Accueil Cyber IA et cybersécurité : l’ANSSI appelle à sortir de l’obsession pour retrouver...

IA et cybersécurité : l’ANSSI appelle à sortir de l’obsession pour retrouver la vue d’ensemble

Vincent Strubel, directeur général de l’ANSSI, a publié début juillet une longue mise au point sur ce que l’intelligence artificielle change réellement en matière de cybersécurité. Son message tranche avec l’ambiance de fin du monde qui domine souvent le débat : l’IA ne réinvente pas la menace, elle en comprime le calendrier. Une lecture qui trouve un écho troublant dans les derniers chiffres du Panorama de la cybermenace 2025 et dans la déclaration commune des agences du Five Eyes, publiée fin juin.

Une asymétrie que les chiffres confirment

Ce que documente Strubel dans son texte, l’ANSSI l’avait déjà mis en équations quelques mois plus tôt. Le Panorama de la cybermenace 2025, publié le 11 mars dernier, chiffre précisément l’érosion du délai entre divulgation d’une faille et son exploitation : près de 29 % des vulnérabilités exploitées l’année dernière l’ont été le jour même de leur publication, voire avant, et environ 8 % l’ont été alors qu’aucun correctif n’existait encore. Le rapport allait plus loin, en révélant que fin 2025, plus de 6 200 actifs recensés en France restaient exposés à des failles connues depuis 2023 ou 2024. Ce n’est donc pas une prédiction que formule le directeur de l’ANSSI dans son post, mais un prolongement d’une tendance déjà mesurée, dopée par une IA qui accélère la recherche de vulnérabilités et la mise au point d’exploits.

Le Five Eyes tire la même sonnette d’alarme

Le patron de l’ANSSI n’est pas isolé dans ce diagnostic. Trois semaines avant la publication de son post, le 23 juin, les Five Eyes, les agences de cybersécurité et de renseignement des Etats-Unis, du Royaume-Uni, du Canada, de l’Australie et de la Nouvelle-Zélande ont signé une déclaration commune. Leur message central tient en une formule : le délai avant que les modèles de frontière ne bouleversent les capacités offensives comme défensives ne se compte plus en années, mais en mois. Les cinq agences y demandent aux dirigeants d’entreprise de sortir la cybersécurité de la technique pour en faire un sujet de gouvernance, et de généraliser les pratiques de sécurité par conception. Ce texte, publié dans le sillage direct du feuilleton sur l’accès aux modèles Mythos et Fable, confirme le paradoxe : la course de vitesse est déjà engagée, et l’incertitude ne porte plus sur son existence mais sur son issue.

Patcher plus vite ne rattrapera jamais le retard structurel

Face à cette compression du calendrier, Strubel refuse la réponse la plus intuitive, celle qui consisterait à simplement accélérer le rythme de correction. Il rappelle que l’essentiel des incidents traités par l’agence ne trouvent pas leur origine dans une lenteur de traitement, mais dans une perte de vue pure et simple de l’existence de certains systèmes. Un constat que confirment, encore une fois, les données du Panorama 2025 : les milliers d’actifs encore vulnérables à des failles vieilles de deux ou trois ans ne relèvent pas d’un défaut de vigilance ponctuel, mais d’un défaut de cartographie généralisé. Les futures obligations de nomenclature logicielle imposées par le Cyber Resilience Act devraient y remédier en partie côté fournisseurs, mais le travail de recensement, côté utilisateurs, reste presque entièrement à faire. Et même parfaitement exécutée, la correction de vulnérabilités laissera toujours un temps de retard structurel aux défenseurs, contraints par des impératifs de validation que les attaquants n’ont pas.

Revenir à ce qui marche, sans se raconter d’histoires

Rien de nouveau dans les mesures citées par Vincent Strubel, il le concède lui-même, mais ces pratiques continuent de faire la différence, IA ou pas : cloisonnement des réseaux, gestion stricte des identités et des privilèges, supervision continue, langages de programmation memory safe. Mais le vrai basculement viendrait plutôt d’un usage inversé de l’IA : non plus pour trouver des failles, mais pour les éliminer à la source, en testant systématiquement les logiciels et en réécrivant le code fragile dans des langages plus sûrs. Un chantier qui ne nécessite pas, insiste-t-il, l’accès aux modèles les plus puissants pour démarrer.

Sécuriser l’IA, le vrai chantier de fond

Le second axe s’attaque à un problème plus structurel : l’IA elle-même reste un objet mal sécurisé. Empoisonnement de modèle, injection de prompt, contournement de garde-fous, autant de familles de risques pour lesquelles ni le recul ni les parades éprouvées n’existent encore, faute de méthodes d’évaluation transposables depuis le monde logiciel classique. Le secteur avance par essais et erreurs à l’échelle mondiale, écrit-il, sans qu’émerge encore une approche réellement systémique. Face à ce constat, l’ANSSI mise sur une méthode empirique plutôt que sur l’attente d’une doctrine aboutie : collaboration avec la DINUM sur les déploiements d’IA dans l’administration, travaux du G7 sur des nomenclatures dédiées aux systèmes d’IA, partenariats au sein de l’Institut national de l’évaluation de la sécurité de l’IA.

Deux textes, deux calendriers différents, un même constat : la fenêtre pour rattraper le retard se referme plus vite qu’elle ne s’ouvre. Reste à savoir si les organisations concernées liront ces avertissements avant ou après l’incident qui les rendra concrets.