Sophos a présenté Fusion, une plateforme qui réunira la protection des endpoints, du réseau, du courrier, du cloud et des identités avec le SIEM, l’XDR et la détection et la réponse gérées. La société la définit comme un système de cyberdéfense natif à l’intelligence artificielle, bien qu’en pratique elle marque aussi l’évolution de Sophos Central et l’intégration technologique de Taegis suite à l’acquisition de Secureworks.
Les clés de Sophos Fusion en 20 secondes
- Fusion partagera les données et le contexte entre les principaux contrôles de sécurité.
- Il intégrera les analyses Taegis et plus de 500 intégrations tiers annoncées.
- Le nouveau SIEM et XDR seront disponibles à partir du 15/08/2026.
- Sophos affirme que son IA résout déjà 52 % des cas MDR en une moyenne de 89 secondes.
La proposition répond à un problème fréquent dans les centres opérationnels de sécurité : les entreprises ont accumulé des produits qui génèrent des alertes, mais ne partagent pas toujours l’information ni ne peuvent coordonner une réponse. Un endpoint peut détecter une activité suspecte tandis que le pare-feu, le courrier, l’identité et le cloud maintiennent leurs propres consoles et règles.
Sophos souhaite que toutes ces signaux parviennent à une couche commune et qu’une détection puisse activer des mesures à différents points de l’environnement. Par exemple, une identité compromise pourrait entraîner l’isolement de l’appareil, le blocage des communications via le pare-feu et une investigation sur l’activité effectuée dans des applications cloud.
Le fabricant assure que Fusion servira les 625 000 organisations utilisant sa technologie. Ses pages d’entreprise précédentes indiquaient déjà cette base au-dessus de 600 000 clients, ce qui laisse penser que le chiffre actualisé est une évolution intégrée à cette nouvelle annonce.
Sophos Central intègre la technologie Taegis de Secureworks
Fusion ne part pas de zéro. Sa base repose sur Sophos Central, la console à partir de laquelle la société gère des produits tels qu’Endpoint, Pare-feu, Courrier et MDR. La principale nouveauté technique concerne l’intégration de l’analyse Taegis, la plateforme développée par Secureworks pour l’XDR, le SIEM et les services gérés.
Sophos a finalisé l’acquisition de Secureworks en février 2025 pour environ 859 millions de dollars en espèces. À l’époque, elle avait annoncé qu’elle combinerait les contrôles de prévention de Sophos avec la télémétrie, les intégrations et les opérations de sécurité de Taegis. Fusion marque la prochaine étape de cette union.
| Élément de Fusion | Origine ou fonction principale |
|---|---|
| Sophos Central | Gestion commune des produits et politiques |
| Taegis Analytics | Correlation, détecteurs et analyses pour XDR et SIEM |
| Sophos Endpoint | Prévention, télémétrie et réponse sur dispositifs |
| Sophos Firewall | Contrôle et réponse du trafic réseau |
| Sophos ITDR | Détection des menaces liées aux identités |
| Sophos MDR | Surveillance et réponse gérée 24/7 |
| Sophos X-Ops | Recherche et renseignement sur les menaces |
| Intégrations externes | Inclusion des données d’outils tiers |
La société désigne comme « lac de contexte partagé » la couche où conflueront les événements. L’idée est que chaque signal conserve des informations sur l’utilisateur, le dispositif, l’identité, l’application et les actions précédentes, plutôt que d’être présenté comme une alerte isolée.
Ce modèle facilite l’investigation d’attaques qui traversent plusieurs systèmes. Une connexion anormale peut ne pas suffire à confirmer une intrusion, mais prend toute son importance si elle coïncide avec l’exécution d’un outil inconnu, des modifications dans l’annuaire des identités et un transfert de données vers une destination inédite.
Fusion s’appuiera sur quatre principes définis par Sophos :
| Principe | Application prévue |
|---|---|
| Contexte partagé | Réunir les signaux dans une même couche de données |
| Sécurité synchronisée | Coordonner les mesures entre contrôles différents |
| Autonomie maîtrisée | Permettre aux agents d’agir dans les limites définies |
| Intelligence cumulative | Utiliser les menaces observées pour améliorer les détections futures |
L’expression « système de cyberdéfense » est une catégorie que Sophos cherche à consolider pour différencier Fusion d’une simple collection de produits. Sa reconnaissance en tant que catégorie propre dépendra de son adoption et de ce que d’autres fournisseurs utiliseront une définition comparable.
Il n’est pas non plus garanti qu’une console unique élimine toute la complexité. Les organisations continueront de devoir ajuster des règles, classer leurs actifs, gérer les permissions et décider des actions automatiques que le système peut exécuter.
L’IA pourra investiguer et répondre, mais dans des limites définies
Sophos présente Fusion comme une plateforme prête pour des flux conjoints entre humains et agents d’IA. Ces agents pourront analyser les alertes, faire le lien entre signaux et exécuter certaines réponses lorsque les analystes auront préalablement autorisé ce type d’intervention.
La société utilise déjà ce modèle dans Sophos Managed Detection and Response (MDR). Selon ses données opérationnelles, l’IA résout de bout en bout 52 % des cas gérés sans intervention humaine directe. Le délai moyen entre l’alerte et une réponse entièrement automatisée est de 89 secondes dans les cas où cela est autorisé.
| Indicateur communiqué par Sophos MDR | Résultat |
|---|---|
| Clients sous modèle agent | 40 000 |
| Croissance annuelle du service | 39 % |
| Cas résolus intégralement par l’IA | 52 % |
| Délai moyen jusqu’à la réponse automatisée | 89 secondes |
| Couverture | Opération continue 24/7 |
Ces chiffres, fournis par Sophos, reflètent le fonctionnement de leur propre service MDR. Ils ne signifient pas que 52 % de tous les incidents peuvent être résolues automatiquement ou que toutes les menaces sont contenues en 89 secondes. La mesure concerne uniquement les cas pour lesquels l’IA a été autorisée et opère dans des limites définies par les analystes.
La supervision humaine restera nécessaire pour les enquêtes ambiguës, incidents touchant des actifs critiques ou actions susceptibles d’avoir des conséquences importantes pour l’entreprise. Désactiver un compte, isoler un serveur ou bloquer une application peut arrêter une attaque, mais risquera aussi d’interrompre une opération légitime si le diagnostic est erroné.
Fusion devra permettre à chaque organisation de définir ce qu’un agent peut faire ou ce qui doit être approuvé au préalable. Cette distinction sera particulièrement essentielle dans les hôpitaux, administrations, industries ou institutions financières, où une réponse automatisée peut affecter des processus essentiels.
Le fabricant évoque plus de 500 intégrations externes dans la nouvelle plateforme. La documentation publique de Sophos MDR mentionne encore plus de 350 technologies tierces. La différence peut provenir de connecteurs supplémentaires ou d’un critère plus large, mais Sophos devra préciser quelles intégrations seront disponibles, et à quelles dates.
Un nouveau SIEM sans facturation basée sur le volume de données
Le Sophos Next-Gen SIEM sera l’une des premières capacités de Fusion à arriver sur le marché. Sa disponibilité générale est prévue pour le 15/08/2026, avec une retenue prolongée, des rapports de conformité et une analyse sur la couche de données commune.
La différence commerciale résidera dans la méthode de tarification. Sophos affirme qu’il facturera en fonction des utilisateurs et des serveurs protégés, plutôt que principalement sur le volume de données ingérées.
| Modèle de tarification | Effet possible |
|---|---|
| Par volume de télémétrie | Le coût augmente avec l’envoi de plus d’enregistrements |
| Par utilisateurs et serveurs | Permet d’estimer plus facilement la dépense selon l’environnement protégé |
| Retenue prolongée | Facilite l’investigation d’incidents anciens et la préparation d’audits |
| Données partagées avec XDR et MDR | Évite la nécessité de maintenir des référentiels complètement séparés |
Une facturation basée sur l’ingestion de données pourrait encourager certaines entreprises à filtrer leurs logs pour maîtriser le coût, ce qui pourrait réduire l’information disponible lors d’investigations. Le modèle alternatif de Sophos veut que ses clients envoient toute leur télémétrie sans craindre une facture imprévue. Le vrai atout dépendra des prix par utilisateur et par serveur, des périodes de retenue incluses et des éventuelles surtaxes pour les grands environnements. Ces détails ne sont pas encore précisés dans l’annonce.
Le XDR de Sophos sera également lancé le 15 août. La nouvelle version utilisera l’analyse Taegis, intégrera mille détecteurs et offrira une automatisation via des playbooks d’orchestration et de réponse, connue sous le nom de SOAR.
Le MDR de Sophos bénéficiera le même jour d’une extension de la recherche continue de menaces et des capacités de réponse sur endpoints, pare-feu, cloud, courrier et identités.
Calendrier des nouveautés de Sophos Fusion
| Capacité | Date annoncée |
|---|---|
| Sophos Next-Gen SIEM | 15/08/2026 |
| Nouveau Sophos XDR basé sur Taegis | 15/08/2026 |
| Extension de Sophos MDR | 15/08/2026 |
| Sophos AI Defense | Accès anticipé en août 2026 |
| Sophos AI Defense | Disponibilité générale en octobre 2026 |
| Oracle CISO Advantage | À partir d’octobre 2026 |
Sophos AI Defense se concentrera sur les outils d’intelligence artificielle utilisés en entreprise. Il permettra de découvrir les services autorisés et applications non contrôlées, d’appliquer des politiques et de surveiller l’accès aux données.
Cette stratégie s’appuyait déjà sur Workspace Protection, une solution supervisant les applications web, les outils IA non autorisés et les environnements de travail hybrides. Fusion étendra ce contexte à l’ensemble des contrôles de sécurité.
CISO Advantage sera lancé à partir d’octobre, regroupant la validation des contrôles, l’évaluation des risques, la comparaison avec des organisations similaires et la conformité aux cadres réglementaires. Ce service repose sur la technologie et l’équipe d’Arco Cyber, société acquise par Sophos en février 2026.
L’objectif est d’offrir une orientation équivalente à celle d’un responsable de la sécurité de l’information pour les entreprises n’en disposant pas. Pour celles qui ont déjà un CISO, la plateforme pourra préparer des données pour justifier des investissements, montrer l’état des contrôles et communiquer les risques au conseil.
Fusion renforce également le modèle de canal de Sophos. Les fournisseurs de services gérés pourront administrer protection, détection, réponse et conseil depuis une plateforme unique. Cela peut simplifier leurs opérations, mais concentrera aussi davantage de fonctions critiques en une seule technologie.
L’engagement principal de Sophos n’est pas d’ajouter une nouvelle plateforme, mais de réduire la fragmentation entre les outils existants. Le succès dépendra de la capacité de la couche commune à maintenir la qualité de Taegis, à connecter des produits tiers sans en limiter les fonctionnalités et à automatiser les réponses tout en laissant aux analystes le contrôle des décisions sensibles.
Questions fréquentes
Qu’est-ce que Sophos Fusion ?
C’est l’évolution de Sophos Central vers une architecture partageant données, analyses et réponses entre endpoint, réseau, courrier, identités, cloud, SIEM, XDR et MDR.
Fusion remplacera-t-elle des outils d’autres fabricants ?
Pas nécessairement. Sophos affirme que la plateforme supportera plus de 500 intégrations pour ajouter les produits tiers à sa couche de données et de réponse.
L’IA pourra-t-elle bloquer des menaces sans intervention humaine ?
Oui, lorsque l’organisation en aura autorisé ce type de réponse et défini ses limites. Les cas ambigus ou sensibles resteront sous contrôle analytique préalable.
Quand sera disponible Sophos Fusion ?
La plateforme sera déployée par phases : SIEM, XDR et améliorations de MDR à partir du 15/08/2026, avec AI Defense et CISO Advantage qui compléteront le tout en octobre.