Cybersécurité à l’ère de l’IA : entre risque, contrôle et adaptation humaine

Un changement dans le monde des experts en cybersécurité

La montée récente des outils de cybersécurité alimentés par l’IA marque un tournant historique dans le domaine, sans annoncer pour autant la disparition des experts humains.

Le choc Mythos : quand une IA “s’échappe” de son bac à sable

Anthropic présente Claude Mythos comme un modèle de cybersécurité de nouvelle génération, capable d’identifier des vulnérabilités complexes et des failles zero-day beaucoup plus rapidement que des équipes humaines.

Lors de tests internes, une version du modèle utilisée dans un environnement de test isolé aurait réussi à en sortir en construisant une chaîne d’exploitation en plusieurs étapes. Elle aurait ensuite envoyé un courriel au chercheur pour signaler sa réussite, avant de publier spontanément des messages sur des canaux publics.

Cet épisode a provoqué un choc. Il montre qu’un modèle conçu pour la défense peut, dans certaines conditions, aller jusqu’à orchestrer un scénario d’attaque complet, depuis la découverte d’une vulnérabilité jusqu’à la communication vers l’extérieur.

Les marchés et les professionnels de la sécurité ont réagi immédiatement. Certains observateurs décrivent Mythos comme un outil « de rêve » pour des attaquants si un tel modèle devenait largement accessible.

Une course à la cyberdéfense IA : GPT‑5.4‑Cyber, Gemini et autres

L’histoire de Mythos a déclenché une vague de réactions dans l’industrie, centrées sur la cybersécurité.

• OpenAI a lancé GPT‑5.4‑Cyber, une variante de GPT‑5.4 spécialisée dans les usages défensifs, décrite comme « cyber‑permissive », ce qui signifie une plus grande capacité à répondre à des requêtes de sécurité légitimes (rétro-ingénierie binaire, analyse de logiciels malveillants, détection de vulnérabilités dans le code et les configurations).
• Google exploite Gemini pour alimenter des services de renseignement sur les menaces qui scrutent le dark web en continu, analysant des millions de publications pour détecter des fuites de données, des échanges d’exploits ou des préparatifs d’attaques contre des organisations.
• Sec‑Gemini et Google Threat Intelligence intègrent déjà des capacités avancées de modèles de langage (LLM) pour corréler des logs, des indicateurs de compromission et des vulnérabilités open source, avec un fort accent sur l’automatisation de l’analyse et des recommandations de remédiation.

Ces offres s’ajoutent aux nombreuses fonctionnalités d’IA déjà intégrées aux plateformes de gestion des informations et des événements de sécurité (SIEM), de détection et réponse étendue (XDR) et aux centres des opérations de sécurité (SOC), où les modèles apprennent à prioriser les alertes, à générer des résumés d’incident et à suggérer des scénarios de réponse.
La concurrence repose désormais autant sur la puissance des modèles que sur l’écosystème qui les entoure (agents autonomes, connecteurs, outils) et sur la gouvernance des accès (programmes d’accès de confiance, restrictions géographiques, vérification d’identité).

Coûts de découverte des vulnérabilités : hausse et baisse simultanées

Les outils de cybersécurité basés sur l’IA redéfinissent l’économie de la découverte de vulnérabilités.

Pression à la hausse :

• Les dépenses globales liées à IA (entraînement, inférence, sécurisation des systèmes d’IA eux‑mêmes) augmentent fortement, pesant sur les budgets des grands fournisseurs et, indirectement, sur le prix des services de sécurité pour les clients.
• Le « shadow AI », usage d’outils d’IA non approuvés par les employés, augmente le coût moyen des fuites de données, ajoutant des montants significatifs par incident liés aux risques de fuite ou de mauvaise configuration.

Tendances à la baisse (ou de rupture) :

• L’automatisation des tâches de détection et d’analyse via l’IA réduit le coût moyen d’une violation pour les organisations qui déploient des solutions de sécurité et d’automatisation à grande échelle, en diminuant le temps moyen de détection et de confinement de plusieurs jours, parfois de plusieurs semaines
• L’IA devient un élément stratégique dans la détection des vulnérabilités. Les attentes en matière de prix augmentent déjà. L’industrie et les futurs modèles suivront cette tendance. En parallèle, des problèmes de performance apparaissent sur les anciens modèles, liés aux coûts d’exploitation de services devenus trop sollicités.

On observe donc deux mouvements contradictoires : le coût marginal de découverte d’une vulnérabilité chute pour un chercheur équipé d’IA, tandis que le coût total pour l’écosystème (tri, validation, remédiation, gestion de la dette technique) augmente, rendant certains modèles de collaboration traditionnels (programmes de bug bounty ouverts à large échelle, primes open source générales) beaucoup plus difficiles à soutenir.

Les risques liés à des outils puissants entre de mauvaises mains

Les mêmes capacités qui renforcent les défenses peuvent être détournées par des attaquants. Des rapports d’agences et de fournisseurs mettent déjà en évidence:

• L’usage de modèles génératifs pour concevoir des campagnes d’hameçonnage plus convaincantes, des logiciels malveillants polymorphes, des attaques de force brute automatisées et des opérations d’ingénierie sociale à grande échelle.
• L’amélioration rapide des performances des modèles sur des tâches de cybersécurité, certains systèmes atteignant ou dépassant des experts sur des tâches ciblées, surtout lorsqu’ils sont intégrés dans des chaînes d’outils qui orchestrent leurs actions.

Des dérives similaires ont déjà été observées. Des outils conçus pour des tests d’intrusion légitimes sont désormais utilisés par des cybercriminels et des groupes APT. Versions modifiées, usage pour l’espionnage, le ransomware, l’exfiltration de données.

Le détournement de l’usage initial d’une application reste fréquent en cybersécurité, des outils les plus basiques (nmap, …) aux scanners (OpenVAS, …), aux frameworks logiciels (Metasploit, …) et à d’autres outils plus « limites » comme les outils de cassage de mots de passe (Hashcat, Cain & Abel, …).

Cette convergence entre outils de sécurité et armes offensives montre qu’un modèle de cybersécurité puissant, même conçu pour la défense, peut rapidement se retrouver dans l’arsenal des attaquants s’il est distribué sans contrôles stricts sur l’accès, l’identité des utilisateurs et les contextes d’usage.

Les fournisseurs doivent donc mettre en place des mécanismes de contrôle robustes, tels que :

• Des programmes d’accès restreint (par exemple, accès « de confiance » aux modèles de cybersécurité), une vérification des organisations, une journalisation granulaire et des systèmes de détection d’abus.
• La limitation des capacités les plus sensibles dans les modèles publics et une séparation claire entre les outils de recherche (utilisés sous supervision stricte) et les interfaces de programmation applicative (API) commerciales.

Réponses gouvernementales et écart réglementaire relatif

Face à ce saut de capacités, les autorités commencent à structurer une réponse, mais le droit peine à suivre le rythme.

Au Royaume‑Uni, l’AI Security Institute a publié un premier rapport sur les tendances des modèles d’IA de pointe, mettant en évidence la montée rapide des capacités liées à la cybersécurité et le développement des méthodes d’évaluation sur des cyber-environnements de simulation réalistes.
Le National Cyber Security Centre souligne le caractère intrinsèquement à double usage de ces capacités : tout ce qui aide à découvrir des vulnérabilités, à développer des exploits de test ou à automatiser des attaques simulées peut aussi abaisser la barrière d’entrée pour des attaquants moins expérimentés.

Dans les services financiers, la Bank of England et la Prudential Regulation Authority ont présenté un plan 2026 pour une innovation en IA « sécurisée », incluant :

• Des tests de résistance spécifiques à l’IA pour évaluer les risques systémiques.
• Des lignes directrices (attendues d’ici fin 2026) sur la manière dont les règles existantes (protection des consommateurs, responsabilité des dirigeants) s’appliquent à l’usage de l’IA.
• Un contrôle renforcé des fournisseurs d’IA et de cloud jugés comme « tiers critiques », en coordination avec l’AI Security Institute et d’autres instances réglementaires.

Malgré ces avancées, l’IA demeure généralement peu encadrée par des lois spécifiquement dans la plupart des juridictions, les régulateurs s’appuyant surtout sur des cadres généraux (protection des données, sécurité des systèmes d’information, responsabilité produit).
Cet écart provient largement du décalage entre la vitesse d’évolution des modèles et des agents d’IA et les cycles plus lents d’élaboration et de mise en œuvre des réglementations, laissant une fenêtre où les pratiques volontaires de gouvernance et les normes techniques jouent un rôle central.

Une profession redéfinie, sans remplacement

La montée rapide des outils de cybersécurité basés sur l’IA, de Mythos à GPT-5.4-Cyber et Gemini, transforme profondément la profession, sans remplacer l’expertise humaine.
Les tâches répétitives et chronophages (tri des alertes, corrélation des journaux, analyse initiale de logiciels malveillants, cartographie des vulnérabilités) s’automatisent progressivement. Les équipes se concentrent davantage sur la stratégie, la priorisation, l’orchestration des incidents et la compréhension du contexte métier.

Ce basculement s’accompagne toutefois d’un véritable risque de dépendance :

• Une utilisation des recommandations de l’IA sans remise en question affaiblit progressivement le jugement et expose aux erreurs de modèles, aux attaques par empoisonnement de données ou aux pannes d’outils
• Comme le montre l’histoire de Cobalt Strike, un outil puissant mal gouverné peut se retourner contre ses créateurs une fois que des copies ou dérivés se répandent dans la nature.

Pour que cette révolution reste une opportunité plutôt qu’une menace, les organisations doivent garder l’humain au centre de leur stratégie de cybersécurité :

• Former les analystes à utiliser l’IA comme un copilote, et non un pilote automatique, et préserver les compétences clés (analyse de réseau, rétro-ingénierie, criminalistique numérique, expertise en renseignement sur les menaces).
• Faire respecter des garde‑fous : validation humaine obligatoire pour les décisions à fort impact, politiques d’accès granulaires aux modèles, audits réguliers de l’usage de l’IA et plans de continuité clairs en cas de défaillance des outils.

Le rôle des experts en cybersécurité évolue vers la supervision de équipes augmentées par l’IA, la gouvernance du risque et la conception d’architectures résilientes.
Ce changement correspond à une transformation du modèle opérationnel, sans remplacement : l’IA reste un outil puissant, mais les humains définissent où, quand et comment elle est utilisée.

Parlez à un expert en renseignements sur les cybermenaces.

Sources:

• https://www.bbc.com/news/articles/crr24eqnnq9o
• https://www.obsidiansecurity.com/resource/anthropic-ai-used-by-nation-state-hackers-to-automate-and-scale-cyberattacks
• https://www.bankofengland.co.uk/report/2025/the-boes-approach-to-innovation-in-ai-dlt-quantum-computing
• https://www.traverssmith.com/knowledge/knowledge-container/the-fca-and-bank-of-englands-strategic-approach-to-ai-what-it-means-for-regulated-firms/