Les cybermenaces liées à l’IA ont désormais leur place dans les conseils d’administration

Les progrès rapides de l’IA ont transformé les risques de cybersécurité.

L’intelligence artificielle a atteint un point tel qu’elle réécrit les règles de la cybersécurité. Des systèmes comme Claude Mythos, d’Anthropic, peuvent désormais identifier et exploiter automatiquement les faiblesses des logiciels. Ce niveau d’autonomie change tout. Les stratégies de défense conçues pour un monde de pirates humains ne peuvent tout simplement pas suivre le rythme de l’IA qui travaille 24 heures sur 24 et s’adapte presque à l’infini. Ce qui prenait des jours prend aujourd’hui quelques minutes. Ce changement n’est pas théorique, il se produit en temps réel, et les entreprises doivent s’adapter aussi rapidement que la technologie elle-même.

David Koh, commissaire à la cybersécurité de Singapour et directeur général de l’Agence de cybersécurité (CSA), a bien résumé la situation lorsqu’il a déclaré que l’IA d’avant-garde avait « sensiblement modifié la situation de base en matière de cybersécurité ». Cela signifie que le problème n’est pas seulement plus important, il est différent. Les conseils d’administration et les dirigeants ne peuvent plus s’en remettre à leurs équipes informatiques. Le cyberrisque est devenu une préoccupation existentielle qui affecte la continuité des activités, la réputation et la confiance des actionnaires.

Les dirigeants doivent considérer la stratégie de cybersécurité comme un système vivant, adaptable, rapide et profondément intégré aux opérations. Il ne s’agit pas de paniquer, mais d’être prêt. Les entreprises doivent investir dans une défense fondée sur le renseignement, une simulation continue des menaces et des boucles de décision plus rapides pour faire face à des menaces qui évoluent d’elles-mêmes. Si votre processus de gestion des risques repose encore sur des examens trimestriels ou des cycles de correctifs manuels, il est déjà dépassé.

Les dernières découvertes montrent à quel point l’IA a progressé. Claude Mythos aurait découvert des milliers de vulnérabilités de type « zero-day. Un test effectué par l’AI Security Institute du Royaume-Uni a confirmé que le système a réalisé de manière autonome une simulation d’intrusion dans un réseau en 32 étapes en moins de 20 heures qu’il n’en faudrait normalement à un attaquant humain expert. Ces capacités redéfinissent l’équilibre entre les attaquants et les défenseurs.

Les modèles traditionnels de cybersécurité ne tiendront pas dans un monde de systèmes numériques autonomes qui s’améliorent d’eux-mêmes. Le défi consiste à passer d’une défense réactive à une résilience prédictive, en anticipant la prochaine attaque de l’IA et en construisant des systèmes capables d’apprendre et de réagir tout aussi rapidement. Les entreprises qui maîtrisent cet équilibre seront en tête en termes de confiance, de rapidité et de stabilité dans une nouvelle ère de concurrence numérique.

Les nouveaux modèles d’IA présentent des capacités offensives sans précédent

Les systèmes d’IA les plus récents possèdent désormais un potentiel offensif important. Claude Mythos d’Anthropic et GPT-5.5 d’OpenAI illustrent la rapidité avec laquelle ces capacités ont évolué. Ces modèles peuvent mener des cyberopérations à une échelle et avec une précision qui dépassent les capacités humaines. Ils ne se contentent pas d’identifier les faiblesses, ils agissent en conséquence. C’est pourquoi Anthropic a restreint l’accès à Mythos dans le cadre du « projet Glasswing », en veillant à ce que seuls des professionnels de la cybersécurité agréés y aient accès. La crainte est que ces modèles puissent sonder et exploiter des systèmes critiques de manière indépendante.

David Koh, de l’Agence de cybersécurité de Singapour, a clairement indiqué que cela changeait la façon dont les risques doivent être gérés. La modélisation traditionnelle des menaces supposait des acteurs humains disposant d’un temps et de ressources limités. Cette hypothèse ne tient plus. La classification interne de l’OpenAI selon laquelle le GPT-5.5 a une capacité cybernétique « élevée », juste un cran en dessous de « critique », signifie qu’il peut déjà mener des opérations cybernétiques ciblées et accélérer la découverte de vulnérabilités. Le seuil « critique » rendrait un modèle capable de créer et de déployer de manière autonome des exploits de type « zero-day » sans surveillance humaine.

Les cadres doivent comprendre que ce changement exige une implication stratégique directe de la part de la direction. Il ne suffit plus de cloisonner la sécurité à l’informatique. Ces évolutions exigent un alignement rapide des politiques entre les unités chargées de la technologie, de la conformité et des risques commerciaux. L’écart de capacité entre les outils de défense traditionnels et l’IA d’avant-garde se creuse, et l’ignorer pourrait exposer des secteurs entiers, en particulier ceux qui dépendent d’infrastructures critiques ou de données propriétaires.

Les dirigeants devraient privilégier les partenariats avec des chercheurs de confiance en matière de sécurité de l’IA, des organismes de réglementation du secteur et des fournisseurs de cybersécurité qui se concentrent sur la détection basée sur l’IA. Il est également essentiel de développer des cadres pour une intégration responsable de l’IA au sein de l’entreprise. L’objectif n’est pas de craindre l’IA, mais de la devancer, en veillant à ce que les innovations défensives évoluent aussi rapidement que les capacités offensives.

L’avertissement de M. Koh souligne une réalité mondiale : les cybermenaces évoluent en même temps que l’intelligence elle-même. Les équipes dirigeantes qui agissent maintenant de manière décisive, en restructurant leurs protocoles de risque, en renforçant l’expertise interne et en finançant des systèmes de sécurité adaptatifs, seront celles qui établiront la norme en matière de résilience au cours de la décennie à venir.

PARLONS-EN !

Un projet en tête ?
Planifiez un appel de 30 minutes avec nous.

Des experts senior pour vous aider à avancer plus vite : produit, tech, cloud & IA.

Planifier un appel

Veuillez saisir une adresse email professionnelle valide.

L’exploitation accélérée des vulnérabilités met à mal les défenses traditionnelles

Le rythme des menaces de cybersécurité a désormais dépassé la vitesse des systèmes de défense traditionnels. Les modèles d’IA d’avant-garde peuvent rechercher les faiblesses, identifier le code exploitable et lancer des attaques ciblées en une fraction du temps qu’il fallait auparavant. Des vulnérabilités qui auraient pris des semaines à être découvertes peuvent désormais l’être en quelques heures, voire en quelques minutes, grâce à des outils d’IA entièrement automatisés. Ce changement compromet l’efficacité de nombreux cadres de défense établis de longue date qui reposent sur une surveillance centrée sur l’homme, des correctifs programmés et une atténuation réactive.

David Koh, de l’Agence de cybersécurité de Singapour, a souligné que la découverte de vulnérabilités n’est pas seulement devenue plus rapide, mais aussi nettement moins chère. L’automatisation alimentée par l’IA a réduit la barrière à l’entrée pour les cyberattaquants, transformant des opérations sophistiquées en outils accessibles. Parallèlement, ces systèmes ont rendu l’ingénierie sociale beaucoup plus efficace en personnalisant les messages et les interactions à l’aide de données accessibles au public. Cette convergence de l’exploitation technique et psychologique menace les organisations de tous les secteurs.

Pour les dirigeants, le défi ne consiste plus seulement à disposer de pare-feu solides ou de mises à jour logicielles régulières. Il s’agit de comprimer les temps de réponse pour les adapter à la nouvelle vitesse des menaces. L’approche traditionnelle « détecter, analyser, répondre » n’est plus suffisante lorsque les adversaires de l’IA peuvent itérer des milliers de variantes d’attaques en quelques secondes. Les entreprises doivent intégrer la surveillance en temps réel, la détection des anomalies basée sur l’IA et l’automatisation des réponses rapides dans leurs opérations de base.

Cette évolution appelle également une redéfinition des structures de gouvernance. Les conseils d’administration devraient donner aux responsables de la cybersécurité l’autorité et le budget nécessaires pour mettre en œuvre des mécanismes de défense autonomes, des systèmes capables de s’auto-évaluer et de réagir instantanément. La supervision humaine reste essentielle, mais elle doit désormais fonctionner de concert avec l’intelligence des machines qui agissent à la vitesse du numérique.

Les rapports indiquent que le délai entre la découverte et l’exploitation des vulnérabilités s’est réduit à près de zéro. Dans cet environnement, l’agilité et l’analyse préventive deviennent décisives. Les organisations qui peuvent fonctionner à ce niveau protégeront non seulement leurs actifs, mais aussi la confiance de leurs clients, des autorités de réglementation et des investisseurs. Celles qui avancent trop lentement risquent de découvrir trop tard que leurs cadres de sécurité ont été conçus pour un monde qui n’existe plus.

Il est urgent d’examiner les cyberrisques au niveau du conseil d’administration et de réformer la gouvernance.

La montée des cybermenaces liées à l’IA a fait de la cybersécurité une responsabilité essentielle des conseils d’administration. L’Agence de cybersécurité (CSA) de Singapour exige désormais des conseils d’administration des fournisseurs d’infrastructures d’information critiques (CII) qu’ils s’approprient directement l’évaluation et le renforcement de leur position en matière de cyberrisques. Cette évolution fait passer la cybersécurité d’une question technique à une question de gouvernance, qui exige une surveillance au même titre que les finances, la conformité et la stratégie.

David Koh, commissaire à la cybersécurité et directeur général de la CSA, a demandé aux organisations d’évaluer si leurs cadres actuels tiennent compte des menaces fondées sur l’IA dans les systèmes de technologie de l’information (TI) et de technologie opérationnelle (TO). Les conseils d’administration doivent s’assurer que la gestion des vulnérabilités, les flux de travail des correctifs et les mécanismes de réponse aux incidents peuvent suivre la vitesse des attaques basées sur l’IA. La CSA a également précisé que les examens devraient être présentés aux comités exécutifs des risques, avec des plans de remédiation clairs et des décisions explicites d’acceptation des risques pour toutes les lacunes identifiées.

Tan Kiat How, ministre d’État au développement numérique et à l’information de Singapour, a souligné devant le Parlement que les autorités singapouriennes n’ont actuellement pas accès à Claude Mythos d’Anthropic et qu’aucune banque locale ne l’utilise, mais que les capacités en matière d’IA progressent rapidement. Les modèles open-source pourraient bientôt atteindre des niveaux de performance similaires. M. Tan a rappelé aux dirigeants que cette évolution devait être considérée comme un « continuum », ce qui signifie que les évaluations des risques doivent évoluer en permanence plutôt que de réagir à des percées isolées.

Pour les dirigeants, cela signifie une intégration plus étroite entre la gouvernance et la stratégie technique. Les comités du conseil d’administration ont besoin d’une visibilité claire sur l’utilisation de l’IA au sein de leur organisation, en particulier dans le développement de logiciels, le traitement des données et les systèmes de décision automatisés. Les organisations doivent également réévaluer leurs dépendances avec des tiers, car les vulnérabilités de l’IA peuvent se propager à travers les réseaux de fournisseurs ou les prestataires de services externes.

L’ASC a clairement indiqué que les examens de sécurité ne sont pas de simples audits, mais des exercices stratégiques visant à renforcer la résilience nationale. Elle coordonnera son action avec les responsables sectoriels afin de suivre les progrès accomplis et d’harmoniser les normes entre les différents secteurs d’activité. Les dirigeants doivent s’attendre à des attentes réglementaires plus fortes et à un examen plus approfondi dans les mois à venir. Ceux qui agissent tôt, en commandant des examens complets, en réaffectant des ressources à une défense adaptative et en intégrant la cybersécurité dans la gouvernance d’entreprise, mettront leur organisation en position de rester résiliente dans un avenir numérique qui évolue rapidement.

Principaux enseignements pour les dirigeants

• L’IA a redéfini les risques en matière de cybersécurité : Les modèles d’IA d’avant-garde comme Claude Mythos détectent et exploitent désormais les vulnérabilités de manière autonome, rendant les défenses traditionnelles insuffisantes. Les dirigeants devraient mettre à jour les cadres de risque et investir dans des systèmes de réponse plus rapides et adaptatifs.
• Les capacités offensives de l’IA exigent une surveillance au plus haut niveau : Des outils tels que GPT-5.5 et Mythos démontrent le potentiel des cyberopérations autonomes. Les dirigeants doivent traiter les menaces liées à l’IA comme une priorité de gouvernance, en veillant à la responsabilité interfonctionnelle et au déploiement responsable de l’IA.
• La vitesse d’attaque a dépassé les défenses traditionnelles : L’exploitation pilotée par l’IA réduit le délai entre la découverte et l’attaque à quelques minutes. Les organisations doivent adopter la surveillance en temps réel, l’automatisation et les correctifs en continu pour maintenir leur résilience à la vitesse du numérique.
• La gouvernance des conseils d’administration doit évoluer rapidement : La CSA attend désormais des conseils d’administration qu’ils mènent des examens du risque cybernétique dans l’ensemble des systèmes informatiques et opérationnels. Les dirigeants doivent intégrer la cybersécurité dans les cycles de gouvernance, mettre en place un contrôle par des tiers et aligner les priorités d’investissement sur le nouvel environnement de menace.