Le monde de la Cyber va-t-il connaître sa SaaSpocalypse ?

L’IA agentique est en train de bouleverser la manière dont les développeurs créent des applications. De fait, elle peut être vue comme un danger mortel pour les éditeurs de logiciels SaaS. Mais qu’en est-il de la Cyber engagée dans une plateformisation ? L’IA pourrait bien bousculer l’écosystème dans son ensemble…

Février 2026, les actions des éditeurs de solutions SaaS s’effondrent en bourse. Salesforce a perdu 42 % de sa valeur, Adobe 40 % et ServiceNow, SAP, Shopify sont touchés à leur tour. Plus de 1 000 milliards de dollars se sont évaporés en l’espace de quelques heures. Cette chute fait suite à l’annonce de Claude Cowork, l’offre agentique d’Anthropic.

Valeur emblématique du SaaS, l’action Salesforce peine toujours à remonter. À 173 dollars, son cours est désormais bien loin de son plus haut historique du mois de mai 2026 où elle était échangée à plus de 290 dollars. Marc Benioff a attendu le 19 avril pour réagir à la SaaSpocalypse dans le Wall Street Journal, estimant que les investisseurs qui ont misé à la baisse se trompent à propos de Salesforce et que, bien au contraire, l’IA va rendre sa plateforme plus pertinente encore…

Une menace sur le business model du SaaS

Pour les analystes, l’accélération du déploiement de l’agentique constitue une menace directe au business model des éditeurs SaaS qui facturent encore très largement leurs clients au nombre d’utilisateurs… humains. Remplacer les humains par des agents remet en cause ce business model et les éditeurs commencent à adapter leur modèle de licencing. De passage à Paris, Mark Moffat, CEO de l’éditeur d’ERP IFS expliquait vouloir proposer un nouveau mode de licencing à ses clients : « Je pense que le modèle SaaS n’est pas mort. Le modèle commercial de SaaS basé sur le nombre d’utilisateurs doit changer pour pouvoir perdurer et c’est le moment pour l’industrie de répondre. Nous avons annoncé aujourd’hui que nous changerons la base de notre prix pour être basé sur une autre mesure que l’utilisateur : le prix est basé sur le nombre d’usines gérées, le nombre d’avions maintenus, le nombre d’entrepôts orchestrées par des softwares IFS et non plus les utilisateurs. »

Pour l’instant, beaucoup d’éditeurs, Microsoft en tête, ont fait exploser les prix de leurs licences par utilisateur pour donner un accès aux IA. L’avenir dira qui a raison.

Une menace systémique sur le monde du logiciel

L’autre menace qui pèse sur les applications SaaS est existentielle : si les processus industriels, achats, CRM sont assurés par des agents, le rôle des applications elles-mêmes va se limiter à être de simples silos de données. Si on pousse la logique au bout, si l’intelligence des processus part dans les agents, ces référentiels deviennent interchangeables… un risque majeur pour tout éditeur de logisticien. Romaric Philogène, co-fondateur de la plateforme Qovery résume ce risque : « Si une plateforme interfacée à une IA peut être remplacée, c’est qu’elle n’apporte pas suffisamment de valeur. Tout comme pour le Machine Learning, une IA générative fonctionne sur un mode Garbage in / Garbage out. Il faut l’alimenter avec des données avec le bon niveau de détail pour qu’elle puisse prendre les bonnes décisions. Les plateformes qui n’ont pas de données qui leur sont propres et qui ne font que du passe-plat n’ont aucune valeur et seront amenées à disparaître. »

Il y a un an, lors de son événement annuel Sapphire 2025, le géant SAP a tout fait pour convaincre l’auditoire qu’il ne comptait pas devenir un simple référentiel où toutes les plateformes agentiques viendraient puiser leurs données. SAP compte être le fournisseur de plateforme agentique qui va porter les agents. Les annonces du kit de développement SAP AI Foundation et de SAP Agent Hub vont clairement en ce sens… mais la menace reste bien là : si une entreprise préfère la plateforme agentique de Microsoft ou d’AWS et ne fait que consommer des données via le serveur MCP, l’intelligence métier part vers cette plateforme tierce. Offrir sa propre plateforme ne semble pas suffire pour SAP puisque l’éditeur vient de durcir l’accès à ses API pour tous les agents IA tiers, officiellement pour des raisons de sécurité et de stabilité.

Un impact dans la Cyber plus positif qu’apocalyptique

Ce qui se passe dans le monde des applications de gestion peut-il se reproduire dans un monde cyber où la plateformisation et le SaaS sont en train de devenir la règle ? Eric Domage, analyste senior spécialisé en cybersécurité chez PAC Analysts souligne : « Le mode SaaS va devenir le mode de consommation des applications cyber quasi exclusif d’ici 10 ans. Demain, plus personne hormis quelques grands acteurs comme EDF ou les banques, n’aura les moyens d’opérer lui-même sa sécurité. Le recours aux MSSP va devenir universel. »

Tous les éditeurs majeurs intègrent des IA agentiques à leur solutions. Ainsi, l’éditeur français HarfangLab consacre déjà 10 % de sa R&D à l’IA. Il propose déjà un assistant personnel baptisé Kio et l’agent Ashley pour évaluer la présence de malwares inconnus dans les fichiers. Ses chercheurs estiment que l’agentique peut se montrer pertinente sur des cas d’usage bien spécifiques : l’analyste SOC peut demander à l’agent de prioriser pour lui les événements à traiter, peut aussi l’aider à créer une whitelist lorsque de nouveaux postes ou serveurs sont ajoutés au réseau. L’IA générative peut se montrer intéressante pour aider les opérateurs à manipuler de multiples outils différents, ce qui est le cas chez les MSSP, par exemple.

Pour l’heure, la plateforme HarfangLab n’expose pas de serveur MCP et ne peut être pilotée par un agent externe. « C’est un vrai sujet » explique Anouck Teiller, Directrice générale adjointe de HarfangLab. « Le sujet des agents est le même que celui qui s’est déjà posé sur les connecteurs et sur lequel nous avions travaillé avec Sekoia, Glims et quelques autres pour créer le standard OSCP Open XDR. Pour les agents, il existe MCP qui permet à deux agents de communiquer entre eux. L’agent d’un SIEM va pouvoir requêter l’EDR pour obtenir des données et les afficher dans le SIEM. La technologie existe, mais il est nécessaire de définir le périmètre de responsabilité de chaque solution. Avec notre LLM, il est possible de lancer des actions de blocage. Si on expose une telle fonctionnalité via un serveur MCP, il faut s’assurer que cette action est légitime. C’est clairement un point qui freine aujourd’hui l’industrie Cyber. »

Autre éditeur présent sur le marché Cyber, l’américain Elastic se montre beaucoup plus engagé dans cette évolution vers l’agentique. Il l’a déjà déployé l’agentique sur ses trois plateformes Search, Cybersécurité et observabilité. Yannick Fhima, directeur des Solutions de Données d’Entreprise de l’éditeur pour la région EMEA Sud estime que cette intégration de l’agentique permet de réagir aux attaques entrantes et aussi la capacité de mettre en place des playbooks et des automatisations. « Les analystes SOC peuvent désormais faire appel à des MCP App, directement depuis leur environnement de type Claude Cowork ou Claude Code et interagir avec ces IA en langage naturel. L’analyse peut demander quel est l’état des alertes du jour, via MCP, l’agent va afficher le statut des alertes remontées depuis le SOC via le serveur MCP hébergé par Elastic. » Le responsable ajoute : « Cette nouvelle approche n’est pas une SaaSpocalypse, mais plutôt un changement de paradigme. L’agentique est un nouveau canal d’interaction avec la stack Elastic. En aucun cas cela va remplacer la phase de mise en place de la plateforme. En revanche, en mode « Run », c’est déjà le cas, notamment dans le domaine du Search, avec des agents qui réalisent les recherches. Pour la cybersécurité, ce sera une transformation, mais pas une révolution. »

Le SOAR a permis d’accroître l’automatisation des SOC et notamment éliminer beaucoup des tâches des analystes de niveau 1. L’agentique arrive en relais et va permettre d’aller plus loin dans ces automatisations. Eric Domage ajoute : « L’automatisation du SOC, de la détection de vulnérabilités et l’automatisation de la détection d’incidents s’appuient sur l’IA depuis fort longtemps et ce n’est absolument pas nouveau et il ne s’agit pas d’une menace. Par contre, l’intensité de cette automatisation va être bouleversée par l’IA agentique. »

L’électrochoc Mythos va-t-il précipiter la course vers l’agentique ?

Évolution ou rupture côté défense, l’IA agentique représente une énorme menace. Mythos a montré que les agents intelligents peuvent être exploités pour découvrir les vulnérabilités de manière massive et des agents autonomes tels qu’OpenClaw peuvent exposer l’entreprise à un risque de fuite de données considérable. « L’IA agentique pose le problème de l’autonomie des agents, car nous n’avons pas entraîné des automatismes à détecter les actions de ces agents autonomes. » ajoute Eric Domage. « On commence à observer des agents de défense qui se déploient seuls, mais de tels agents doivent absolument être coordonnés avec une politique cyber. Pour l’analyste, le grand défi porte sur l’automatisation et sa plateformisation réside dans sa capacité à acquérir de l’intelligence. Ce n’est pas le SOC qui compte, c’est le CTI, la Cyber Threat Intelligence. Les grands opérateurs de SOC maîtrisent déjà l’automatisation. Ce qui les différencie aujourd’hui, c’est la valeur de leur CTI et leur capacité à exploiter cette intelligence. »

Benjamin Leroux, Chief Marketing Officer d’Advens estime que de nombreux métiers de la Cyber vont, d’une manière ou d’une autre, être impactés par l’IA générative. « Si on prend le cas du SOC, il est probable que la pyramide des analystes de niveau 1, 2 et 3 s’inverse, avec un niveau 1 qui sera fortement réduit du fait de l’automatisation, mais il y aura toujours besoin d’experts dans les niveaux supérieurs. Il faudra aussi des experts pour paramétrer ces plateformes » Quant à la capacité de l’IA de réagir en temps réel à un incident de sécurité et appliquer elle-même les remédiations qu’elle est d’ores et déjà capable de proposer, le marché n’est clairement pas prêt à laisser les clés de leur sécurité à l’IA, même si celle-ci sera bien plus rapide que les humains à réagir. « Appliquer des remédiations est à la fois techniquement complexe car on va agir sur de multiples systèmes. Il reste encore des barrières techniques à franchir et il faut pouvoir tester cela avant de le faire en production. Dans certains secteurs cette automatisation sera de tout façon impossible, notamment chez les industriels où les systèmes sont certifiés, ou ceux qui ne peuvent tolérer la moindre interruption de production non planifiée. »

L’IA ne va pas sortir l’humain de la boucle de sitôt dans la Cyber opérationnelle, en revancheelle va bouleverser le travail des ESN. Les activités de conseils sont déjà bousculées par cette arrivée de l’IA générative. Conjoncture économique ou conséquence de l’IA, la demande pour des consultants juniors faiblit. Certains outils de GRC, d’automatisation de campagne progressent et les RSSI seront de plus en plus des pilotes d’agents et feront moins appel à des prestataires externes. « Une partie de nos missions sont automatisables : une IA sait déjà rédiger une politique de sécurité, sait analyser des événements de sécurité, mener des tests d’intrusion. Clairement, nous devons aujourd’hui réfléchir à comment nous allons nous réinventer » conclut Benjamin Leroux.