Ray Daoud

Raymond Daoud

Vice-président principal et chef de la sécurité

L’arrivée de modèles d’IA de pointe dotés de capacités de cybersécurité transformationnelles marque un tournant décisif dans la sécurité d’entreprise. Des modèles tels que Mythos d’Anthropic, GPT-5.5-Cyber d’OpenAI, entre autres, sont de plus en plus capables de mener des cyberattaques offensives, y compris la découverte de vulnérabilités, le développement d’exploits et un enchaînement d’attaques en plusieurs étapes. Des modèles d’IA plus anciens, bien que moins précis et efficaces, peuvent aussi être dommageables pour les entreprises.

Le succès de ces modèles ne veut pas dire que des couches de défense soigneusement conçues sont inefficientes. Il démontre plutôt que les délais sur lesquels les défenseurs peuvent compter – depuis la divulgation et l’exploit, l’alerte et le triage, et la disponibilité et le déploiement du correctif – se sont restreints de telle sorte qu’il sera possible de tester la résistance de la configuration et la rapidité d’exécution des cyberprogrammes.

Mandiant et Flashpoint ont fait preuve d’une réduction constante d’un ordre de grandeur du délai de mise en œuvre au cours des cinq dernières années. Le rapport mondial 2026 sur les menaces de CrowdStrike a également révélé une hausse de 89 % des activités hostiles fondées sur l’IA, avec les temps de rupture les plus rapides jamais observés maintenant mesurés en secondes et non plus en minutes.

Ces conclusions n’invalident pas les règles éprouvées de cybersécurité. Les disciplines qui importaient l’an dernier restent d’actualité aujourd’hui, et sans doute encore plus que jamais. La vérification systématique, la gestion des vulnérabilités, la gestion de l’exposition, la gestion des identités et l’intervention en cas d’incident demeurent toutes de bons fondements. Ce qui a changé est la marge d’erreur entourant les écarts ainsi que la rapidité et la précision de l’environnement au sein desquels ces disciplines doivent opérer.

L’IA modifie le goulot d’étranglement de la cybersécurité

Pendant des années, la découverte complète des vulnérabilités défensives a été l’un des défis les plus complexes de cybersécurité, mais l’IA de pointe commence à remettre en cause cette limitation. La version Firefox 150 de Mozilla, par exemple, a mis de l’avant et corrigé des centaines de problèmes grâce à une analyse assistée par l’IA. Une recherche récente d’OpenBSD a dévoilé une vulnérabilité TCP SACK vieille de 27 ans qui avait survécu à des décennies de révision humaine.

Ce ne sont pas des cas marginaux. Il s’agit d’indicateurs évidents d’un changement structurel : l’analyse fondée sur la machine permet aux défenseurs d’élargir leur recherche et expose les limites d’une découverte des vulnérabilités qui repose principalement sur une révision humaine.

À mesure que l’IA de pointe accélère la découverte des vulnérabilités, le goulot d’étranglement de la cybersécurité s’est déplacé en aval. L’analyse assistée par l’IA peut désormais générer davantage de constats que de nombreux programmes peuvent valider, hiérarchiser et résoudre au rythme requis. Le défi opérationnel n’est plus de simplement trouver davantage de vulnérabilités, mais de prendre des décisions plus éclairées, plus rapidement sur ce qui est exploitable dans chaque environnement et sur la façon de réduire le parcours entre cette décision et l’atténuation déployée.

Trois mesures devraient maintenant figurer dans le cyberrapport de la haute direction : les temps requis pour trier, atténuer et vérifier. Chacune de ces mesures cible un volet distinct de la chaîne de remédiation, là où les menaces accélérées par l’IA compriment la marge de manœuvre. Les programmes qui ne peuvent fournir ces mesures de façon fiable peuvent tout de même pratiquer les bonnes disciplines, mais à la mauvaise vitesse.

Pourquoi la rapidité d’intervention est la discipline au cœur de la cybersécurité

La compression du chrono de cybersécurité a fait de la rapidité d’exécution une discipline de sécurité en soi. La détection à elle seule n’est plus suffisante; la capacité d’évaluer, de décider et d’agir à la vitesse de la machine est maintenant la mesure déterminante de la résilience opérationnelle.

Un bon test de cette discipline consiste en un exercice sur table dans lequel trois des cinq vulnérabilités critiques émergent la même semaine, dont au moins une est exploitée dans le cadre d’une attaque en plusieurs étapes. Dans la plupart des organisations, la détection n’est pas le principal goulot d’étranglement. C’est plutôt la rapidité de l’évaluation de l’incidence, la clarté des droits décisionnels, la coordination entre les équipes, et la disponibilité des guides opérationnels préautorisés pour les cas plus sensibles. Celles-ci sont des lacunes organisationnelles et procédurales, et non purement techniques. C’est là que réside aujourd’hui le plus grand potentiel d’amélioration de la résilience.

La même compression de temps s’applique aux liens les plus vulnérables de la chaîne de sécurité : les utilisateurs finaux, les fournisseurs, et leurs identités. La majorité des intrusions débute encore par une attaque d’ingénierie sociale, une identité compromise, des erreurs de configuration ou un accès par des tiers. Elles ne sont pas les vecteurs d’attaque les plus sophistiqués sur le plan technique, mais elles demeurent grandement efficaces.

À mesure que les menaces et les vulnérabilités alimentées par l’IA s’accélèrent, une culture de sécurité renforcée et des contrôles solides entourant les utilisateurs et les fournisseurs deviennent essentiels à la résilience. Les adversaires empruntent la voie la plus rapide et non pas la plus technologiquement intéressante et, dans la plupart des environnements, ces voies cheminent à travers des humains.

Se défendre avec l’IA, assurer une gouvernance avec discipline

Les mêmes capacités qui accélèrent le chrono du pirate peuvent également limiter la réaction du défenseur. L’IA de pointe est à double usage, et la valeur opérationnelle du volet défensif devient mesurable. L’analyse de la télémétrie, la validation de la configuration en fonction des bases, la normalisation et l’enrichissement des journaux, la corrélation des alertes, la portée des incidents et les mesures des réponses automatisées sont autant de domaines où l’automatisation assistée par l’IA peut réduire le délai entre l’alerte et l’action.

Par contre, le marché des plateformes de sécurité natives de l’IA n’est pas encore mature. Des étalonnages indépendants continuent d’évoluer et des leaders incontestés de leur catégorie émergent. Les organisations qui progressent le plus sont celles qui renforcent leurs capacités dans leurs piles et partenariats existants, développent la couche d’IA délibérément, régissent son utilisation soigneusement, et s’approvisionnent de manière décisive. À cette étape, les organisations qui acheminent les tâches dans l’ensemble des modèles en fonction de la performance mesurée sont susceptibles de surpasser celles qui dépendent d’un seul fournisseur.

La discipline en ce qui a trait à l’adoption de l’IA défensive est tout aussi importante que l’adoption elle-même. Les principes généraux de la gouvernance de systèmes autonomes et alimentés par l’IA, soit l’observabilité, l’imputabilité, la surveillance humaine et la capacité d’intervenir rapidement lorsque les conditions changent, s’appliquent directement ici et sont explorés plus en détail dans mon blogue : La sécurité à la limite de l’autonomie : pourquoi l’IA et les enjeux géopolitiques forcent une remise à zéro.

L’utilisation défensive de l’IA de pointe n’est pas exempte de ces principes; c’est l’une des situations les plus déterminantes où les appliquer. Au sein de CGI, cette même discipline dicte notre façon d’intégrer l’IA dans nos propres opérations de cybersécurité, avec une supervision définie, des limites claires et la capacité de réagir rapidement lorsque le portrait opérationnel change.

Soutenir la résilience dans un environnement sous pression

Le travail qui définit la cyberrésilience dans cet environnement est largement invisible de l’extérieur. Il s’appuie sur une discipline opérationnelle soutenue : réduire le délai entre le moment où le changement survient et sa vérification, depuis l’application des correctifs, la configuration, la gestion de l’identité et le parc de fournisseurs. Aucun produit ou cadre de gestion unique ne peut atteindre un tel résultat. Il provient de l’exécution des programmes existants avec plus de rigueur, d’automatisation, de coordination et de pratique qu’il était historiquement nécessaire.

Voici la norme avec laquelle tout cyberprogramme est désormais mesuré, et non par des analystes ou conseils d’administration, mais par l’environnement de menaces lui-même. À mesure que les capacités accélérées par l’IA continuent de se propager parmi les criminels chevronnés, l’écart se creusera entre les organisations qui ont mis en œuvre cette discipline et celles pour qui elle n’est pas concrétisée.

La voie à suivre n’est pas uniquement de lancer de nouveaux programmes, mais d’optimiser ceux qui sont déjà en place. Réduire l’exposition. Tester et simuler les délais de correction avant que la pression ne monte. Renforcer les contrôles d’identité et de lutte contre la fraude. Piloter des essais d’IA défensive dans des scénarios d’utilisation contrôlés. Maintenir la rigueur pour absorber, prioriser et agir selon les conclusions au rythme où la situation l’exige.

À l’ère de l’IA de pointe, les organisations qui sauront gagner la confiance de leurs clients, autorités de réglementation et conseils d’administration seront celles dont les disciplines de sécurité progressent au rythme qu’exige désormais l’environnement de menaces. Les règles de cybersécurité demeurent solides, même si elles doivent être affinées. Le chrono, par contre, a radicalement changé.

CGI collabore avec des organisations de tous les secteurs d’activité pour assurer la cyberrésilience à l’ère de l’IA de pointe. Communiquez avec moi pour en savoir davantage.

À propos de l’auteur

Ray Daoud

Raymond Daoud

Vice-président principal et chef de la sécurité

Ray Daoud a été nommé chef de la sécurité de CGI le 1er juin 2023. Il est responsable de la supervision de la stratégie mondiale en matière de sécurité d’entreprise ainsi que de la définition des politiques, normes et pratiques mondiales de sécurité d’entreprise pour ...