Guides pratiques pour vous protéger — vous, votre famille et votre entreprise — contre les arnaques liées à l'IA, les deepfakes et les nouvelles menaces cyber.
Le 22 juin 2026, les agences de cybersécurité de cinq pays, les États-Unis, le Royaume-Uni, le Canada, l'Australie et la Nouvelle-Zélande, ont signé une déclaration commune, un geste qu'elles posent rarement à l'unisson. Le texte s'adresse directement aux conseils d'administration et ramène son avertissement à une formule qui a fait le tour du secteur : l'IA de pointe s'apprête à redéfinir la façon dont les attaques sont conçues et menées, et « l'échéance ne se compte pas en années, mais en mois ».
Réunies sous le nom de Five Eyes, ces agences n'annoncent ni intrusion ni victime. Elles livrent une prévision, portée par celles et ceux dont le métier consiste à surveiller le piratage commandité par des États. La vraie question n'est pas de savoir si leur calendrier est juste au mois près. Elle consiste à déterminer ce qu'un dirigeant, un RSSI (responsable de la sécurité des systèmes d'information) ou un DSI devrait changer dès ce trimestre, même s'ils n'ont qu'à peu près raison.
Intitulée « The AI shift in cyber risk : why leaders must act now », la déclaration porte la signature des cinq dirigeants d'agence, parmi lesquels Nick Andersen, directeur par intérim de la CISA (l'agence américaine chargée de la cybersécurité et de la sécurité des infrastructures), et David Imbordino, responsable de la cybersécurité à la NSA. L'idée centrale tient en peu de mots : les modèles d'IA de pointe, soit les systèmes les plus puissants conçus par des laboratoires comme Anthropic ou OpenAI, vont bouleverser aussi bien l'attaque que la défense, et plus tôt que le secteur ne l'anticipait.
Le mécanisme mérite qu'on s'y attarde, car le titre l'escamote. Un modèle capable de repérer une faille logicielle, d'en écrire le code d'exploitation, puis de se corriger quand sa première tentative échoue ramène à quelques minutes et à une simple requête un travail qui réclamait jusqu'ici un spécialiste et plusieurs jours. Cette compétence ne reste pas cloisonnée dans les laboratoires. Les modèles ouverts (open source) accusent un retard régulier de six à huit mois sur les modèles de pointe, de sorte qu'une technique de piratage aujourd'hui coûteuse et encadrée devient, en quelques mois, gratuite et téléchargeable par n'importe qui. Les agences le disent sans détour : des modèles déjà performants circulent via d'anciennes versions commerciales, des dépôts ouverts ou des sources étrangères et clandestines. La barrière qui réservait l'outillage offensif avancé aux groupes les mieux dotés est en train de céder.
La conséquence concrète se lit déjà dans ce délai de trois jours : l'État réécrit ses propres échéances parce qu'il s'attend à voir fondre, presque jusqu'à zéro, le temps qui sépare la publication d'une faille de son exploitation. Pour votre organisation, le point délicat est ailleurs. L'avis ne décrit aucune attaque exotique réclamant un nouvel outil : il décrit la dette de sécurité que vous traînez déjà. Le serveur non corrigé que vous comptiez traiter au prochain trimestre, l'application héritée à laquelle personne n'ose toucher, le service resté ouvert sur Internet, les comptes encore privés d'une authentification multifacteur robuste (cette deuxième étape de connexion qui s'ajoute au mot de passe) cessent d'être des risques tolérables pour devenir les premières portes qu'un attaquant automatisé poussera, bien plus vite que vos équipes ne peuvent les surveiller. Le basculement de fond se résume à un décalage de vitesse : lorsqu'un assaillant repère et arme une faille en quelques minutes quand votre cycle de correctifs se compte encore en semaines, c'est le cycle lui-même qui devient la faille. Cette IA qui inquiète les agences renforce d'ailleurs la défense, d'où des programmes comme Project Glasswing d'Anthropic ou Trusted Access for Cyber d'OpenAI. Reste qu'on ne gagne une course qu'en y prenant part.
Rien dans cet avertissement ne relève de l'attaque inédite, et c'est tout l'intérêt à emporter dans votre prochaine revue de sécurité. Cinq États qui s'expriment rarement d'une même voix tombent d'accord : le coût et le niveau d'expertise nécessaires pour mener une cyberattaque sérieuse vont nettement baisser, et les failles ainsi exposées sont les plus ordinaires, celles que la plupart des organisations renvoient à plus tard. Le travail n'a pas changé. L'échéance, si. La question honnête pour cette réunion : si le temps entre la publication d'une vulnérabilité et son exploitation tombe à une seule journée, est-ce que quoi que ce soit dans votre manière de corriger, d'exposer et d'authentifier tient encore debout ?


