votre entreprise. Au lieu de cela, vous devez définir votre système indépendamment du logiciel du fournisseur. Le logiciel ne doit être utilisé que pour effectuer des tâches spécifiques.

De cette façon, il vous sera beaucoup plus facile de modifier votre modèle économique sans remplacer l’intégralité du logiciel. De plus, vous pouvez également remplacer le logiciel sans affecter votre modèle économique.

Solution 3 : intégration basée sur les événements

Les intégrations point à point resserrent généralement les systèmes. L’intégration basée sur les événements évite cela en partageant des faits simples sur ce qui s’est passé, plutôt qu’en émettant des demandes directes. Cela permet aux systèmes d’agir de manière indépendante, d’évoluer à leur propre rythme et d’être remplacés sans affecter les autres.

Solution 4 : motif de figue étrangleur

Le changement de système doit toujours se faire lentement et non d’un seul coup.

  • Remplacez les petits morceaux étape par étape.
  • Permettez aux anciens et aux nouveaux systèmes de fonctionner ensemble.
  • Déplacez progressivement vos utilisateurs et vos données.

En cas de problème, il sera plus facile de s’arrêter et de revenir sur vos pas sans faire planter le système.

Solution 5 : Stratégie de souveraineté des données

Vos données les plus cruciales doivent toujours résider dans votre système sous votre contrôle. Les plateformes des fournisseurs reçoivent des copies, pas la propriété. Cela vous permettra de déplacer, d’intégrer ou même de remplacer facilement des systèmes sans perdre l’accès à vos données.

Concevoir pour la remplaçabilité : principes architecturaux

C’est là que la plupart des entreprises se trompent. Traiter le logiciel COTS comme la solution finale dès le départ. Une fois sélectionné, acheté et installé, tout le reste doit s’y adapter. La plupart des processus sont modifiés, les modèles de données étendus et l’architecture redéfinie pour s’adapter aux besoins du logiciel. Le résultat ? Le remplacer devient impensable.

Ce genre de réflexion est le véritable problème, et non le logiciel lui-même. COTS a été conçu pour améliorer la productivité et l’efficacité. Il ne s’agissait pas de définir votre structure à long terme. Dans le paysage en constante évolution d’aujourd’hui, rien n’est garanti pour rester le même. Les logiciels adaptés aujourd’hui ne seront pas toujours adaptés demain.

Par conséquent, les systèmes doivent être conçus en partant du principe que la plate-forme du fournisseur peut être remplacée à chaque fois que l’entreprise modifie ses objectifs, que le marché évolue, que les réglementations évoluent ou que les stratégies sont réécrites.

Lorsque vous l’abordez de cette manière, vous devenez flexible par défaut. Vous restez responsable de vos propres systèmes et vous ne cédez pas le contrôle aux fournisseurs. Plus important encore, vous supprimez les réécritures de dernière minute qui se produisent lorsqu’un changement est forcé.

Le but ici n’est pas de changer constamment de plateforme, mais de s’assurer que vous pouvez le faire quand vous en avez besoin. C’est ce que signifie concevoir des systèmes d’entreprise dont vous pouvez vous éloigner.

Conclusion : la flexibilité compte dans la conception architecturale

La dépendance du secteur de la cybersécurité aux COTS n’est pas un échec en matière d’approvisionnement. Il s’agit d’une caractéristique structurelle d’un marché qui connaît une croissance annuelle de 10 à 15 %, avec plus de 3 000 fournisseurs en compétition pour les budgets des entreprises. Les 212 milliards de dollars dépensés pour la cybersécurité en 2025 transiteront en grande partie par les canaux COTS, créant des dépendances coûteuses à établir, coûteuses à entretenir et extrêmement difficiles à éliminer.

L’achat du logiciel commercial le plus puissant ne garantit pas toujours le succès. Les entreprises qui réussissent sont celles dont les systèmes sont conçus pour s’adapter à tout changement de plateforme.

Cela ne signifie pas non plus que les logiciels COTS sont mauvais et que vous ne devriez pas les utiliser. Il faut plutôt savoir comment l’utiliser. La plupart des entreprises ratent leur cible en traitant ces plateformes de fournisseurs comme le fondement de l’ensemble de leur architecture, plutôt que comme ce qu’elles sont réellement : un outil et rien de plus.

Compte tenu de la confusion qui règne à ce sujet, la plupart des entreprises se retrouvent généralement coincées dans une situation sans issue simplement parce que leurs systèmes sont obligés d’imiter ce que veut la plate-forme du fournisseur, et non l’inverse.

Pour tirer le meilleur parti de tout logiciel COTS, des limites claires doivent être définies et une forte propriété de domaine établie. Car, en fin de compte, une bonne architecture ne consiste pas seulement à choisir la meilleure plateforme. Il s’agit plutôt de s’assurer que le choix que vous faites aujourd’hui ne limite pas vos options plus tard.

La flexibilité est très importante dans la conception architecturale de tout système d’entreprise. Il garantit que l’organisation reste fonctionnelle et survit à tout changement imprévu. C’est cette liberté qui permet aux entreprises de tirer le meilleur parti de ces plateformes. Les organisations qui conçoivent l’indépendance stratégique dès le premier jour transforment la dépendance COTS d’un piège à un outil, tirant parti des plates-formes commerciales pour leurs atouts tout en conservant la flexibilité nécessaire pour s’adapter, migrer et évoluer au rythme des besoins de l’entreprise plutôt que de la feuille de route du fournisseur.

Cet article est publié dans le cadre du Foundry Expert Contributor Network.
Voulez-vous nous rejoindre ?

Logiciel de sécuritéSécuritéIntelligence artificielleArchitecture d’entreprise

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Angriffe aus Russland, russische Hacker
Hacker Unknown désormais connu, nommé sur la liste des personnes les plus recherchées d’Europol
Artificial Intelligence Internet of Things Network Protection Global Business Robots Touch Key Protection Icons Digital technology concepts online marketing, data analysis, e-commerce connectivity
Claude découvre un bug ActiveMQ RCE vieux de 13 ans en quelques minutes
A photograph of a person holding a smartphone with the Cloudflare logo displayed. Behind the phone is a blurred monitor displaying the Cloudflare website.,
Cloudflare « ajuste activement » les priorités quantiques à la suite de l’avertissement de Google