Les systèmes d’IA et de LLM posent des problèmes de sécurité croissants et à haut risque
L’intelligence artificielle et les grands modèles de langage sont à l’origine d’une efficacité opérationnelle et d’une innovation massives. Cependant, la même puissance qui permet l’automatisation, l’échelle et la prise de décision intelligente introduit également des risques de sécurité graves et difficiles à contrôler. Selon le rapport State of Pentesting de Cobalt, 32 % de toutes les vulnérabilités liées à l’IA et au LLM sont classées comme présentant un risque élevé, soit près du triple du taux observé pour d’autres applications logicielles. Plus inquiétant encore, seuls 38 % de ces problèmes à haut risque sont résolus, signe que les équipes de sécurité trouvent souvent ces systèmes trop complexes pour être corrigés rapidement.
Le problème réside dans la nature même de l’IA. Ces modèles sont construits sur des couches de données, d’algorithmes et de cadres d’apprentissage qui sont souvent créés par des tiers ou des communautés open-source. Nombre de ces systèmes se comportent de manière imprévisible lorsqu’ils sont exposés à de nouvelles invites, à de nouvelles entrées de données ou à de nouveaux points d’intégration. Les méthodes de sécurité traditionnelles conçues pour les applications standard ne s’appliquent plus ici. Il en résulte que les organisations sont exposées non seulement à leurs propres systèmes, mais aussi aux vulnérabilités intégrées dans les chaînes d’approvisionnement externes de l’IA.
Les dirigeants doivent considérer qu’il s’agit d’un changement stratégique et non d’un inconvénient technique. La sécurité ne consiste pas seulement à protéger les données, mais aussi à protéger la capacité de l’organisation à fonctionner sans interruption. Alors que l’adoption de l’IA s’accélère (97 % des entreprises interrogées ajoutent déjà des fonctions d’IA), la vitesse de déploiement dépasse de loin la maturité des systèmes défensifs actuels. Le déclin de la confiance des équipes de sécurité, de 64% l’année dernière à 51% aujourd’hui, signale que même les équipes qualifiées ont du mal à suivre. Les dirigeants doivent donner la priorité à l’investissement dans des cadres de sécurité adaptatifs qui évoluent aussi vite que la technologie elle-même.
Il ne s’agit pas de ralentir le progrès, mais de le gérer intelligemment. Les entreprises qui prospéreront avec l’IA sont celles qui associent l’innovation rapide à une défense proactive, en traitant la sécurité comme une partie intégrante du développement du produit, et non comme un point de contrôle séparé à la fin.
Les organisations restent trop dépendantes des logiciels tiers bien qu’elles reconnaissent les risques qui y sont associés.
Les conclusions de Cobalt montrent clairement que les chefs d’entreprise sont conscients du danger, mais qu’ils continuent à le négliger. Soixante-quinze pour cent des organisations considèrent les logiciels tiers comme un risque majeur pour la sécurité. Pourtant, 86 % d’entre elles déploient des outils de fournisseurs externes sans vérifier s’ils ont été correctement testés. Ce fossé entre la prise de conscience et l’action est une faiblesse croissante dans tous les secteurs d’activité. La commodité de s’appuyer sur des fournisseurs établis masque souvent des points d’exposition invisibles tout au long de la chaîne d’approvisionnement.
Le problème devient plus critique à mesure que les organisations intègrent des systèmes pilotés par l’IA et basés sur le Cloud dans leurs fonctions principales. Lorsque votre écosystème logiciel dépend d’outils construits et maintenus ailleurs, vous faites effectivement confiance à des milliers de développeurs inconnus et à des mises à jour de systèmes pour répondre à vos normes de sécurité. Un seul correctif négligé ou un seul composant non testé peut exposer les données des clients, perturber les opérations et éroder la confiance des régulateurs et des clients.
Pour les dirigeants, il s’agit d’une question de gouvernance autant que de sécurité. La transparence des fournisseurs ne devrait plus être facultative. Vos équipes ont besoin d’un processus structuré et continu pour évaluer et valider les outils tiers, en particulier ceux liés aux données clients et aux modèles d’IA. La sécurité des outils et des fournisseurs doit être prouvée avant tout déploiement. Il ne suffit pas de se fier à la certification ou au rapport de conformité d’un fournisseur ; il s’agit d’assurances statiques dans un environnement en constante évolution.
Une direction responsabilisée signifie que ce risque doit être assumé directement. Les organisations qui dépassent la confiance passive des fournisseurs et adoptent des processus de vérification active sont celles qui préservent leur autonomie. En termes simples, chaque produit tiers doit répondre aux mêmes normes de sécurité que celles que vous avez fixées pour votre développement interne. C’est le seul moyen de protéger l’innovation sans compromettre la résilience.
Un projet en tête ?
Planifiez un appel de 30 minutes avec nous.
Des experts senior pour vous aider à avancer plus vite : produit, tech, cloud & IA.
Les menaces émanant d’États-nations et alimentées par l’IA redessinent le paysage de la cybersécurité.
La cybersécurité est en pleine mutation. Les groupes criminels traditionnels ne sont plus la seule préoccupation, les États-nations et les acteurs de la menace pilotés par l’IA sont désormais à l’origine d’une grande partie de l’activité. Le rapport de Cobalt montre que 20 % des organisations interrogées considèrent les menaces des États-nations comme l’un de leurs principaux risques. Dans les services financiers, ce chiffre atteint 40 %, ce qui confirme que ces secteurs sont des cibles de grande valeur pour des opérations ciblées et bien financées.
Dans le même temps, les attaquants utilisent l’IA pour étendre et affiner leurs méthodes. Le rapport indique que 93 % des professionnels de la sécurité ont observé des adversaires utilisant l’IA pour rendre leurs attaques plus avancées et plus efficaces. Ces menaces évoluent non seulement plus rapidement, mais deviennent également plus précises. L’IA permet aux adversaires de sonder les systèmes en permanence, d’identifier les faiblesses plus rapidement que les humains et d’automatiser l’exploitation à travers les systèmes et les zones géographiques.
Pour les équipes dirigeantes, cela signifie que l’environnement des menaces n’est plus prévisible ni facilement maîtrisable. L’interaction entre la géopolitique et la technologie crée des scénarios de risque qui peuvent directement perturber les opérations, les systèmes financiers et les réseaux d’approvisionnement. La stratégie de sécurité doit aller au-delà de l’endiguement technique pour inclure la résilience stratégique, l’anticipation, la coordination et la planification de la continuité.
Les dirigeants devraient traiter ce problème comme un risque systémique pour l’entreprise plutôt que comme un problème informatique isolé. Les investissements dans les partenariats de partage de renseignements, les capacités de réponse rapide et les outils défensifs basés sur l’IA peuvent aider à maintenir un avantage. La rapidité et la sophistication des menaces basées sur l’IA exigent une innovation égale, voire supérieure, en matière de défense. Les organisations qui s’adaptent le plus rapidement seront celles qui maintiendront la stabilité et inspireront une réelle confiance lors des futures perturbations.
Il existe un décalage entre les perceptions de la direction et les réalités opérationnelles de la correction des vulnérabilités.
Les données de Cobalt révèlent un décalage important entre la perception des dirigeants et l’expérience des équipes de cybersécurité en première ligne. Alors que 57 % des dirigeants pensent que leur organisation atteint régulièrement les objectifs de remédiation, seuls 15 % des praticiens de la sécurité sont de cet avis. Dans la pratique, les organisations les plus performantes comblent les failles à haut risque en une dizaine de jours, alors qu’en bas de l’échelle, cela peut prendre 249 jours. Cet écart de performance représente plus qu’un problème de procédure, il reflète une mauvaise communication, des mesures mal placées et un manque de responsabilité unifiée.
Pour les dirigeants, ce décalage peut conduire à une fausse confiance et à des réponses tardives lorsque des problèmes surviennent. Les équipes de sécurité sont souvent confrontées à des contraintes en termes de ressources, d’outils et de priorités que les dirigeants sous-estiment ou comprennent mal. Lorsque ces réalités sont masquées par des rapports optimistes, les organisations développent un sentiment de sécurité fragile qui s’effondre sous la pression.
Pour combler ce fossé, il faut changer de culture et de processus. La sécurité doit être intégrée directement dans l’évaluation des performances de l’entreprise, et non traitée comme une préoccupation opérationnelle distincte. Les progrès doivent être mesurés en fonction des résultats vérifiés, du nombre de vulnérabilités comblées, des délais de réponse et de l’efficacité de la collaboration interne, et non pas seulement en fonction de l’allocation budgétaire ou de la conformité déclarée. La véritable maturité en matière de sécurité découle de la transparence à tous les niveaux de l’organisation.
Les dirigeants qui insistent sur l’alignement entre les attentes du conseil d’administration et les résultats sur le terrain construiront des systèmes plus solides et plus responsables. Cet alignement favorise une prise de décision plus rapide, une évaluation plus précise des risques et une culture qui considère la cyberdéfense comme une responsabilité partagée, et non comme un fardeau délégué.
Les tests de pénétration programmatiques et continus permettent de résoudre plus rapidement les vulnérabilités et d’obtenir des résultats plus probants en matière de sécurité.
L’étude de Cobalt le montre clairement : les organisations qui utilisent des tests de pénétration continus et programmatiques ont une longueur d’avance dans la résolution des vulnérabilités critiques. Elles sont 4,5 fois plus susceptibles de corriger les découvertes à haut risque dans les trois jours que les équipes qui s’appuient sur des tests périodiques ou basés sur la conformité. Cette approche transforme la sécurité d’une fonction réactive en un processus actif et continu, qui mesure, vérifie et améliore constamment la résilience.
Les tests de conformité traditionnels créent de longs intervalles entre les évaluations, ce qui permet aux menaces de s’accumuler sans être détectées. Les tests continus, en revanche, fournissent une vue en temps réel de l’exposition aux risques. Les équipes de sécurité disposent ainsi d’informations précises et actualisées qui peuvent les aider à prendre des décisions immédiates. Pour les dirigeants, cela se traduit directement par une diminution des interruptions de système, une réduction des coûts de remédiation et une plus grande confiance des parties prenantes dans la capacité de l’entreprise à gérer les menaces.
Un modèle de test continu introduit également une discipline opérationnelle. Il garantit que les résultats en matière de sécurité ne restent pas sans réponse et que la responsabilité s’étend des équipes techniques à la supervision de la direction. Ce niveau de cohérence favorise l’efficacité à long terme, car les problèmes récurrents sont détectés plus tôt et résolus plus rapidement. Au fil du temps, il crée un cycle d’amélioration mesurable qui renforce à la fois la capacité de défense et la confiance.
Pour les chefs d’entreprise, le message est simple : Considérez les tests continus comme un investissement stratégique, et non comme une mise à jour technique. La capacité à identifier les vulnérabilités et à y remédier rapidement protège non seulement l’intégrité des données, mais aussi l’agilité de l’entreprise sur les marchés concurrentiels. Les organisations les plus sûres maintiennent cette dynamique, en testant, validant et améliorant sans attendre de déclencheurs externes.
L’augmentation des dépenses de sécurité ne suffit pas à pallier les limites des méthodes d’évaluation traditionnelles
Les données de Cobalt montrent que les dépenses ont tendance à augmenter dans tous les secteurs. Environ 33 % des organisations ont signalé une augmentation importante de leur budget de sécurité, tandis que 50 % ont constaté une croissance modérée. Cependant, cette augmentation de l’allocation des capitaux n’a pas produit des résultats suffisamment solides pour contrer les menaces modernes. Le problème n’est pas de savoir combien on dépense, mais où et comment on concentre ces ressources. Les évaluations et certifications annuelles conventionnelles ne peuvent pas suivre le rythme de l’évolution constante des méthodes d’attaque, en particulier celles qui sont alimentées par l’IA ou par les vulnérabilités de la chaîne d’approvisionnement.
Pour les cadres responsables de l’allocation des budgets, cela nécessite une réévaluation des priorités. Les investissements doivent s’éloigner des audits de sécurité statiques pour s’orienter vers des stratégies permanentes basées sur le renseignement. Cela signifie une détection des menaces en temps réel, des tests continus et des plateformes de défense adaptatives qui s’ajustent au fur et à mesure que de nouvelles surfaces d’attaque apparaissent. Les audits et les certifications classiques peuvent contribuer à la conformité, mais ils n’offrent qu’une protection limitée contre les menaces qui évoluent quotidiennement.
Il s’agit également d’une question de confiance et de responsabilité. De nombreux conseils d’administration et investisseurs considèrent que des budgets plus élevés sont synonymes d’une meilleure protection. Les données ne confirment plus cette hypothèse. Les dépenses de sécurité doivent désormais démontrer un impact mesurable, des temps de réponse plus rapides, des taux de remédiation plus élevés et des indicateurs de résilience améliorés. Sans suivi direct des performances, l’augmentation des dépenses peut masquer les inefficacités au lieu de les résoudre.
Les dirigeants devraient considérer l’augmentation des budgets comme une occasion de moderniser leurs modèles de sécurité. L’avenir de la cybersécurité dépend de systèmes dynamiques et intégrés capables de se défendre rapidement. L’argent seul ne permet pas d’atteindre ce résultat, ce sont l’orientation stratégique et l’adaptation continue qui y parviendront.
Les faiblesses inhérentes aux modèles d’IA sous-jacents exigent des tests proactifs et une responsabilisation des fournisseurs.
Le rapport State of Pentesting de Cobalt met en lumière une vérité difficile à admettre concernant les risques liés à l’intelligence artificielle : de nombreuses vulnérabilités proviennent des modèles de base eux-mêmes, et non des systèmes développés par les utilisateurs. Gunter Ollmann, directeur de la technologie chez Cobalt, explique que le faible taux de résolution des failles de l’intelligence artificielle résulte en grande partie de faiblesses de conception dans les grands modèles de langage, des domaines que la plupart des organisations ne peuvent pas directement modifier ou réparer. Cela signifie qu’en attendant que les fournisseurs publient des correctifs, les entreprises restent exposées pendant de longues périodes, souvent longtemps après qu’une faiblesse a été découverte.
Pour les dirigeants, cela pose un problème stratégique qui va au-delà des opérations de cybersécurité standard. Les fournisseurs et les prestataires de technologie contrôlent souvent les modèles sous-jacents qui alimentent les fonctions d’IA, mais la responsabilité de la sécurisation des applications qui en résultent incombe à l’organisation qui les déploie. Ce décalage appelle une forme plus affirmée de gestion des risques. Les tests de pénétration continus permettent aux organisations de détecter les voies d’exploitation avant que les attaquants ne le fassent. Ils garantissent que même s’il existe des vulnérabilités au niveau du modèle, les systèmes environnants, les interfaces, les intégrations et les contrôles d’accès restent protégés.
Les décideurs doivent reconnaître que la responsabilité des fournisseurs d’IA doit devenir un élément essentiel de la stratégie d’approvisionnement et d’exploitation. Les entreprises ne peuvent pas dépendre uniquement des garanties de sécurité externes ou de la transparence des fournisseurs pour se protéger des menaces. Les équipes internes doivent être en mesure de tester et de valider les systèmes dans des conditions réelles, de manière continue et indépendante. Cette approche proactive réduit l’exposition et renforce le pouvoir de négociation avec les fournisseurs, en renforçant les attentes de normes de sécurité plus élevées dans l’ensemble de l’écosystème de l’IA.
M. Ollmann a fait remarquer que les données de l’année dernière soulignaient à quel point les chaînes d’approvisionnement étaient devenues vulnérables et il a exhorté les organisations à agir plutôt qu’à attendre. Sa recommandation est directe : adopter une stratégie de sécurité offensive qui identifie rapidement les vulnérabilités et limite l’accès des fournisseurs aux données sensibles jusqu’à ce que des mesures de protection adéquates aient été mises en place. Pour les dirigeants, suivre ces conseils signifie intégrer la responsabilité et la résilience dans la stratégie d’innovation de l’organisation, et pas seulement dans son cadre de sécurité.
Dernières réflexions
La cybersécurité est désormais une question de rythme et de précision. Les données du rapport de Cobalt confirment que les menaces progressent plus vite que les systèmes construits pour les contenir. Les vulnérabilités de l’IA et du LLM, les dépendances de tiers et les cycles de remédiation faibles sont passés du statut de défis techniques à celui d’impératifs pour les conseils d’administration.
Pour les dirigeants, il ne s’agit pas seulement d’un appel à l’amélioration des défenses, mais d’un rappel que la sécurité doit évoluer à la même vitesse que l’innovation. Les organisations qui réussiront seront celles qui considèrent les tests continus comme un processus fondamental, et non comme une mesure de protection facultative. Elles exigeront des fournisseurs une véritable responsabilité, mesureront les résultats grâce à des données vérifiées et trouveront un équilibre entre l’innovation et le contrôle.
L’avenir appartient aux entreprises qui intègrent la sécurité dans chacune de leurs décisions. Il ne s’agit pas d’arrêter le progrès, mais de s’assurer que chaque pas en avant repose sur quelque chose d’assez stable pour durer.
Un projet en tête ?
Planifiez un appel de 30 minutes avec nous.
Des experts senior pour vous aider à avancer plus vite : produit, tech, cloud & IA.
