Sophos a annoncé l’acquisition d’Arco Cyber, une entreprise britannique spécialisée dans la certification de la cybersécurité avec une approche très ciblée : aider les organisations à démontrer si leurs contrôles de sécurité sont réellement efficaces, comment ils s’alignent sur les cadres réglementaires, et quels risques restent ouverts, le tout dans un langage accessible à la direction, au conseil, aux régulateurs et aux assureurs.
Cette opération — dont le montant n’a pas été rendu public — s’inscrit dans une tendance que Sophos souhaite promouvoir activement : passer du « simple outil » au « leadership en gouvernance ». Autrement dit, beaucoup d’entreprises ont déjà investi dans l’EDR, le XDR ou le MDR, mais elles peinent encore à répondre clairement à des questions fondamentales : quels contrôles échouent ? où se situe le principal risque ? quelles priorités pour réduire l’exposition ?
Du SOC au « CISO en mode service » : la véritable destination de l’offre de Sophos
Ce mouvement s’inscrit dans le cadre de Sophos CISO Advantage, une solution qui vise à étendre les capacités typiques d’un CISO (priorisation des risques, gouvernance, preuve de conformité, discipline opérationnelle) même dans des entreprises qui ne disposent pas d’une équipe de sécurité de haut niveau en interne. La promesse repose sur trois piliers : une plateforme intégrée, l’automatisation/IA agissant en tandem, et une expertise humaine via des partenaires (MSP et MSSP).
Dans son communiqué, le CEO Joe Levy met le doigt sur la problématique : il y a pléthore de technologies ; ce qui manque dans la majorité des organisations, c’est la gouvernance, c’est-à-dire la capacité à savoir si les contrôles fonctionnent réellement et à prendre des décisions éclairées sur le risque.
C’est là qu’intervient Arco Cyber : son objectif est la validation continue des contrôles, leur cartographie par rapport aux cadres de gestion des risques et de conformité, et la production d’insights à l’attention des dirigeants, prêts à l’emploi pour les comités et les rapports.
Pourquoi la confiance et la « certification » prennent de l’ampleur en 2026
Pendant des années, le marché s’est concentré sur la détection et la réponse : identifier rapidement les alertes, contenir plus vite, automatiser des playbooks. Mais à mesure que la cybersécurité évolue, une nouvelle pression émerge : démontrer l’impact, pas seulement l’activité.
Dans cette optique, Phil Harris (IDC) insiste sur le fait que les conseils, régulateurs et assureurs demandent des preuves tangibles que les investissements réduisent réellement le risque et renforcent la gouvernance ; et que les plateformes connectant opérations, assurance et gestion du risque sont plus alignées avec la façon dont les organisations fonctionnent concrètement.
De plus, le cadre réglementaire s’est durci. Sophos mentionne explicitement des cadres comme NIST CSF et NIS2 comme étant au cœur du défi : il ne s’agit pas seulement de « conformité », mais d’aligner les contrôles, en assurer la mesure, et en communiquer les résultats, sans que l’entreprise ne se perde dans des audits et des indicateurs disjoints.
Le vide criant : des millions d’entreprises sans CISO
Sophos illustre cette réalité avec un constat : des centaines de millions d’organisations dans le monde existent, mais une minorité seulement dispose d’un leadership dédié à la sécurité.
Par ailleurs, Cybersecurity Ventures estimaient en 2023 qu’au moins 32 000 CISOs étaient en poste dans le monde, renforçant l’idée d’une pénurie structurelle (surtout hors des grandes entreprises).
Face à ce besoin, la stratégie devient claire : si la sécurité se transforme en une véritable discipline d’affaire (gestion des risques, conformité, continuité), le marché tend à demander un « CISO à échelle », même si la pénurie de professionnels compétents persiste.
Une IA agéntique… mais sous surveillance humaine
Sophos insiste sur un point essentiel : les progrès en systèmes agéntiques et l’aide par IA permettent de fournir des insights en temps réel sur la performance des contrôles, mais ces outils sont « ancrés » dans la supervision et le jugement humains.
Dans son blog produit, Sophos décrit CISO Advantage comme une offre visant à combler le fossé entre « opération » et « stratégie » et relie l’acquisition d’Arco Cyber à la capacité de mesurer concrètement comment les contrôles réduisent le risque réel, pour en faire des narratifs exploitables par la direction.
Ce même texte cite deux chiffres issus des données d’Arco : une large proportion d’incidents est liée à des failles déjà existantes, et une part significative de réclamations d’assurances cyber est refusée en raison du non-respect des exigences. Ces chiffres, frappants, doivent être compris comme des indicateurs produits pour justifier la nécessité d’une validation continue, plutôt que comme des statistiques universelles.
Ce que cela signifie pour les clients et partenaires
Sur le plan opérationnel, Sophos indique qu’Arco Cyber sera intégré en tant qu’équipe dédiée, et que sa technologie sera déployée dans Sophos Central, en lien avec l’écosystème de services (dont le MDR) et le réseau de partenaires déjà actifs dans la sécurité pour de nombreux clients.
La stratégie pour les MSP/MSSP est claire : Sophos souhaite que le partenaire ne se contente plus d’opérer des outils, mais devienne une référence en leadership sécurité en proposant un service complet : priorisation, gouvernance, métriques crédibles, préparation aux audits et communication stratégique.
En fin de compte, cette évolution reflète celle du marché : le SOC seul ne suffit plus, si l’on ne peut répondre à la question cruciale lorsque des enjeux financiers, réglementaires ou réputationnels sont en jeu : pouvez-vous démontrer que vous maîtrisez votre risque ?.
Questions fréquentes
Qu’est-ce que la « validation continue des contrôles » et en quoi est-ce différent d’une audit traditionnel ?
Une audit est ponctuelle (trimestrielle ou annuelle) et basée sur des preuves statiques. La validation continue consiste à mesurer de façon récurrente si les contrôles (configurations, politiques, processus) restent effectifs dans l’environnement opérationnel, en détectant toute dégradation ou dérive.
Que signifie « CISO en mode service » pour une PME sans équipe de sécurité dédiée ?
Cela permet de déléguer une partie du travail de gouvernance (priorisation des risques, préparation des preuves, alignement des contrôles, reporting à la direction) via une plateforme, l’automatisation et un partenariat, sans avoir besoin d’embaucher un CISO à plein temps.
La IA agéntique, c’est un chatbot qui rédige des rapports ?
Pas uniquement. Il s’agit d’automatiser l’analyse de traces, l’état des contrôles, leur corrélation avec des cadres de risques et de conformité, et de produire des recommandations et rapports exécutifs, tout en conservant une supervision humaine sur les décisions sensibles.
Est-ce que cela concerne les clients existants de Sophos Central ou MDR ?
Selon Sophos, l’objectif est d’intégrer ces capacités de contrôle et de gouvernance dans Sophos Central et l’écosystème de services, apportant davantage de visibilité et de mesures du risque sans remplacer la détection et la réponse.
Source : sophos
