Ne paniquez pas face aux nouvelles menaces de l’IA ; les pirates informatiques utilisent toujours les mêmes anciennes failles de sécurité pour pénétrer, alors utilisez l’IA pour aider votre équipe à enfin corriger les bases.
Lorsqu’une nouvelle capacité d’IA commence à faire la une des journaux, je constate le même schéma se manifester dans les salles de conseil et les réunions du personnel de direction. Cette technologie est présentée comme une percée imminente pour les attaquants. La conversation s’oriente rapidement vers les pires scénarios. Ensuite, les responsables de la sécurité se voient poser une version de la même question : sommes-nous soudainement exposés d’une manière qui ne l’était pas auparavant ?
Ma réponse est généralement non.
Dans la plupart des organisations, le plus gros problème n’est pas qu’un modèle frontière tel que Mythos créera comme par magie une nouvelle catégorie de risque du jour au lendemain. Le fait est que ces modèles peuvent accélérer le travail des deux côtés de l’équation de la cybersécurité. Les attaquants peuvent les utiliser pour se déplacer plus rapidement, mais les défenseurs peuvent les utiliser pour identifier, hiérarchiser et corriger les faiblesses qui sont bien visibles depuis des années.
C’est pourquoi je considère Mythos comme un signal et non comme une sirène. Cela indique que l’économie de la cyberattaque et de la défense est en train de changer. Cela ne signifie pas que les fondamentaux de la sécurité n’ont plus d’importance. Au contraire, cela prouve le contraire. Les organisations qui disposent d’une visibilité claire sur leurs actifs, de correctifs disciplinés, de contrôles d’identité stricts et de modèles opérationnels résilients seront bien mieux placées pour absorber les prochains changements de l’IA.
Cette perspective est importante car les rapports récents sur les violations indiquent toujours des points de défaillance familiers. Le rapport 2025 d’enquête sur les violations de données de Verizon montre que l’abus d’identifiants et l’exploitation des vulnérabilités restent des thèmes centraux dans la manière dont les organisations sont compromises, et l’exploitation continue d’augmenter. En d’autres termes, le chemin vers l’entreprise est encore généralement pavé de faiblesses que les équipes de sécurité comprennent déjà.
Le vrai problème reste la base
D’après mon expérience, de nombreuses organisations n’ont pas autant de problème de stratégie que d’exécution. Les responsables de la sécurité connaissent les bases. Leurs équipes connaissent les bases. Leurs auditeurs, régulateurs et comités du conseil d’administration connaissent les bases. La difficulté consiste à maintenir ces bases de manière cohérente dans les domaines hybrides, les systèmes vieillissants, les plates-formes cloud, les utilisateurs distants et les dépendances tierces tentaculaires.
C’est pourquoi je suis prudent lorsque j’entends des prédictions selon lesquelles l’IA modifiera fondamentalement les contrôles pertinents. La plupart des violations réussies commencent toujours par une faiblesse connue qui n’a pas été corrigée, qui n’est pas correctement hiérarchisée ou qui n’est pas visible au départ. Un système connecté à Internet non corrigé. Une relation identitaire mal configurée. Privilège excessif. Faible segmentation. Un compte de service que personne n’a examiné depuis des années. Une exception critique pour l’entreprise qui est devenue discrètement permanente.
J’ai vu des programmes de sécurité perdre de leur élan lorsqu’ils s’orientaient de manière excessive vers le récit des menaces les plus récentes. Ils commencent à financer des cas d’utilisation avancés alors que les anciennes lacunes de contrôle restent ouvertes. Ils achètent davantage d’outils avant de définir la propriété, la discipline des processus et la responsabilité. Ils traitent la maturité en matière de cybersécurité comme un ensemble de projets plutôt que comme un modèle opérationnel. Cette approche était risquée avant l’IA de pointe, et elle le sera encore plus si ces modèles compriment davantage les délais des attaquants.
Si Mythos change quelque chose pour la plupart des entreprises, il change l’urgence de mettre en place les bonnes bases. Cela augmente le coût des retards. Il augmente la pénalité pour les dettes de sécurité. Cela met davantage de pression sur les équipes qui ont déjà du mal à inventorier les actifs, à rationaliser les résultats et à réduire l’écart entre ce qu’elles savent et ce qu’elles ont réellement corrigé.
Ce changement devrait également changer la façon dont nous priorisons le travail. Dans de nombreux programmes, les retards liés aux vulnérabilités augmentent parce que les équipes prennent des décisions fragmentées. L’infrastructure n’en possède qu’une seule pièce. Les opérations de sécurité en possèdent une autre. Les équipes chargées des identités, du cloud et des applications voient chacune une tranche différente du problème. Ce qui est perdu, c’est l’image complète des risques. C’est pourquoi tant d’organisations se sentent occupées mais pas vraiment plus en sécurité. Ils résolvent les problèmes, mais ils ne réduisent pas systématiquement les combinaisons de faiblesses réellement exploitées par les attaquants.
Le point pratique à retenir est simple. Avant que les dirigeants ne supposent que Mythos crée un tout nouveau modèle de menace, ils devraient se poser une question plus simple : où sommes-nous encore faibles d’une manière qu’un attaquant reconnaîtrait immédiatement ? D’après mon expérience, cette question conduit à une discussion plus honnête et productive que n’importe quel débat spéculatif sur ce que l’IA pourrait éventuellement faire.
L’IA peut aider les défenseurs à combler les lacunes dont ils savent déjà qu’ils existent
La manière la plus constructive de réfléchir au Mythe est de se demander où l’IA de pointe peut améliorer la capacité défensive à l’heure actuelle. Je ne parle pas de remplacer les analystes ou de confier des décisions sensibles à un modèle sans surveillance. Je veux dire utiliser l’IA pour résoudre des problèmes que les équipes de sécurité ont compris depuis longtemps mais n’ont pas eu l’ampleur ni le temps pour les résoudre de manière cohérente.
L’identité est un bon exemple. Le NIST affirme que la gestion des identités et des accès est une capacité fondamentale et critique en matière de cybersécurité. La plupart des RSSI seraient d’accord. Pourtant, les environnements d’identité restent pleins de dérives : groupes imbriqués, droits hérités, comptes obsolètes, définitions de rôles incohérentes et accès privilégié qui survit longtemps après la disparition des besoins de l’entreprise. Ces problèmes sont rarement invisibles. Ils sont tout simplement difficiles à analyser de manière globale en temps réel.
C’est là que l’IA peut devenir utile. Il peut aider à corréler les relations entre les répertoires, les plans de contrôle cloud, les tickets, les journaux et les magasins de stratégies. Il peut aider à mettre en évidence des combinaisons d’accès inhabituelles, à identifier les chemins d’attaque probables et à hiérarchiser les correctifs en fonction de l’impact sur l’entreprise plutôt que du volume brut d’alertes. L’avantage n’est pas plus de bruit. L’avantage est une compréhension plus rapide.
La même logique s’applique à la gestion des vulnérabilités et des correctifs. La plupart des entreprises disposent déjà de scanners, de systèmes de billetterie et de tableaux de bord. Ce qui leur manque souvent, c’est un moyen cohérent de décider quelles vulnérabilités sont les plus importantes dans le contexte de l’exploitabilité, de l’exposition, des contrôles compensatoires et de la criticité des actifs. Frontier AI peut aider les équipes à passer d’une longue liste de résultats à une liste plus courte d’actions réduisant sensiblement les risques.
Je vois également des opportunités dans la gestion de configuration et l’ingénierie de détection. Les équipes de sécurité se noient sous des données fragmentées. L’IA peut aider à normaliser les preuves provenant de sources multiples, à mettre en évidence les dérives de configuration et à relier des signaux apparemment isolés pour donner une image plus réaliste du risque opérationnel. Pour les équipes Lean, en particulier, cela compte. Cela peut signifier passer plus de temps à réduire les risques et moins de temps à rapprocher les feuilles de calcul, les alertes en double et les flux de travail déconnectés.
Rien de tout cela n’élimine le besoin de praticiens qualifiés. Cela leur donne simplement un effet de levier. Et dans un domaine où le volume d’exposition dépasse régulièrement le personnel disponible, l’effet de levier est important.
Le point le plus important est qu’il ne s’agit pas ici d’un appel à remettre les clés d’un modèle. Il s’agit d’un appel à utiliser l’IA là où les résultats sont les plus clairs : accélérer l’analyse, améliorer la priorisation et aider les équipes à combler les lacunes de contrôle de longue date. En d’autres termes, la plus grande opportunité n’est pas de construire un théâtre de sécurité futuriste. Il s’agit enfin d’opérationnaliser les fondamentaux à une vitesse que l’entreprise peut soutenir.
Le débat au sein du conseil d’administration devrait passer de la peur à la résilience
Le changement le plus important que le mythe devrait déclencher n’est peut-être pas du tout technique. Cela devrait changer la façon dont les RSSI s’adressent aux conseils d’administration, aux PDG et aux dirigeants opérationnels.
Trop souvent, les technologies émergentes obligent les responsables de la sécurité à s’engager dans des conversations réactives ancrées dans la peur. Le message implicite est qu’une nouvelle capacité d’attaquant est arrivée, l’organisation a donc désormais besoin d’une nouvelle ligne budgétaire, d’une autre plateforme ou d’une nouvelle série d’exceptions urgentes. Parfois, c’est vrai. Ce n’est souvent pas le cas. Le plus souvent, la meilleure réponse consiste à relier le nouveau développement aux priorités de risque existantes et à renforcer les investissements qui améliorent la résilience dans plusieurs scénarios.
Lorsque je discute avec des dirigeants des cyber-risques liés à l’IA, j’essaie de maintenir la conversation basée sur trois points :
- La plupart des cyber-pertes proviennent encore de faiblesses évitables. Ce n’est pas un message réconfortant, mais c’est un message concret.
- Les améliorations en matière d’identité, de gouvernance des actifs, de discipline en matière de correctifs, de surveillance par des tiers et de préparation à la réponse créent de la valeur au-delà de tout cycle de menace unique.
- Les organisations qui gèrent le mieux la complexité surperformeront généralement celles qui réagissent de manière plus spectaculaire.
Ce cadrage aide également les conseils d’administration à poser de meilleures questions. Au lieu de demander : « Que faisons-nous à propos de Mythe ? » ils devraient se demander : « Dans quelle mesure l’IA pourrait-elle rendre nos faiblesses actuelles plus coûteuses ou plus exploitables ? » Au lieu de demander une solution ponctuelle, ils devraient se demander si les opérations de sécurité et informatiques sont alignées sur les travaux de remédiation les plus risqués. Au lieu de mesurer l’activité, ils devraient mesurer si la dette sécuritaire diminue.
Pour les RSSI, c’est une opportunité. Les mythes peuvent être utilisés pour justifier une nouvelle vague de panique, ou ils peuvent être utilisés pour améliorer la qualité de la conversation sur les risques. Je crois que la meilleure voie est claire. Utilisez l’attention pour resserrer les fondamentaux. Utilisez la technologie pour améliorer la priorisation. Profitez de cette occasion pour réduire les défaillances de contrôle chroniques que les attaquants exploitent depuis des décennies.
C’est pourquoi je ne vois pas Mythe comme une sirène exigeant une réaction excessive. J’y vois le signe que les entreprises les plus préparées à l’ère de l’IA seront celles qui mettront enfin en œuvre ce que les dirigeants de la sécurité disent depuis des années : la résilience se construit par une exécution disciplinée, et non par une improvisation médiatique.
Cet article est publié dans le cadre du Foundry Expert Contributor Network.
Voulez-vous nous rejoindre ?
