MtoM Mag - Le journal de l'MtoM.

Quelles sont vos premières impressions sur le GPT-5.4-Cyber ?

« GPT-5.4-Cyber reflète la rapidité avec laquelle la détection des vulnérabilités basée sur l’IA arrive à maturité. Ce qui est remarquable, ce n’est pas seulement que ces modèles puissent détecter des problèmes, mais qu’ils le fassent de manière plus cohérente et avec moins d’intervention humaine. Historiquement, cela nécessitait des cycles d’analyse, de rétro-ingénierie et de développement d’exploits pouvant prendre des semaines, voire des mois, même pour des professionnels expérimentés. Il n’y avait également qu’un très petit nombre de personnes dans le monde qui étaient des experts chevronnés dans ce domaine. Ces avancées commencent à éliminer le goulot d’étranglement qui existait auparavant – le temps et l’expertise humains – dans le développement d’exploits et permettent aux experts de se concentrer plus efficacement sur les bugs présentant la plus grande valeur. »

Que pensez-vous du programme Trusted Access for Cyber (TAC) d’OpenAI ?

« Des programmes comme le TAC constituent un pas dans la bonne direction. Nous voyons plusieurs entreprises d’IA inviter le secteur à tester ou à examiner leurs produits émergents, notamment Anthropic avec la version limitée de Mythos. Anthropic et OpenAI ont toutes deux conclu que leurs récentes versions avaient de puissantes applications à double usage pour des travaux offensifs et défensifs. Le programme TAC permet aux défenseurs d’accéder à cette capacité ; Glasswing d’Anthropic permet aux organisations de prévisualiser les CVE détectés par Mythos afin d’appliquer des correctifs avant la diffusion à l’échelle du secteur. Les mécanismes de ces programmes sont différents, et je ne pense pas que l’un ou l’autre soit une solution parfaite, mais l’esprit et l’intention semblent être les bons pour les deux. Les équipes de recherche investissent dans la défense collaborative. J’espère que ces programmes contribueront à faire de cette approche la norme pour une mise en œuvre responsable de ces modèles. »

S’agit-il davantage d’un effet de mode ou y a-t-il une réelle substance ?

« Il y a une réelle substance ici. La dynamique concurrentielle entre les fournisseurs et les progrès de l’IA en général accélèrent les délais. Nous voyons des modèles comme Mythos rivaliser sur des échelles et des évaluations, telles que CyberGym, qu’ils n’avaient jamais été capables d’atteindre auparavant. Bien que GPT-5.4 n’ait pas publié de tels résultats pour une évaluation indépendante, c’est la réponse d’OpenAI à ce niveau de capacité. Ce que nous observons avec OpenAI, parallèlement aux initiatives d’autres acteurs du secteur, c’est que ces modèles s’améliorent rapidement et que ce niveau de capacité ne restera pas longtemps l’apanage d’un petit groupe. Anthropic estime que les modèles à poids ouvert atteindront une capacité équivalente d’ici 6 à 18 mois, et je pense que ce sera plus proche de 6 que de 18. »

Quelles sont les implications de GPT-5.4-Cyber sur le paysage des menaces ?

« La principale implication est la vitesse et l’échelle. Le jeu du chat et de la souris auquel nous jouons depuis des années en matière de sécurité se déroule désormais à une échelle amplifiée. Historiquement, le délai entre la divulgation et l’exploitation était d’environ 63 jours. Il s’est réduit à seulement 5 jours en 2024. Cette nouvelle classe de modèles a ramené ce délai à quelques heures. À mesure que les modèles s’améliorent dans l’identification des vulnérabilités, le délai entre la découverte et l’exploitation continue de se réduire. Cela met la pression sur les organisations pour qu’elles s’orientent vers une validation continue et une réponse en temps réel. L’arrivée de modèles à poids ouvert dans l’écosystème va accroître cette pression. »

Autre chose à ajouter ?

« La véritable contrainte est d’ordre opérationnel. Ce dont je suis moins sûr, c’est de savoir si le contrôle des changements organisationnels peut évoluer assez rapidement pour agir sur ce que ces modèles détectent avant qu’ils ne soient diffusés dans la nature. De nombreuses organisations peuvent identifier les problèmes et effectuer des analyses de vulnérabilité, mais rares sont celles qui peuvent prouver qu’elles les ont corrigés sur tous les terminaux. Ce problème est amplifié lorsque l’on considère que le NVD peine déjà à suivre le rythme, près de la moitié de toutes les vulnérabilités ajoutées au cours de l’année écoulée étant perpétuellement bloquées en « attente d’analyse ». C’est dans cet écart entre la découverte, l’analyse et la correction vérifiée que réside l’exposition dans cette nouvelle dynamique. Les équipes ont besoin d’une visibilité continue sur ce qui s’exécute sur leurs systèmes et sur la réussite de l’application des correctifs. Savoir que vous avez corrigé une vulnérabilité et en avoir la preuve technique, sur chaque terminal, est essentiel lorsque les délais se raccourcissent et qu’une couverture insuffisante suffit à un adversaire pour revenir à la charge. »