Le communiqué de trois pages, publié simultanément dans cinq pays, ne citait aucune entreprise ni aucun modèle d'IA en particulier. Mais le message était clair : « Les modèles d'IA avancés devraient largement dépasser les prévisions actuelles du secteur technologique, modifiant fondamentalement les capacités offensives et défensives dans le cyberespace. » Et juste après, on retrouvait la déclaration la plus citée : « Ce n'est pas en années, mais en mois. »
Ce n'est pas la première mise en garde concernant l'IA et la cybersécurité. Mais le niveau de consensus est différent. Les cinq principales agences de cybersécurité de l'alliance Five Eyes – à savoir le Centre australien de cybersécurité, le Centre canadien de cybersécurité, le Centre national néo-zélandais de cybersécurité, le Centre national britannique de cybersécurité, ainsi que la CISA et la NSA américaines – qui ne publient généralement pas de déclarations communes, ont cette fois-ci signé un document utilisant le même langage alarmiste. « Les cyber-risques ne peuvent plus être considérés comme de simples problèmes techniques », indique le communiqué, « il s'agit de risques opérationnels fondamentaux et de responsabilités pour les dirigeants. »
L'urgence de la situation tient directement à la manière dont l'IA modifie le rythme des attaques. Auparavant, un délai s'écoulait entre la découverte d'une vulnérabilité logicielle et son exploitation, délai suffisant pour que les équipes de sécurité puissent la corriger. L'IA réduit ce délai à des niveaux sans précédent : les modèles peuvent analyser automatiquement les systèmes, écrire du code d'exploitation et propager des attaques plus rapidement que les humains ne peuvent réagir. Douze jours seulement avant cette annonce, la CISA a ordonné à toutes les agences fédérales civiles de corriger les vulnérabilités les plus critiques sous trois jours, un délai bien plus court que le cycle de correction traditionnel qui prend généralement plusieurs semaines.
L'impact n'est pas uniforme. Les experts en cybersécurité estiment que les grandes entreprises, qui ont investi des années dans des systèmes de défense, s'adapteront plus rapidement. Les plus vulnérables sont les petites et moyennes entreprises (PME), dont les budgets en cybersécurité sont limités et les équipes techniques réduites. L'Inde, l'une des économies numériques à la croissance la plus rapide d'Asie, a enregistré une augmentation de 165 % des attaques par rançongiciel au cours des premiers mois de 2026 ; l'intelligence artificielle aurait permis aux pirates de cibler leurs ennemis avec plus de précision et de créer des courriels d'hameçonnage de plus en plus difficiles à distinguer des authentiques.
Cependant, cette déclaration met également en lumière une autre réalité. Tout en soulignant les risques, ces cinq agences affirment que l'IA fait partie de la solution, et non qu'elle représente une simple menace. Selon cette déclaration, les organisations qui intègrent des outils d'IA à leurs opérations de sécurité peuvent détecter les vulnérabilités plus tôt, améliorer la qualité des logiciels, surveiller les comportements inhabituels et réagir plus rapidement en cas d'incident. Il ne s'agit pas d'un simple paradoxe. Cela reflète fidèlement la nature des technologies à double usage : la rapidité que l'IA offre aux attaquants est la même que celle qu'elle peut offrir aux défenseurs. La question est de savoir qui la déploiera en premier, et qui la déploiera le mieux.
Cet avertissement intervient à un moment quelque peu ironique. Quelques jours auparavant, le gouvernement américain avait restreint l'accès des entités étrangères à certains des modèles d'IA les plus avancés, invoquant des raisons de sécurité nationale. Cela démontre que, même en Occident, aucun consensus n'existe encore quant aux risques et aux avantages des modèles d'IA les plus puissants. Certains considèrent la restriction d'accès comme un moyen de maîtriser la propagation des risques. D'autres, comme en témoigne la déclaration des Five Eyes, estiment que le renforcement de l'IA pour une défense plus globale est le seul moyen de suivre le rythme des attaques.
Les recommandations spécifiques de cette déclaration ne sont pas nouvelles : application plus rapide des correctifs, restriction de l’accès aux systèmes sensibles et déconnexion des appareils du réseau sauf nécessité absolue. Il s’agit toujours des conseils de base en cybersécurité, répétés maintes fois au fil des ans. La nouveauté ne réside pas dans les solutions elles-mêmes, mais dans les délais impartis pour leur mise en œuvre. Une organisation qui disposait auparavant de mois pour corriger une vulnérabilité critique n’a plus que quelques jours. La question n’est plus de savoir quelle organisation sera ciblée, mais laquelle saura s’adapter avant que l’avantage temporel ne bascule définitivement du côté de l’attaquant.
Source : https://cand.vn/cuoc-dua-an-ninh-mang-tinh-bang-thang-post814834.html
