Vitesse machine, décisions humaines : la cybersécurité en entreprise à l'ère de la découverte de vulnérabilités menée par l'IA

« Le risque a toujours été là. Ce qui a changé, c'est la rapidité avec laquelle il peut se matérialiser. »

Depuis plus d'une décennie, les discussions sur la cybersécurité se sont concentrées sur des enjeux connus : systèmes non sécurisés, vulnérabilités latentes et dette technique accumulée. Ce n'étaient pas des risques hypothétiques. Les conseils ont été informés et des feuilles de route ont été rédigées. La croyance sous-jacente était que l'exposition se déroulait à un rythme humain, laissant le temps de prioriser, de planifier et de répondre.

À l'ère des cyberattaques menées par l'IA, cette croyance ne tient plus.

Les développements récents autour du nouveau modèle d'IA Mythos marquent un changement non seulement dans les risques existants, mais aussi dans la rapidité avec laquelle ils apparaissent. Les vulnérabilités existantes dans de vieux systèmes encore utilisés, incluant le code personnalisé, les décisions de configuration, les dépendances héritées et des années de faiblesses dans la conception des systèmes peuvent maintenant être examinées de façon continue et exhaustive par des outils autonomes fonctionnant à la vitesse de la machine. La différence, c’est que ces systèmes opèrent sans fatigue, sans angles morts et sans compromis.

La vitesse de la découverte dépasse désormais celle de la prise de décision. Conçues pour fonctionner à un rythme humain, les pratiques actuelles de gestion des vulnérabilités et les modèles opérationnels en cybersécurité sont de plus en plus en décalage avec la réalité à laquelle les organisations sont confrontées. 

Le point d'inflexion

Si la capacité technique est nouvelle, la manière dont elle est abordée l’est tout autant. Lorsque Mythos a terminé sa formation, ses créateurs ont volontairement restreint l’accès au modèle, en le limitant à un cercle restreint d’organisations afin d’en privilégier un usage défensif. Lorsqu’un système de pointe est traité avec autant de prudence par ses propres concepteurs, cela indique clairement que l’équilibre entre découverte, exploitation et contrôle a changé.

Jusqu’à présent, l’émergence de Mythos a été gérée avec prudence, mais cette approche est peu susceptible de durer. Des modèles entraînés sur des techniques, des données et des objectifs similaires rattraperont rapidement leur retard, souvent sans bénéficier des mêmes mesures de sécurité ou contrôles d'accès. Spud d’OpenAI et V4 de DeepSeek, tous deux pressentis pour une sortie prochaine, pourraient offrir des capacités comparables à celles de Mythos. Dans ce contexte de prolifération rapide de modèles puissants, la protection fondée sur des décisions guidées par les politiques de sécurité ou des restrictions d’accès demeure, au mieux, temporaire.

Le résultat est un monde où la découverte des vulnérabilités se déroule à la vitesse d'une machine, et non au rythme humain. 

Ce qui a changé et ce qui n'a pas changé

Certains fondamentaux demeurent inchangés. Les vulnérabilités ont toujours existé dans les environnements d'entreprise, et le code parfait n'a jamais été la norme.

Ce qui a profondément changé, c’est la fenêtre entre la découverte et l’exploitation, qui s’est rapidement réduite. D'abord de mois à semaines, et maintenant de semaines en heures.

Cette évolution est majeure. Les programmes de gestion des vulnérabilités ont été conçus pour un monde où les découvertes étaient relativement rares et où l’exploitation progressait à un rythme humain. Ces modèles ne tiennent plus lorsque des systèmes d’IA peuvent identifier, valider et contextualiser en continu des failles critiques, faisant exploser à la fois le volume et la vitesse des découvertes.

Pourquoi cette situation est différente :

• La vitesse de découverte a augmenté de façon exponentielle.
• La préparation des organisations n’a pas suivi le même rythme.
• Les attentes des régulateurs et des conseils d’administration s’intensifient, avec un accent accru sur la reddition de comptes : Quand l’avez-vous su? À quelle vitesse avez-vous agi?

Là où le risque se concentre maintenant

Les modèles d’IA les plus avancés peuvent aujourd’hui détecter des vulnérabilités critiques et identifier des modes d’exploitation en quelques heures, alors que la plupart des organisations nécessitent encore plusieurs semaines pour y remédier. L’écart qui se creuse entre l’identification des vulnérabilités, leur correction et l’acceptation du risque est désormais le principal point de concentration du cyberrisque matériel.

Cet écart est rarement causé par un manque d'information mais par des contraintes organisationnelles : cycles de test, approbations, fenêtres de déploiement limitées, environnements hérités fragiles et responsabilités décisionnelles mal définies. Dans ce contexte, la prise de décision et la capacité d’exécution sont devenues les facteurs limitants dans la réduction des risques.

Il en résulte un décalage croissant entre la posture de conformité affichée et l’exposition réelle au risque. Les cadres, processus et rythmes opérationnels conçus pour des menaces évoluant à la vitesse humaine peinent à répondre à un monde à vitesse machine, où les délais de réponse jugés « acceptables » hier pourraient désormais ne plus résister à l’examen. 

Pourquoi ce n'est pas juste un problème d'outillage

Face à une découverte des vulnérabilités de plus en plus rapide, la réaction instinctive consiste souvent à vouloir déployer des outils plus performants. Or, répondre à une découverte désormais amplifiée par l’IA exige une transformation beaucoup plus profonde. Il s’agit avant tout d’un enjeu de personnes, de processus et de modèles opérationnels, et non uniquement de technologie.

À mesure que l’IA élargit et accélère la découverte, la valeur se déplace vers la capacité à prendre rapidement des décisions éclairées, à l’échelle de l’organisation. Les équipes de cybersécurité doivent être en mesure de traiter un volume élevé de signalements, d’en évaluer l’impact sur les activités et de communiquer clairement les priorités aux dirigeants technologiques et d’affaires.

Les modèles traditionnels de gestion des vulnérabilités s'effondrent sous la découverte continue et à haut volume. Les cycles trimestriels et les accords de niveau de service (ANS ou SLA – Service Level Agreements) statiques perdent leur importance. Les organisations doivent plutôt s’appuyer sur des modèles opérationnels conçus pour une réponse continue, intégrant des mécanismes d’escalade clairs, des critères de risque explicites et la capacité de prendre des décisions en moins de 48 heures pour les vulnérabilités critiques.

Concrètement, cela implique de passer :

• de la découverte à la décision;
• de cycles trimestriels à une réponse continue;
• du simple balayage à l’orchestration.

Les défenses en couches demeurent essentielles. Si l’IA de pointe accélère la découverte, la défense en profondeur (segmentation, renforcement des périmètres et contrôles d’accès) continue de démontrer sa pertinence, même face à des techniques avancées.

Passer de la vitesse à la vélocité

Les organisations les plus résilientes ne se contentent pas d’aller vite. Elles avancent avec intention, en s’appuyant sur des fondations solides et des priorités clairement établies.

Plutôt que de réagir à chaque signal, les organisations à l’avant-garde repensent stratégiquement leurs programmes de gestion des surfaces de vulnérabilités et d’attaque afin d’agir avec cohérence et efficacité.

Cela soulève plusieurs questions clés :

• Visibilité et inventaire : Avez-vous une vision claire des logiciels qui opèrent dans votre environnement, de ce qu’ils contiennent et de leurs responsables? Êtes-vous en mesure de produire, à tout moment, un inventaire logiciel à jour pour vos systèmes critiques?
• Vélocité décisionnelle : Pouvez-vous passer d’une « nouvelle vulnérabilité critique » à une décision de correction ou d’acceptation du risque en moins de 48 heures? Qui détient l’autorité de décision? Les mécanismes d’escalade fonctionnent-ils réellement sous pression?
• Vélocité de remédiation : Quel est votre délai réel moyen pour corriger une vulnérabilité critique? Vos processus de changement et de tests sont-ils conçus pour le volume et la rapidité à venir?
• Segmentation et durcissement : Lorsque certains systèmes ne peuvent pas être corrigés rapidement, les contrôles compensatoires en place permettent-ils réellement de limiter le rayon d’impact?
• Intégration aux pipelines : L’évaluation de la sécurité pilotée par l’IA est-elle intégrée directement aux pipelines de développement et de déploiement, plutôt qu’ajoutée de manière ponctuelle ou trimestrielle?
• Préparation du conseil d'administration et de la réglementation : Êtes‑vous en mesure d’expliquer clairement votre posture de risque, vos priorités et vos décisions d’acceptation du risque, alors que les attentes en matière de reddition de comptes s’intensifient ?
• Souveraineté et contrôle : Pour vos capacités de cybersécurité les plus critiques, qui contrôle ultimement les modèles, les données, les voies d'escalade et les garde-fous? Si des priorités entraient en conflit sous pression, votre organisation peut-elle agir de manière indépendante et conforme aux attentes réglementaires et commerciales canadiennes?

Ces questions font évoluer la conversation des outils au modèle d'exploitation, de la vitesse à la vélocité.

Par où commencer

Les approches les plus efficaces pour renforcer la résilience sont pragmatiques et progressives, avec un accent clair sur ce qui permet de réduire concrètement les risques. Cela dit, les efforts de protection devront sans doute s’accélérer à mesure que des capacités avancées d’IA deviennent plus accessibles, qu’il s’agisse d’une diffusion plus large, d’une réplication rapide ou d’une exposition involontaire.

En plus des étapes techniques décrites dans cette section, plusieurs actions complémentaires méritent également d’être envisagées :

• revoir vos plans de gestion de crise et de résilience;
• renforcer la collaboration à l’échelle de l’industrie afin de partager les meilleures pratiques;
• examiner les polices d’assurance de l’organisation et en confirmer la portée et l’applicabilité.

Il peut aussi être judicieux de prévoir des réserves financières dédiées à une remédiation majeure en cas d’incident de cybersécurité.

Sur quoi se concentrer maintenant (prochains 30 jours)
Commencez par clarifier et consolider les bases. L’objectif du premier mois est de comprendre où votre organisation est la plus exposée et de traiter les enjeux qui peuvent rapidement accroître le risque.

Mettez en place des procédures de changement d’urgence afin d’éviter que des correctifs critiques ne restent bloqués par des processus standards. Établissez un inventaire clair de vos logiciels et de votre écosystème tiers pour identifier précisément vos actifs les plus critiques (vos « joyaux de la couronne »), ainsi que les expositions qui comptent le plus pour votre entreprise. Si des initiatives comme le projet Glasswing d’Anthropic permettront à certaines grandes entreprises technologiques de corriger leurs propres vulnérabilités, la majorité des organisations continueront de dépendre de logiciels propriétaires, tiers et open source qui devront être gérés et corrigés de façon proactive. Ces actifs ne constitueront pas le cœur d’attention de Glasswing.

Renforcez les fondamentaux de la gestion des identités, notamment en éliminant les identifiants statiques et en généralisant l’authentification multifacteur (MFA). Traduisez également les exigences réglementaires et de conformité en une compréhension claire de leur application concrète dans votre environnement.

Dans les 90 prochains jours, vous devrez analyser et corriger proactivement votre propre code, tout en cherchant à comprendre (ou encore mieux, à vous assurer) que vos fournisseurs de logiciels et de solutions en font de même. Il n’est pas nécessaire d’attendre une diffusion plus large de Mythos pour intégrer des capacités de gestion des vulnérabilités pilotées par l’IA car d’autres modèles et outils sont déjà disponibles. L’essentiel, dès les 30 premiers jours, est de définir clairement où et comment ces capacités seront déployées afin de préparer l’organisation à agir efficacement.

Quoi aborder ensuite (prochains 90 jours)
Une fois la visibilité établie, l’attention doit se porter sur la remédiation et la mise à l’échelle. C’est à ce stade que les organisations peuvent réduire de façon significative leur exposition au risque, à condition d’agir de manière intentionnelle et disciplinée.

Il faut s’attendre à une augmentation marquée du volume de découvertes de vulnérabilités et faire évoluer le programme de gestion en conséquence. Développez une visibilité claire sur la composition logicielle de vos systèmes critiques afin de comprendre ce qui est en opération, ce qui est à risque et où se situent les dépendances clés. Déplacez la sécurité plus tôt dans les pipelines CI/CD, réévaluez l’exposition liée aux tiers à travers les environnements des fournisseurs et amorcez l’analyse proactive du code interne.

Quoi planifier ensuite (prochains 180 jours)
Une fois les fondamentaux solidement en place, il devient possible de réinitialiser stratégiquement l’approche et d’investir dans des capacités qui renforcent la résilience à long terme. Cela implique de penser en amont et de concevoir des environnements mieux isolés et plus robustes, capables de soutenir l’infrastructure et les données essentielles à l’entreprise. Ici, la résilience passe notamment par l’extension de la micro-segmentation, ainsi que par la définition explicite de ce qui constitue votre « entreprise minimale viable », c'est à dire la version essentielle de vos opérations nécessaire pour continuer à fonctionner en cas de perturbation majeure.

Renforcez les opérations de sécurité à l’aide de l’IA, étendez les architectures Zero Trust avec des mécanismes d’authentification et d’autorisation forts, et introduisez des pratiques telles que le red teaming continu et la chasse proactive aux menaces. Réévaluez également la préparation à la réponse aux incidents afin que les équipes soient capables de gérer des événements multiples et simultanés, y compris les enjeux de matérialité et de divulgation. Dans la mesure du possible, réduisez l’exposition associée aux systèmes hérités ou non pris en charge en limitant leur rayon d’impact grâce à une défense en profondeur.

Le résultat attendu de cette approche est une compréhension claire et réaliste de la posture de risque, des réductions mesurables de l’exposition et une trajectoire concrète pour faire évoluer la gouvernance des risques à l’échelle de l’organisation.

Agir maintenant, avant que la fenêtre ne se referme

Aucune organisation ne pourra éliminer entièrement l’asymétrie structurelle entre attaquants et défenseurs. Mais celles qui agissent dès maintenant peuvent réellement améliorer leur position.

Le risque s’amplifie rapidement lorsque la découverte dépasse la capacité de réaction de l’organisation. Qu’il s’agisse d’une exposition involontaire, de travaux de recherche partagés ou d’une fuite, l’information sur une vulnérabilité peut circuler plus vite que les équipes d’intervention ne peuvent agir. Dans ces moments critiques, le risque est défini par la vitesse de propagation de l’information et par la question de savoir qui y accède en premier.

Investir dans la visibilité, la rapidité décisionnelle et une exécution disciplinée est devenu essentiel dans un monde où les adversaires opèrent en continu, à la vitesse des machines. Des décisions humaines prises plus tôt, plus près des enjeux d’affaires et avec une intention claire feront la différence entre les entreprises qui progressent et celles qui prennent du retard. 

Comment Deloitte peut vous aider

Deloitte accompagne les organisations de bout en bout, alors que l’IA transforme à la fois le rythme et l’impact du cyberrisque. Forts de décennies d’expérience auprès d’entreprises complexes et fortement réglementées, nous aidons nos clients à renforcer leurs fondations en cybersécurité, à accroître la visibilité et le contexte autour de leurs actifs et dépendances les plus critiques, et à traduire l’exposition technique en décisions d’affaires claires et actionnables. Notre approche vise à mettre à l’échelle et automatiser là où cela compte, à prioriser efficacement les efforts et à permettre des actions plus rapides et plus confiantes afin de renforcer durablement la résilience organisationnelle.

À mesure que l’IA fait évoluer le cyberrisque à la vitesse des machines, nous croyons fermement à l’importance de la collaboration à l’échelle de l’écosystème. Nous nous engageons à rassembler clients, partenaires et communautés afin de partager les apprentissages, renforcer les capacités collectives et améliorer la préparation face à des menaces en constante évolution. Ensemble, nous avons le pouvoir d’accroître la résilience et la capacité d’anticipation dans ce nouvel environnement.