Le nouveau programme Gold Eagle utilisera l’IA pour identifier, prioriser et coordonner la correction des vulnérabilités logicielles au sein des agences fédérales, des opérateurs d’infrastructures critiques et des communautés open source.
La Maison Blanche étend l’utilisation de l’IA au-delà de la détection des cybermenaces à la gestion des vulnérabilités, en lançant un nouveau programme qui vise à aider les agences gouvernementales et les opérateurs d’infrastructures critiques à identifier, hiérarchiser et corriger plus rapidement les vulnérabilités logicielles.
Baptisée Gold Eagle, l’initiative agira comme un centre d’échange centralisé pour les vulnérabilités de cybersécurité, coordonnant le reporting, la vérification et la correction des vulnérabilités entre les agences fédérales, les communautés de logiciels open source et les opérateurs d’infrastructures critiques, a déclaré la Maison Blanche dans un communiqué.
« Ce nouveau modèle tirera parti des capacités d’IA de pointe pour continuer à progresser plus rapidement que les adversaires, réduire les efforts d’analyse en double et fournir des informations prioritaires et exploitables sur les menaces et les mesures correctives aux défenseurs du gouvernement fédéral et du secteur privé », ajoute le communiqué.
L’initiative découle du décret du 2 juin du président Donald Trump sur l’innovation et la sécurité avancées de l’IA, qui a ordonné aux agences fédérales d’étendre l’utilisation de l’IA de pointe pour renforcer la cybersécurité tout en travaillant plus étroitement avec le secteur privé.
L’administration a déclaré que le programme avait déjà commencé à recevoir des rapports de vulnérabilité de plusieurs secteurs et à coordonner les efforts de validation et de remédiation.
Pour les responsables de la sécurité des entreprises, cette annonce témoigne d’un effort du gouvernement pour aller au-delà de la divulgation traditionnelle des vulnérabilités et s’orienter vers une réponse coordonnée aux vulnérabilités.
Une évolution vers une réponse coordonnée aux vulnérabilités
Prabhjyot Kaur, analyste principal chez Everest Group, a déclaré que Gold Eagle devrait être considéré comme « une évolution significative » des mécanismes existants de divulgation des vulnérabilités et de coordination gouvernement-industrie plutôt que comme un remplacement.
« Son importance potentielle réside dans la création d’un centre d’échange plus opérationnel capable de consolider les découvertes de vulnérabilités, de réduire les analyses en double, de valider l’exposition dans tous les secteurs et de coordonner les mesures correctives avec les opérateurs d’infrastructures critiques et les communautés de logiciels open source », a déclaré Kaur.
Le changement le plus significatif, a-t-elle déclaré, concerne les processus de divulgation des vulnérabilités largement distribués vers une priorisation centralisée et une action coordonnée. Toutefois, la question de savoir si l’initiative modifiera la gestion des vulnérabilités de l’entreprise dépendra de son exécution, notamment de la participation de l’industrie, des protocoles de partage d’informations, et de sa capacité à réduire le délai entre la découverte, la validation et la correction des vulnérabilités.
La Maison Blanche a déclaré que Gold Eagle avait déjà commencé à recevoir et à prioriser les rapports de vulnérabilité de plusieurs secteurs, à coordonner la vérification par numérisation et à soutenir les efforts de remédiation en utilisant les autorités et les ressources fédérales existantes.
L’IA peut accélérer la priorisation, et non remplacer le jugement
L’administration a déclaré que l’initiative est conçue pour aider le gouvernement et l’industrie à réduire les analyses de vulnérabilités en double et à accélérer les mesures correctives en utilisant l’IA pour hiérarchiser les résultats.
Le secrétaire au Trésor, Scott Bessent, a déclaré que le programme reflète une collaboration plus étroite entre le gouvernement et le secteur privé pour protéger les institutions financières et autres infrastructures critiques.
« Le Trésor, ainsi que nos agences partenaires, continueront d’exploiter les capacités avancées de l’IA pour garder une longueur d’avance sur nos adversaires et défendre le peuple américain contre les menaces émergentes », a déclaré Bessent dans le communiqué.
Kaur a déclaré que l’IA est susceptible d’apporter la plus grande valeur en matière de tri et de priorisation des vulnérabilités.
« Il peut corréler les résultats de plusieurs scanners, supprimer les alertes en double, lier les vulnérabilités à des activités d’exploitation connues, évaluer l’exposition sur Internet et combiner la gravité technique avec la criticité des actifs et l’impact potentiel sur l’entreprise », a-t-elle déclaré.
Cependant, elle a averti que la priorisation générée par l’IA n’est aussi fiable que les inventaires d’actifs sous-jacents, les données de vulnérabilité et les renseignements sur les menaces.
« L’IA devrait donc soutenir, plutôt que remplacer, la validation humaine, l’analyse de contrôle compensatoire et les décisions en matière de risques spécifiques à l’entreprise », a-t-elle déclaré.
Apeksha Kaushik, analyste principal chez Gartner, a déclaré que l’initiative reflète une évolution plus large vers la mesure des performances de cybersécurité en réduisant l’exposition réelle aux risques plutôt qu’en augmentant simplement le nombre de correctifs.
En aidant à unifier et à accélérer la coordination des vulnérabilités entre le gouvernement et l’industrie, l’initiative pourrait résoudre les problèmes de longue date liés à la fragmentation des rapports et aux pratiques de divulgation incohérentes, permettant aux entreprises de réagir plus rapidement et plus efficacement aux vulnérabilités, a-t-elle déclaré.
L’exécution déterminera l’impact sur l’entreprise
L’annonce décrit les objectifs de Gold Eagle mais fournit peu de détails opérationnels sur la manière dont les organisations participeront, comment l’IA validera ou priorisera les vulnérabilités, ou comment l’initiative fonctionnera parallèlement aux programmes coordonnés existants de divulgation et de gestion des vulnérabilités.
Kaur a déclaré que les RSSI devraient considérer cette initiative comme une source supplémentaire de renseignements sur les vulnérabilités plutôt que comme un remplacement de la gestion des risques d’entreprise.
« Le plus important à retenir est que la réponse aux vulnérabilités évolue vers une hiérarchisation plus rapide, plus fondée sur les renseignements et plus coordonnée au sein du gouvernement et de l’industrie », a-t-elle déclaré.
Même si la coordination gouvernementale améliore la qualité et la rapidité des informations sur les vulnérabilités, les entreprises continueront à prendre les décisions correctives, a ajouté Kaur. « La coordination gouvernementale peut améliorer la qualité et la rapidité des renseignements, mais le contexte de l’entreprise doit continuer à déterminer la priorité finale en matière de remédiation. »



