Alan LeFort, PDG et cofondateur de StrongestLayer – Série d'entretiens

Alain Lefort Alan est un leader en cybersécurité fort de plus de 15 ans d'expérience dans la création et le déploiement de produits de sécurité utilisés par des entreprises du Fortune 500. Auparavant, il a dirigé des unités produit et opérationnelles chez Proofpoint, McAfee et Intel Security, où il s'est concentré sur la protection avancée contre les menaces, les risques internes et l'analyse comportementale. Chez Intel, il a contribué à l'élaboration de la stratégie produit sur les marchés mondiaux, dirigeant des équipes aux États-Unis, en Europe et en Israël. Aujourd'hui PDG de StrongestLayer, Alan met à profit sa solide expérience en entreprise pour stopper les attaques de phishing basées sur l'IA avant qu'elles n'atteignent les utilisateurs, redéfinissant ainsi la sécurité des e-mails à l'ère de l'IA.

Couche la plus forte est une plateforme de sécurité de messagerie nativement basée sur l'IA, conçue pour bloquer les attaques de phishing avancées et les attaques de compromission de messagerie professionnelle. Grâce à son moteur propriétaire TRACE, elle applique des modèles de langage étendus, l'inférence comportementale et l'analyse contextuelle pour identifier les e-mails malveillants que les systèmes traditionnels basés sur des règles ignorent. La plateforme s'intègre rapidement à Microsoft 365 et Google Workspace, ajoute des protections de navigateur et propose des formations aux employés basées sur l'IA, offrant aux organisations une défense renforcée et une culture plus sensibilisée à la sécurité.

Qu'est-ce qui vous a inspiré, vous et vos cofondateurs, à créer StrongestLayer, et quelle lacune spécifique dans le paysage de la cybersécurité cherchiez-vous à combler en vous basant sur vos expériences dans des entreprises comme Proofpoint, FireEye et Mandiant ?

L'entreprise a évolué au gré des perspectives de chacun de ses cofondateurs. Tout a commencé avec Riz, notre directeur technique, qui a constaté que le phishing devenait trop sophistiqué pour la formation traditionnelle des employés. Il a compris que la personnalisation basée sur l'IA pouvait considérablement améliorer la sensibilisation à la sécurité.

Lorsque Josh a rejoint notre équipe en tant que directeur produit, il a apporté la pierre à l'édifice. En testant notre premier produit, il a découvert que notre analyse par IA détectait des attaques complexes que les fournisseurs de sécurité de messagerie établis ignoraient complètement. C'est alors que nous avons réalisé que nous ne nous contentions pas d'améliorer la formation : nous identifiions une lacune fondamentale dans la détection des menaces.

J'ai rejoint l'équipe en tant que PDG début 2025 après avoir conseillé l'équipe. J'ai alors clairement perçu l'opportunité stratégique suivante : si seule l'IA pouvait se défendre contre l'IA militarisée, nous devions repenser non seulement la détection, mais aussi la manière dont nous autonomisons les humains dans cette nouvelle réalité. La décision était simple : miser à fond sur la détection et la prévention natives de l'IA.

Pourquoi pensez-vous que le courrier électronique reste un vecteur d’attaque aussi critique, en particulier à l’ère de l’IA générative ?

Le courrier électronique reste le principal vecteur d’attaque car c’est le seul canal où le contexte commercial compte le plus, et l’IA générative a rendu l’exploitation de ce contexte triviale.

Les attaques par e-mail traditionnelles étaient basées sur le volume et étaient évidentes. L'IA change complètement la donne : les attaquants peuvent désormais générer des e-mails personnalisés qui comprennent les hiérarchies organisationnelles, imitent les styles de communication et font référence aux processus métier réels. Ils ne se contentent plus d'envoyer du phishing générique ; ils conçoivent des attaques qui semblent authentiques pour des organisations spécifiques.

Les e-mails sont également le lieu où les décisions de confiance sont prises quotidiennement. Les employés reçoivent régulièrement des demandes de fournisseurs, de partenaires et de collègues qui nécessitent un jugement sur leur légitimité. Les attaques basées sur l'IA exploitent précisément ces relations de confiance en semblant provenir d'entités connues et en posant des demandes plausibles.

Le défi fondamental est que la sécurité des e-mails a toujours consisté à détecter les « mauvais » modèles techniques, mais les attaques d’IA semblent techniquement bonnes tout en étant intentionnellement malveillantes.

En quoi l'architecture native LLM de StrongestLayer diffère-t-elle fondamentalement des solutions de sécurité de messagerie traditionnelles ?

Nous avons développé la première architecture LLM-as-master, fondamentalement différente des fournisseurs qui intègrent des fonctionnalités LLM à des systèmes de filtrage de modèles existants. Cette distinction est d'ordre architectural : le LLM orchestre l'ensemble du processus d'analyse plutôt que d'être un module complémentaire.

Les solutions traditionnelles fonctionnent comme un système judiciaire à procureur unique : elles ne peuvent rechercher que la culpabilité, sans mécanisme permettant de prouver l'innocence. Cela crée le classique conflit faux positif/faux négatif, qui ne peut jamais être résolu dans une architecture à procureur unique.

Notre innovation réside dans la double collecte de preuves. Nous brisons le paradigme du procureur exclusif en permettant à chaque courriel d'être entendu par le tribunal. Notre système agit à la fois comme défenseur public et comme procureur, tandis qu'un juge impartial du LLM évalue les preuves et rend son verdict.

L'architecture nécessitait une infrastructure entièrement nouvelle : coordination LLM-as-master, algorithmes de synthèse de preuves doubles, architecture mixte d'experts pour l'analyse spécialisée et architecture à mémoire zéro pour la confidentialité des données d'entreprise. Nous offrons la puissance de raisonnement de mille analystes d'élite avec la mémoire d'un poisson rouge : capacité d'analyse maximale, zéro persistance des données.

Pouvez-vous expliquer comment fonctionne votre système TRACE (Threat Reasoning AI Correlation Engine) et ce qui le rend particulièrement efficace contre le phishing basé sur l'IA ?

TRACE fonctionne grâce à une double collecte de preuves qui modifie fondamentalement l’économie de la sécurité des e-mails.

Pour chaque courriel, nous menons simultanément deux enquêtes : l'avocat commis d'office recueille les indices de normalité et le procureur recueille les signaux de menace. Un juge impartial du LLM évalue l'ensemble des preuves pour rendre des décisions automatisées et fiables.

Recevez un paiement fournisseur de 50 millions de dollars de votre directeur financier lors de la clôture trimestrielle. Les systèmes existants détectent des messages urgents, des montants importants et des horodatages en dehors des heures de bureau : chaque motif est synonyme de menace. Les e-mails sont mis en quarantaine et l'activité est perturbée.

Notre architecture de preuves doubles permet de mener des enquêtes parallèles : les preuves de la défense publique comprennent les habitudes de communication du directeur financier, la relation établie avec le fournisseur, le paiement dans les limites des marchés publics et le respect des procédures documentées. Les preuves du procureur comprennent les renseignements sur les menaces externes, l'analyse des intentions de communication, les tentatives de contournement d'autorité et les schémas de manipulation de l'urgence.

Le juge du LLM évalue tous les éléments de preuve. Les indicateurs de légitimité forts l'emportent sur les signaux de menace mineurs. Les e-mails sont traités automatiquement avec une grande confiance, la continuité des activités est assurée et les analystes se concentrent sur les menaces réelles.

Ce qui rend cette approche particulièrement efficace contre les attaques d’IA, c’est que nous nous concentrons sur des indicateurs stables qui persistent quelle que soit la nouveauté de l’attaque : les modèles de légitimité commerciale et les modèles d’intention malveillante restent cohérents même lorsque les méthodes d’attaque sont complètement nouvelles.

L'IA permettant désormais aux attaquants de générer des e-mails personnalisés à grande échelle, comment votre plateforme peut-elle garder une longueur d'avance sur ces menaces en constante évolution ?

L’idée clé est que même si l’IA rend la génération d’attaques infiniment évolutive, elle ne résout pas le problème de logique métier pour les attaquants.

L'IA peut élaborer une grammaire parfaite, imiter les styles de communication et référencer les informations publiques sur les organisations. Cependant, elle ne peut pas comprendre parfaitement les processus internes, les flux d'approbation, les cycles contractuels et la dynamique relationnelle de chaque organisation simultanément.

Notre plateforme conserve une longueur d'avance en privilégiant la rationalité métier plutôt que les schémas techniques. À mesure que les attaques d'IA gagnent en sophistication technique, leur logique métier devient souvent plus désespérée : elles créent une urgence là où elle ne devrait pas exister, contournent les processus normaux ou demandent des actions qui ne correspondent pas aux relations établies.

Nous bénéficions également d'un apprentissage inter-clients sans exposer les données individuelles de chaque client. Les schémas d'abus de la logique métier sont souvent cohérents d'une organisation à l'autre, même lorsque la mise en œuvre technique varie.

Quels types d’organisations sont actuellement les plus exposées au risque de phishing amélioré par l’IA, et comment votre plateforme répond-elle à leurs défis uniques ?

Les organisations dont les relations avec les fournisseurs et les processus d'approbation sont complexes sont les plus exposées, notamment les services financiers, la santé et les cabinets juridiques. Ces secteurs disposent de données précieuses, de processus métier bien établis que les attaquants peuvent consulter et d'employés qui traitent régulièrement des demandes sensibles.

Les entreprises de taille moyenne sont confrontées à un défi spécifique : elles ont des obligations et une complexité de niveau entreprise, mais ne disposent pas des effectifs ni des budgets de sécurité nécessaires. Elles sont suffisamment sophistiquées pour être des cibles attractives, mais leurs ressources sont suffisamment limitées pour que des attaques sophistiquées réussissent.

Notre plateforme répond à ce problème en automatisant l'analyse du contexte métier, qui nécessiterait normalement des analystes de sécurité dédiés. Au lieu d'obliger les équipes à examiner manuellement chaque demande suspecte, TRACE fournit le raisonnement qui aide les organisations à prendre rapidement des décisions éclairées.

Nous nous concentrons également sur l’expérience utilisateur, car ces organisations ne peuvent pas se permettre des solutions qui créent des frictions opérationnelles ou nécessitent une formation approfondie.

Comment votre système de détection de campagne prédictive identifie-t-il et neutralise-t-il si rapidement les faux sites Web d'entreprise ?

Notre approche combine la surveillance de l’enregistrement de domaine en temps réel avec l’analyse du contexte commercial.

Nous surveillons en permanence les enregistrements de domaines mondiaux, à la recherche de modèles suggérant des campagnes d'usurpation d'identité : une orthographe similaire à celle des domaines légitimes, des clusters de synchronisation d'enregistrement et des modèles d'infrastructure cohérents avec la préparation d'une attaque.

Mais le principal facteur de différenciation réside dans la corrélation entre ces informations techniques et le contexte commercial. Lorsque nous constatons l'enregistrement de domaines susceptibles d'usurper l'identité de fournisseurs ou de partenaires clients, nous pouvons prédire les cibles et le calendrier des campagnes en fonction des relations et des cycles commerciaux.

La « neutralisation » se fait par le biais d’une alerte précoce : nous alertons les clients des campagnes d’usurpation d’identité potentielles des semaines avant l’envoi des e-mails, leur permettant ainsi de préparer leurs défenses et d’informer les employés des menaces spécifiques à surveiller.

Cette détection avant campagne n’est possible que parce que nous comprenons à la fois l’infrastructure technique d’attaque et le contexte commercial que les attaquants sont susceptibles d’exploiter.

Quels ont été les problèmes techniques les plus difficiles que vous avez rencontrés lors de la création d’une solution de cybersécurité véritablement native du LLM ?

Le problème le plus difficile était de créer un système capable de raisonner sur le contexte commercial sans exposer les données organisationnelles sensibles, tout en prouvant qu'il fonctionnait contre les nouvelles attaques que les systèmes existants ne détectent pas.

Nous avons récemment eu une confirmation lorsque notre système TRACE a détecté une attaque d'exploitation de Microsoft 365 Direct Send, totalement passée inaperçue tant pour la sécurité native de Microsoft que pour le leader du marché. L'attaque a été publiée et validée par Dark Reading. Elle exploitait des fonctionnalités Microsoft légitimes, utilisait l'obfuscation par images et des pages de phishing personnalisées dynamiquement – ​​des techniques totalement inédites, sans historique de modèles.

Les défis techniques étaient importants : créer une coordination LLM-as-master capable d'effectuer un raisonnement sophistiqué tout en conservant les données sensibles localement, éviter les pièges de faux positifs lors du passage de la correspondance de modèles au raisonnement, et optimiser les performances pour fournir des décisions en temps réel dans le cadre des exigences de latence du flux de courrier électronique.

Mais la plus grande avancée a été de prouver que notre architecture à double preuve fonctionnait en situation réelle contre des attaques qui avaient déjoué les fournisseurs établis. Cette validation nous a confortés dans l'idée que l'architecture pouvait gérer les nouvelles techniques développées par les attaquants.

Comment voyez-vous l’évolution du paysage des menaces d’ici 2026-2027 et comment préparez-vous votre plateforme pour faire face à cet avenir ?

D'ici 2026-2027, je m'attends à ce que les attaques sophistiquées, optimisées par l'IA, deviennent courantes plutôt que des menaces persistantes avancées. Les outils et techniques se banaliseront, élargissant considérablement le vivier des acteurs malveillants.

Nous verrons également les attaques s'étendre au-delà des e-mails, à tous les canaux de communication d'entreprise : Teams, Slack, messagerie mobile. Les attaquants orchestreront des campagnes sur plusieurs canaux, rendant la détection unique insuffisante.

Nous nous préparons en développant TRACE comme un moteur de raisonnement applicable à tous les canaux de communication d'entreprise. La technologie de base – comprendre le contexte et les intentions de l'entreprise – n'est pas spécifique à l'e-mail. Nous investissons également massivement dans les capacités de corrélation multicanal.

L'autre changement majeur concernera les attaques exploitant l'adoption de l'IA au sein des organisations. À mesure que les entreprises déploieront des outils d'IA pour leurs processus métier, les attaquants cibleront ces intégrations et ces flux de données.

Quelles leçons avez-vous tirées jusqu’à présent des déploiements réels et comment celles-ci ont-elles façonné votre feuille de route produit ?

La principale leçon est que les nouvelles attaques valident notre approche architecturale d'une manière imprévisible. Lorsque notre système TRACE a détecté l'attaque d'exploitation Microsoft 365 Direct Send, que Microsoft et le leader du marché avaient manquée, cela a confirmé notre thèse selon laquelle le raisonnement surpasse la recherche de motifs face à des techniques véritablement innovantes.

Nous avons constaté que l'expérience utilisateur était plus importante que prévu, mais pas autant que prévu. Les équipes de sécurité ne recherchent pas seulement une détection précise, mais aussi la compréhension des raisons pour lesquelles le système a pris des décisions. Notre approche de double preuve est utile, car les analystes peuvent consulter les preuves du procureur et de l'avocat commis d'office qui ont conduit au verdict du juge de la LLM.

Nous avons également découvert que la détection de nouvelles attaques crée des avantages concurrentiels inattendus. La publication de l'analyse Direct Send, validée par Dark Reading, a permis d'établir une crédibilité technique indéniable, contrairement aux affirmations marketing. Nos prospects ont compris que nous ne nous contentions pas de prétendre détecter des menaces inconnues ; nous le prouvions par des cas avérés d'échecs de fournisseurs établis.

Ces enseignements ont façonné notre stratégie axée sur la transparence et la validation technique. Notre feuille de route met désormais l'accent non seulement sur les capacités de détection, mais aussi sur la capacité à expliquer le raisonnement et à partager les renseignements sur les menaces avec l'ensemble de la communauté de la sécurité.

Où voyez-vous StrongestLayer dans les deux à trois prochaines années et quelle est la vision à long terme de l'entreprise ?

Au cours des deux prochaines années, je nous vois devenir le moteur de raisonnement qui protège toutes les communications d’entreprise – pas seulement les e-mails, mais aussi Teams, Slack, la messagerie mobile et les canaux émergents.

Les bases techniques que nous avons construites avec TRACE – la compréhension du contexte et des intentions métier – s'appliquent au-delà de la sécurité des e-mails. À mesure que les organisations adoptent de plus en plus de canaux de communication et d'outils d'IA, elles ont besoin d'une protection cohérente qui comprenne la logique métier sur toutes les plateformes.

À long terme, notre vision est de devenir la couche d'intelligence qui aide les organisations à communiquer en toute confiance dans un monde dominé par l'IA. Plutôt que de considérer la sécurité comme un obstacle à la communication, nous souhaitons être le système qui permet aux entreprises d'adopter les nouvelles technologies de communication en toute sécurité.

L'objectif ultime est d'atteindre un point où les organisations ne considèrent pas la sécurité des e-mails comme un problème distinct : elle est simplement intégrée au fonctionnement de la communication d'entreprise, les protégeant automatiquement tout en permettant la productivité.

Merci pour cette excellente interview, les lecteurs qui souhaitent en savoir plus devraient visiter Couche la plus forte.