Les agents de sécurité IA sont conçus pour porter la cybersécurité à un niveau supérieur. Les attaquants abuseront-ils de ces agents IA, et qu’en est-il du rôle des experts en cybersécurité ?
Les premiers agents de sécurité IA voient le jour. Anthropic a récemment lancé son agent de sécurité IA Claude Mythos, suivi par OpenAI avec le modèle de cybersécurité GPT-5.4-Cyber. De tels modèles doivent être capables de trouver et de résoudre des vulnérabilités avant même que les attaquants ne le fassent. Mais que se passe-t-il s’ils combattent avec les mêmes armes ?
Keanu Nys, Head of Offensive Security chez Spotit, observe cette évolution avec un optimisme prudent. « Tant que nous utilisons la même IA pour lutter contre les attaquants, les défenseurs garderont le dessus. »
Agents de sécurité IA
Les premiers agents de sécurité IA sont une réalité. Anthropic a récemment introduit son agent de sécurité IA Claude Mythos. Ce nouveau modèle est conçu pour détecter et résoudre les vulnérabilités et les problèmes de sécurité. Selon Anthropic, le modèle a pu résoudre immédiatement des milliers de vulnérabilités et a réussi à détecter une faille vieille de 27 ans dans OpenBSD ainsi qu’une erreur de 16 ans dans FFmpeg, malgré des millions de tests automatisés préalables.
Peu de temps après, OpenAI a lancé un agent de sécurité IA similaire basé sur GPT-5.4, à savoir GPT-5.4-Cyber. Le modèle n’est actuellement disponible que pour les fournisseurs de sécurité, les organisations et les chercheurs présélectionnés qui font partie du programme « Trusted Access for Cyber » d’OpenAI. Étant donné que le modèle est basé sur un modèle existant, à savoir GPT-5.4, il devrait être plus largement disponible après une période d’essai.
Anthropic, en revanche, affirme être prudent avec son modèle et n’en donne l’accès qu’à une poignée d’entreprises. « Un tel modèle d’IA peut également causer des dommages s’il tombe entre de mauvaises mains », a déclaré Logan Graham, Frontier Red Team Lead chez Anthropic.
Depuis l’annonce de ces nouveaux agents de sécurité IA, de nombreuses craintes concernant de tels modèles s’expriment dans les médias. Les attaquants pourront-ils utiliser l’IA de cette manière pour découvrir des vulnérabilités avant même que les entreprises n’en connaissent l’existence ?
Une arme à double tranchant
« Un agent de sécurité IA est une épée à double tranchant », commence Nys. « La plus grande crainte est que les attaquants l’utilisent pour trouver des vulnérabilités avant qu’elles ne soient publiquement connues. Mais la même IA est également disponible pour le côté défensif », explique-t-il. « Les développeurs peuvent l’utiliser pour détecter des vulnérabilités dans leur propre code, avant même que des logiciels malveillants ne soient installés par des attaquants. »
En théorie, l’attaquant ne trouvera plus avec l’IA de failles que l’IA de l’autre côté aura déjà colmatées. « Dans cette situation, les défenseurs ont donc le dessus et il y a moins à gagner pour les attaquants. C’est naturellement le scénario idéal », souligne Nys.
En pratique, cela peut paraître différent. « Il y aura toujours des applications qui ne disposent pas encore de cette ligne de défense par IA », explique-t-il. « Mais à terme, il est évident que l’IA éliminera par défaut quatre-vingt-dix pour cent des vulnérabilités lors de chaque nouvelle application ou mise à jour. »
Mieux protégé que vous ne le pensez
Toutes les entreprises ne disposent pas d’autant de budget informatique ou de ressources pour mettre au point leur ligne de défense avec l’IA. Pourtant, les « petites organisations sont parfois mieux protégées qu’elles ne le pensent », selon Nys.
« Les petites entreprises développent rarement leurs propres applications et les achètent généralement, souvent sous forme de solution SaaS auprès de plus grandes organisations. Ces applications sont en principe déjà plus sûres, reçoivent des mises à jour de sécurité plus rapidement et présentent par défaut moins de bugs », explique-t-il. « À condition que les entreprises configurent ces applications de manière sécurisée afin qu’aucune mauvaise configuration ne survienne. »
L’IA remplace-t-elle l’expert en sécurité ?
La crainte que l’IA ne remplace des emplois existe depuis longtemps. Cette évolution pourrait également donner une nouvelle tournure au rôle de hacker éthique ou de pentesteur. Mais Nys ne s’en inquiète pas pour le moment.
« L’impact sur le rôle du hacker éthique ne diffère pas beaucoup de celui sur d’autres professions », affirme-t-il. « Tout comme l’IA rend les développeurs plus efficaces sans les remplacer, il en va de même pour les hackers éthiques. La tendance générale est qu’il faudra moins de profils, mais que ceux-ci seront plus efficaces et pourront donc abattre beaucoup plus de travail. »
Dans l’ensemble, Nys voit cette évolution d’un œil positif. « Tant que l’IA de protection évolue au même rythme que l’IA des attaquants, le défenseur sera à son avantage », conclut-il.