En avril 2026, Anthropic livre son modèle frontalier le plus récent, Mythos, à douze partenaires lors d’une preview restreinte. L’entreprise retient ce modèle du grand public parce qu’elle le juge trop risqué.
Durant ses quatorze premiers jours en environnement contrôlé, Mythos produit 181 exploits fonctionnels pour Firefox. Le modèle de pointe précédent n’en obtient que deux.
Mythos révèle des milliers de zero-days sur tous les systèmes d’exploitation et navigateurs principaux. Parmi eux, une faille vieille de vingt-sept ans dans OpenBSD, un système d’exploitation qui repose sur son absence de vulnérabilités de ce type.
Plus de 99 % des découvertes de Mythos demeurent non corrigées en production.
En février, AWS Threat Intelligence publie une analyse post-mortem d’une campagne FortiGate menée par un unique opérateur. Cette personne possède peu de compétences et n’intervient pas manuellement au clavier.
L’intelligence artificielle exécute les tâches. Elle atteint 2 516 appareils dans 106 pays de manière simultanée. Chaque cible tombe en quelques minutes. Les failles connues et les mauvaises configurations suffisent. L’intelligence artificielle agit plus vite que les réponses possibles.
Les attaquants exploitent une CVE publiée en combien de temps en 2026 ?
Il y a dix ans, le délai médian entre la publication d’une CVE et l’apparition d’un exploit actif mesurait plusieurs mois. Les cycles de correctifs disposaient alors de temps suffisant. En 2024, ce délai tombe à environ 56 jours. En 2025, il descend à 23 jours.
Les paires récentes de CVE et d’exploits issues des bases de CISA KEV, VulnCheck KEV et des bases d’exploits indiquent un délai médian d’environ 10 heures.
Les attaquants inversent une correction publiée pour obtenir un exploit fonctionnel. Cette opération devient une simple instruction.
Les hypothèses traditionnelles de gestion des vulnérabilités s’effondrent. Les scores CVSS ne priorisent plus de façon efficace. Le critère d’exploitabilité perd son utilité. Le temps entre divulgation et arme perdure plus.
Toute vulnérabilité possède un exploit ou en obtiendra un avant la fin de la prochaine réunion de gestion des changements.
Du côté des attaquants, un script d’intelligence artificielle démarre à la seconde zéro. Il exploite une CVE à la cinquième seconde. Il contourne l’authentification multifacteur à la vingtième. Il dépose une webshell à la trentième. Il extrait les identifiants à la quarante-cinquième. À la soixante-treizième seconde, la compromission s’achève.
Aucun humain n’intervient. Les hésitations, réunions d’équipe et pauses café disparaissent.
Du côté des défenseurs, l’alerte SIEM se déclenche à la première minute, après l’achèvement de l’attaque. Un analyste de niveau 1 la repère vers la cinquième minute. Quelqu’un active un playbook SOAR manuellement à la quinzième minute. Un ticket Jira apparaît une heure plus tard. Quatre heures après, il parvient à la file d’attente des opérations IT.
Le correctif sort le jour suivant, vingt-quatre heures après une brèche qui a duré soixante-treize secondes.
Le temps s’écoule entre les outils. Les messages Slack, les hachages copiés-collés, les rapports PDF envoyés par mail, les tickets en attente d’approbation et les scripts red team recréés manuellement pour l’équipe blue consument les précieuses secondes.
Les trois piliers de la résilience cyber face aux attaques propulsées par l’intelligence artificielle
Pilier 1 : Identifier. Les défenseurs ignorent ce qu’ils ne voient pas. Même avec une visibilité complète sur le réseau, les terminaux, le cloud et les identités, plus une gestion agressive de la surface d’attaque, les angles morts persistent. Les accès distants orphelins, les segmentations absentes et les failles MFA abritent les attaquants à vitesse machine.
Pilier 2 : Protéger. Les contrôles réseau et terminaux efficaces fonctionnent avec un réglage précis. Les détections sur mesure ciblent l’accès aux identifiants, le déplacement latéral et l’escalade de privilèges au lieu des règles génériques des fournisseurs.
Pilier 3 : Valider. La plupart des programmes sous-estiment ce pilier, qui répond à la question initiale. La validation comporte deux volets. Les équipes les déploient ensemble.
-
Validation défensive — Simulation de brèches et d’attaques (BAS). Les contrôles de prévention et détection interceptent-ils les menaces actuelles ? Quels actifs échappent à la protection ? Quel risque résiduel subsiste après exécution de la pile de sécurité ?
-
Validation offensive — Pentest autonome. Un attaquant parvient-il à percer ? Quelles expositions s’enchaînent vers les joyaux de la couronne ? Quelles vulnérabilités se révèlent vraiment exploitables dans l’environnement ?
Les équipes exécutent BAS seul et connaissent le fonctionnement isolé des contrôles. Elles ignorent les contournements possibles par un attaquant. Elles mènent un pentest autonome seul et découvrent les chemins d’attaque. Elles méconnaissent les contrôles défaillants sur les actifs non testés. Les deux approches forment une boucle continue où chacune éclaire l’autre. Les preuves répondent alors à la question des passages et de leur étendue.
