Cisco change sa façon d'annoncer ses failles : le raz-de-marée des CVE est là

La machine à divulguer les vulnérabilités commence à plier

Le 22 mai 2026, Cisco a annoncé qu'il abandonnait l'une des règles tacites les plus anciennes du secteur : publier un avis dédié pour chaque vulnérabilité interne au score CVSS notable. Désormais, les failles de moindre gravité repérées dans ses propres produits pourront se fondre dans les notes de version, les avis détaillés étant réservés aux cas critiques, activement exploités ou jugés sur le point de l'être. Aux clients, l'éditeur dira simplement d'installer la version durcie.

Cisco n'en dit pas moins ; il admet publiquement que ses propres outils d'IA débusquent désormais plus de vulnérabilités que sa chaîne de publication humaine ne peut en décrire. C'est cet aveu, plus que le changement de procédure, qui constitue l'information.

Ce qui a changé, et pourquoi

Dans un billet publié le 22 mai sur le blog Cisco Security, Russ Smoak, qui dirige la cellule Security Assurance & Response, ne prend pas de détour : des modèles d'IA de pointe tournent désormais au sein des équipes d'ingénierie pour trouver et corriger des failles à une cadence inédite, et les mêmes modèles attaquent les produits maison lors de simulations offensives. La chaîne de divulgation, pensée pour qu'un humain lise chaque trouvaille et rédige chaque avis, ne suit plus.

Le ressort est limpide une fois posé. Les modèles de raisonnement entraînés à la cybersécurité — Claude Mythos chez Anthropic, Gemini chez Google, GPT-5.5-Cyber chez OpenAI, soit la même génération d'outils que vos développeurs emploient peut-être déjà — excellent à repérer les failles de logique : une fonction qui se fie à une donnée qu'elle ne devrait pas, un contrôle de droits placé après l'action qu'il était censé protéger. Là où les fuzzers classiques, qui bombardent un programme d'entrées aléatoires, butent, ces modèles lisent le code alentour et raisonnent sur son intention. Lâchez-en un sur une base de code étendue : il remonte des centaines de pistes, dont beaucoup sont du bruit, certaines bien réelles, et parfois endormies en production depuis des années. D'où le déferlement.

• Selon l'analyse de VulnCheck du 14 mai 2026, les CVE publiées pour Chrome bondissent de 563 % depuis janvier. Mozilla suit à +156,9 %, VMware +180,9 %, Apache +170,3 %, F5 +113,8 %, et le programme CVE de GitHub à +476 %. La hausse touche de nombreux projets et de nombreux déclarants à la fois — elle n'est concentrée sur aucun outil.
• La liste des partenaires du projet Glasswing d'Anthropic, parue le 7 avril 2026, ressemble à l'annuaire des éditeurs derrière ces chiffres : AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks…
• Cas concret : la faille ActiveMQ CVE-2026-34197, trouvée par le chercheur Naveen Sunkavally avec l'aide de Claude, est aujourd'hui activement exploitée et inscrite au catalogue Known Exploited Vulnerabilities de la CISA. Le même flot qui charrie du bruit produit aussi ces pépites.

Ce que cela change pour vous

Depuis vingt ans, les équipes de sécurité tiennent un postulat simple : une CVE publiée est l'unité de base de la veille. On suit le flux de la NVD, la base américaine qui répertorie les CVE, on surveille son arrivée, on corrige ce qui obtient un score élevé. Ce modèle supposait des volumes qu'un humain pouvait écrire et lire. Le geste de Cisco — et les inflexions parallèles chez Mozilla, Microsoft, Apache ou Palo Alto — est le premier aveu public que ce postulat se fissure. Concrètement, si « relire le flux CVE le lundi matin » reste votre signal principal pour corriger les produits Cisco, vous laisserez de plus en plus de correctifs filer dans les notes de version, là où l'éditeur les mentionnera désormais sans avis dédié. Pendant ce temps, les attaquants armés des mêmes modèles raccourcissent le délai entre divulgation et exploitation : le rapport M-Trends 2026 de Mandiant relève que 28,3 % des CVE sont exploitées dans les vingt-quatre heures. Tout se déplace d'un coup — plus de failles trouvées, moins d'annonces individuelles, exploitation plus rapide.

Les bons réflexes

1. Abonnez-vous aux notes de version des éditeurs, pas seulement à la NVD. Cisco PSIRT, le blog MSRC de Microsoft, le blog sécurité de Mozilla, les advisories GitHub : intégrez-les à votre revue hebdomadaire, car une part croissante des correctifs n'apparaîtra plus que là.
2. Triez sur la preuve d'exploitation, pas sur le score CVSS. Quand les volumes triplent, un CVSS à 9 cesse d'être rare. Appuyez-vous sur le catalogue KEV de la CISA, sur le score de probabilité EPSS et sur les évaluations de risque des éditeurs pour décider quoi traiter cette semaine, et réservez l'effort aux failles déjà utilisées contre de vraies cibles.
3. Acceptez le correctif « par version durcie » quand l'éditeur le recommande. Installer la version hardened devient un motif de correctif défendable en soi : adaptez votre processus de gestion du changement pour reconnaître « cette version contient des correctifs internes non divulgués » comme une justification valable.

À retenir

Cisco n'a pas resserré sa communication par avarice d'information, mais parce que ses modèles d'IA trouvent plus de bogues que sa chaîne humaine ne peut en raconter. Attendez-vous à ce que chaque grand éditeur fasse de même dans l'année. Le travail défensif — corriger vite ce qui compte — ne bouge pas. Le signal sur lequel vous vous fondez pour savoir ce qui compte, lui, est en train de changer.