Survivre à la déferlante des vulnérabilités identifiées par l’IA Les vulnérabilités identifiées par l’IA progressent vite et obligent les RSSI à adopter un plan concret et immédiat. Les signaux s’accumulent: les vulnérabilités identifiées par l’IA pourraient déferler sur les équipes sécurité dans les prochains mois.
Les signaux s’accumulent: les vulnérabilités identifiées par l’IA pourraient déferler sur les équipes sécurité dans les prochains mois. Une alliance d’environ 250 responsables de la sécurité des systèmes d’information est ainsi montée au crénau pour anticiper les correctifs et les risques liés à Mythos Preview, l’IA dédiée à la cybersécurité développée par Anthropic. Cette convergence de signatures illustre une préoccupation partagée: l’IA peut à la fois renforcer et compliquer la défense.
Une alerte collective autour des vulnérabilités liées à l’IA et Mythos Preview
Le document, rédigé en urgence après l’annonce de Mythos Preview le 7 avril, a été cosigné par 250 RSSI et autres responsables, avec un effort d’écriture collectif réalisé en un seul week-end par plus de 60 contributeurs et relu par l’ensemble des signataires. Publié conjointement par le SANS Institute et la Cloud Security Alliance (CSA), il vise ceux qui doivent arriver lundi matin avec un plan crédible pour faire face à une réalité où les attaques assistées par l’IA deviennent la norme.
Parmi les signataires de premier plan figuraient des noms connus dans le paysage de la sécurité américaine, et des contributeurs liés à zerodayclock.com, le tout dans le cadre d’un appel à une coordination renforcée face à des capacités d’IA pour la détection et l exploitation des failles.
Des chiffres qui témoignent d’un tournant
Le rapport récapitule une dynamique observée par zerodayclock.com: le temps entre divulgation et exploitation d’une vulnérabilité est passé d’environ 2,3 ans en 2019 à moins d’un jour en 2026. Le rythme continue de s’accélérer: début mars, le délai moyen était d’environ 1,6 jour; mi-avril, il tombait à 20 heures et, une semaine plus tard, autour de 10 heures.
- Cadence d’identification : de 2 bugs/semaine dans le kernel Linux à environ 10 par jour signalés et vérifiés.
- Exemples marquants : XBOW a pris la tête du classement HackerOne en juin 2025 comme premier système autonome; Google Big Sleep a identifié 20 vulnérabilités zero-day en août chez des logiciels open source; le DARPA AIxCC a révélé 54 vulnérabilités dans 54 millions de lignes de code en quatre heures.
- Cas OpenSSL : en janvier 2026, un agent autonome a signalé 12 failles zero-day, dont une datant de 1998.
Ce que cela implique pour les organisations
Le rapport appelle à une mise en place d’un cadre robuste — « Mythosready » — visant à structurer les mesures immédiates, les priorités à courts termes et les changements à long terme, afin de lutter contre un épisode de sécurité alimenté par l’intelligence artificielle.
Concrètement, les RSSI doivent anticiper une hausse des incidents nécessitant des correctifs rapides et coordonnés, tout en renforçant les capacités internes de détection, de corrélation et de validation des vulnérabilités. Le document insiste sur l’importance d’un plan prêt à l’emploi pour « gagner le lundi matin », avec des rôles clairs, des processus de validation et des scénarios de réponse.
Limites, critiques et incertitudes
La montée en puissance des rapports générés par IA n’est pas sans ambiguïtés. Des analystes ont évoqué des cas de “hallucinations” dans les premiers retours automatisés, et le phénomène de rapports en double s’est amplifié, rapidement repéré par les experts. Comme le souligne un vétéran du secteur, la transformation est réelle, mais le contrôle humain reste crucial pour trier le vrai du faux et prioriser les actions.
« Et nous constatons désormais quotidiennement un phénomène qui ne s’était jamais produit auparavant : des rapports en double, ou le même bug signalé par deux personnes différentes utilisant des outils légèrement différents », observe un expert du paysage open source.
Pour terminer
La déferlante potentielle des vulnérabilités identifiées par l’IA ne peut être ignorée. Elle pousse les organisations à adopter un cadre de sécurité plus agile, à clarifier les responsabilités et à préparer des réponses rapides. Le véritable enjeu sera de concilier la vitesse d’identification des IA avec une vérification humaine rigoureuse et une coordination entre acteurs publics et privés.
