La gestion des vulnérabilités dans la tourmente Mythos
En février 2026, le FIRST (Forum of Incident Response and Security Teams) publiait ses prévisions pour l’année à venir : les experts s’attendaient à un peu moins de 60 000 vulnérabilités dans l’année (59 427), avec une estimation maximale à 117 673. C’était sans compter les annonces autour de Claude Mythos en mai. L’IA a découvert plus de 23 000 nouvelles vulnérabilités de projets Open Source dont elle a pu analyser le code. Sur ce total, 1 900 ont été expertisées par des experts humains et ceux-ci en ont confirmé 1 726, dont plus de 1 000 au statut haut ou critique…
Si Anthropic avait commencé à élargir l’accès à Mythos à plus d’organisations via son programme Glasswing, mais aussi à Fable 5, une version bridée de Mythos sur le volet sensible de la cybersécurité, le risque de « jailbreak » de Fable 5 était bien réel, ce qui a officiellement poussé l’administration américaine à activer son Kill-Switch et interdire d’accès à ces modèles à toute entité ou personne non américaine.
Mythos, un électrochoc pour toutes les organisations
Les quelques éditeurs américain qui ont bénéficié d’un accès à l’IA d’Anthropic ont immédiatement réagi avec une avalanche de correctifs : Google a corrigé 503 CVE d’un coup dans Chrome. Dans le même temps, 198 CVE ont été corrigées par Microsoft. Le CISA, l’agence américaine de cybersécurité, a même publié une directive (BOD 26-04) imposant un patching en 3 jours seulement lorsque la ressource est exposé sur Internet, si la vulnérabilité est exploitée, si cette exploitation est automatisable et s’il y a un risque que l’attaquant prenne le contrôle total du système. Pour les éditeurs, une telle IA est un outil précieux aux côtés des solutions traditionnelles de scan de vulnérabilité et l’épisode Mythos l’a prouvé de manière brutale…
Du côté des entreprises, la médiatisation de Claude Mythos a provoqué un électrochoc chez de nombreux managers qui ont enfin réalisé que le SI de leur entreprise est grêlé de vulnérabilités non corrigées. Mythos n’est que la partie émergée du séisme que les IA vont déclencher. OpenAI avait déjà officiellement déclaré ne pas lancer son GPT 5.4 Cyber, considéré comme trop dangereux. « Que ce soit chez Anthropic, Open.ai et quelques autres, les IA sont capables de trouver des vulnérabilités de façon massive et générer les exploits qui permettront d’en tirer profit » constate Benjamin Leroux, Chief Marketing Officer d’Advens. « Toutes les organisations doivent s’attendre à une vague de vulnérabilités qui devront être traitées par les éditeurs et certaines qui vont se transformer en Zero Day, avec des attaques à la clef. Un gros coup de chaud est à attendre pour les équipes de sécurité opérationnelle et pour les VOC. »
L’IA bouscule la détection des « vulns »
S’outiller pour gérer le stock des vulnérabilités est devenu un impératif pour les grandes organisations depuis longtemps. Le score CVSS d’une vulnérabilité n’est pas suffisant pour décider s’il faut passer un correctif ou prendre une mesure de contournement et des outils ont permis aux RSSI de classifier les vulnérabilités par importance dans le contexte de leur entreprise, et de lancer des demandes de patching auprès de la DSI. Avec Claude Mythos, cette approche vole en éclats. L’IA devient incontournable dans la recherche de vulnérabilité, en complément des scanners classiques.
Pour Pierre Samson, cofondateur et CRO d’Hackuity, le sujet n’est plus dans la détection des vulnérabilités, mais dans la remédiation. « Avec Mythos, tout le monde en a aujourd’hui bien pris conscience. Ce tsunami de vulnérabilités crée le besoin d’avoir l’hyper priorisation et de l’aide à l’automatisation de la réponse. Cette accélération implique de faire mieux le travail de priorisation. » Pour l’éditeur spécialisé, tout est question d’hyperpriorisation et d’automatisation : « Beaucoup de grands groupes disposent de flux de CERT et ont une vue de la menace, de ce qui est vraiment plus critique et ce qui est exploitable. L’enjeu est d’intégrer cette information, la corréler avec votre existant, votre inventaire d’assets, pour savoir exactement sur quels composants logiciels elle va s’appliquer, et transmettre cette information aux gens qui doivent passer les patchs. C’est un chaînage simple sur le papier, mais de l’avoir créé dans les workflows internes d’un client, ça demande un peu d’outillage et de ressources humaines. »
Le VOC (Vulnerability Operations Center) traditionnel doit clairement accélérer ses process et passer à la vitesse IA. Un changement de rythme qui ne sera pas sans conséquences en production et sur les équipes IT : « Les DSI et RSSI se disent de plus en plus qu’il faut désormais patcher systématiquement. Nous n’avons plus le temps de savoir s’il y a une vulnérabilité ou pas, on patche dès que possible, par défaut » explique Guillaume Devade, directeur commercial de CyberWatch : « Dans un contexte où les équipes techniques sont déjà sous-staffées et sous pression, c’est compliqué. La démarche qui était détection, priorisation, patch va faire place à une automatisation sur les correctifs les plus simples à appliquer. Lorsque la problématique est plus complexe, alors on entre dans un process de détection, priorisation et patch. » L’IA est arrivée sur les plateformes de gestion de vulnérabilité pour aider les équipes. Cyberwatch a intégré un agent MCP pour coupler un LLM à sa solution afin de faire gagner du temps aux experts. « Ceux-ci peuvent obtenir de l’IA la liste des 10 actions prioritaires à mener dans la semaine, disposer d’un rapport synthétique sur les machines les plus critiques pour l’entreprise et identifier les patchs à appliquer en priorité. »
Le streaming de patch gagne de l’intérêt
Patcher à l’aveugle reste compliqué dans les grandes organisations, même si l’épisode WannaCry de 2017 a montré qu’en cas d’urgence, les entreprises pouvaient patcher massivement leurs infrastructures avec des conséquences sur la production finalement limitées.
Le concept de streaming de patch, c’est-à-dire la diffusion des correctifs en temps réel, fait son chemin. C’est le concept défendu par CoreUpdate, un spin-off de Cyberwatch. « Plutôt que de chercher à analyser les vulnérabilités pour ensuite déployer les correctifs, le plus simple est de déployer les correctifs dès que possible » résume Maxime Alay-Eddine, cofondateur et CEO de CoreUpdate. « On passe du Patch Tuesday façon Microsoft avec un déploiement une fois par mois à du patch streaming où l’on déploie les patchs dès que possible. » Le responsable estime que la plupart des correctifs modernes sont stables et que les effets de bord sont finalement très limités. Il suggère de commencer par toutes les applications jugées non critiques par l’organisation, le navigateur web par exemple, et automatiser la mise à jour de toutes ces applications pour concentrer son énergie sur les patches considérés comme réellement critiques. L’éditeur estime que ce patching temps réel se passant sans anicroches, ses clients généraliseront l’approche sur de plus en plus d’applications. « On va passer d’un outil de gestion de vulnérabilité qui dit quoi faire, quelles ressources patcher, à une approche où l’on déploie les correctifs dès qu’ils sortent et on vérifie systématiquement le résultat » conclut Maxime Alay-Eddine.
Il est urgent de remettre les process sur la table
Pour Laurent Besset, cofondateur et DG adjoint d’i-Tracing, ce patching en « temps réel » est simple à mettre en œuvre techniquement, Windows Update fonctionne comme cela depuis 25 ans ou 30 ans, mais bouscule les process en place dans les entreprises : « Les DSI ont construit leurs processus de mise à jour pour trouver un juste équilibre entre la préservation de la production et la disponibilité des services et la mise en sécurité, avec une priorité donnée à la disponibilité des services. » Le dirigeant d’i-Tracing estime qu’il est maintenant temps de renverser la table et d’assumer le patching temps réel. « On ne peut plus se poser la question de patcher ou pas si une ressource est exposée, critique et vulnérable. Si jamais la mise à jour casse quelque chose, on fait un rollback et on trouve une solution. L’approche qui veut que l’on mène un premier déploiement de patch sur un périmètre pilote hors-production et observer pendant une semaine s’il y a des effets de bord ou pas n’est plus tenable. Il faut désormais passer au temps réel. »
Il est devenu nécessaire de patcher en temps réel, mais il faut aussi tester en continu les infrastructures. C’est la position de Michael Carletto, Chief Sales Officer du montpelliérain Devensys Cybersecurity. « On parle de plus en plus d’Event-Driven PenTesting ou Continuous PenTesting où on va travailler avec des agents IA sur différents modèles. Les modèles testent en continu les applicatifs et les infrastructures. Ils sont alimentés par des stimuli, les nouvelles vulnérabilités, pour vérifier leur impact dans le système d’information et patcher et éviter une attaque potentielle. » Le Gartner a formalisé cette approche sous l’acronyme CTEM (Continuous Threat Exposure Management). L’objectif est d’intervenir le plus tôt possible grâce à l’IA, mais l’expert estime qu’il faut garder un contrôle humain dans la boucle et ne pas confier les clés du SI à l’IA : « Un PenTester doit pouvoir valider les étapes du processus. Je ne crois pas à une automatisation complète du process avec une IA qui va mener elle-même ses tests et lancer les correctifs sur l’infrastructure. »
L’IA de plus en plus omniprésente dans le VOC
Laurent Besset estime que le VOC doit évoluer pour faire face à ce nouvel environnement, notamment face à un écosystème de détection de plus en plus morcelé. « Le scanner de vulnérabilité est aujourd’hui complété par le CSPM et le CNAPP pour les workloads dans le Cloud, des agents donnent des listes de vulnérabilités sur les endpoints et certains outils d’inventaire remontent des éléments relatifs aux vulnérabilités de même que les sondes réseau. » L’IA apporte désormais son lot de vulnérabilités, autant d’informations qu’il faut corréler et enrichir avec les données d’inventaire de parc pour les rendre pertinentes. L’IA a clairement un rôle à jouer en défense pour tirer profit de toutes ces données : « Nous exploitons déjà l’agentique pour enrichir ces données avec de la Threat Intelligence » explique Laurent Besset. « Google expose déjà ses données de CTI via un serveur MCP [NDLR : Norme d’échange de données entre IA]. De ce fait, l’agent est capable de taguer un asset s’il présente une vulnérabilité critique, s’il est exposé sur Internet et si la vulnérabilité est exploitable. Dans l’ère Post-Mythos, lorsque ces trois conditions sont réunies, il faut patcher immédiatement. »
Ce rôle croissant de l’IA en défense semble pourtant inéluctable. C’est la position de nombreuses startups, dont l’américain Horizon3.ai. Frédéric Nakhlé, Senior Director Solution Architect EMEA chez Horizon3.ai souligne les limites de la recherche de vulnérabilité via une IA de type Mythos : « Les vulnérabilités découvertes dans le code sont dépourvues de contexte : l’IA ne peut dire si elles sont exploitables ou pas dans votre système d’information. Une vulnérabilité découverte dans un firewall est-elle exploitable ? Cela va dépendre si la fonction concernée est activée ou non dans le firewall, cela va aussi dépendre si ce firewall est exposé sur Internet ou pas. » Cet ancien PenTester estime qu’il est maintenant possible d’exploiter l’IA pour reproduire le comportement des APT, ces groupes de hackers dont la signature est bien connue. « Plus de 100 profils de hacker ont été modélisés dans la plateforme et l’outil est capable d’appliquer leurs méthodes de hacking et, si l’une d’elle fonctionne, celle-ci signaler où intervenir en priorité dans le SI pour casser la chaîne d’attaque (kill chain) » ajoute Frédéric Nakhlé. Ainsi, cette IA d’attaque va aider le RSSI à prioriser la remédiation des vulnérabilités qui ont pu être exploitées par l’outil, mais aussi lui donner les arguments pour justifier auprès de sa direction pourquoi les dizaines de milliers de vulnérabilités qui n’ont pas été patchées car elles ne présentent aucun danger pour le SI.