Deux rapports récents de l’agence européenne de cybersécurité se sont révélés contenir des sources inventées de toutes pièces. Une enquête universitaire pointe une utilisation discrète de l’intelligence artificielle, sans garde-fous suffisants. L’agence européenne reconnaît des erreurs humaines et des défaillances dans son processus éditorial.
Des rapports officiels mis en défaut
Les documents en cause ont été publiés à l’automne dernier par ENISA. À la lecture, des chercheurs de la Westfälische Hochschule relèvent rapidement des incohérences. Certains raisonnements paraissent fragiles, mais surtout, plusieurs références citées ne mènent nulle part. En vérifiant systématiquement les sources, ils identifient des notes de bas de page qui renvoient à des contenus inexistants ou mal attribués.
Comme le rapporte heise online, l’ampleur du phénomène dépasse l’erreur ponctuelle. Dans l’un des rapports, 26 références sur près de 500 se révèlent incorrectes. Plus troublant encore, certaines erreurs suivent des schémas bien connus dans l’univers des grands modèles de langage : intitulés plausibles, liens construits de manière crédible, mais sources inexistantes.
Des hallucinations typiques de l’IA générative
L’exemple d’un lien censé renvoyer vers une page Microsoft sur le groupe de cyberespionnage APT29 illustre ces dérives. Le document mentionne explicitement ce nom, alors que Microsoft utilise officiellement l’appellation « Midnight Blizzard ». Une confusion caractéristique des contenus générés ou retravaillés par IA, où la cohérence narrative prime parfois sur l’exactitude factuelle.
Pour Christian Dietrich, professeur à la Westfälische Hochschule et coauteur de l’analyse, le problème n’est pas technique mais méthodologique. Une simple vérification humaine aurait permis d’identifier ces erreurs. L’enjeu dépasse la qualité rédactionnelle : il touche à la fiabilité d’une production institutionnelle censée servir de référence.
Une reconnaissance partielle de responsabilité
Interrogée sur ces éléments, l’agence européenne admet des « défaillances » et évoque des « erreurs humaines ». Elle reconnaît également que des outils d’intelligence artificielle ont été utilisés pour des ajustements éditoriaux. Une formulation prudente, qui confirme néanmoins l’intégration de l’IA générative dans la chaîne de production, sans cadre explicite ni transparence sur son périmètre d’usage.
Cette reconnaissance n’a pas suffi à apaiser les critiques. L’épisode est jugé embarrassant par plusieurs acteurs de la communauté cyber, qui rappellent le rôle central de l’agence dans la production de recommandations, de standards et d’analyses de menaces à l’échelle européenne.
