Les cyber-effets basés sur l’IA « évoluent si vite que c’est effrayant » : un ancien DSI du Pentagone

ParMarie

Les modèles d’IA dotés de capacités de piratage avancées comme Mythos d’Anthropic devraient concerner les agences fédérales qui traitent des informations sensibles, a déclaré un haut responsable technique de la CIA.

« Je pense que c’est un point de réflexion et je pense que les gens doivent le voir de cette façon », a déclaré Dan Richard, directeur adjoint associé de la Direction de l’innovation numérique de la CIA. Richard a pris la parole vendredi lors d’un panel lors de la conférence Qualys ROCon Public Sector 2026 à Tysons Corner, en Virginie.

Une première version du logiciel Mythos a été publiée en avril auprès d’un groupe limité d’entreprises technologiques en grande pompe, en raison de sa capacité à détecter des bogues et des défauts logiciels cachés depuis longtemps. Les chercheurs et les experts en sécurité ont réagi avec un mélange d’enthousiasme et de prudence, certains avertissant que le logiciel pourrait ouvrir la voie à une nouvelle ère pour les pirates informatiques et abaisser la barrière à l’entrée pour les attaquants. Les mythes et les modèles concurrents comme le GPT-5.5 d’OpenAI ont contraint les agences exécutives à se débattre avec leurs capacités et ont provoqué des briefings d’urgence pour les législateurs.

Richard s’est dit « optimiste quant aux opportunités qui existent », en grande partie parce que ces modèles d’IA peuvent aider des agences comme la CIA à faire face au déluge de données qu’elles génèrent et à automatiser les réponses aux menaces potentielles. Il a comparé le moment actuel axé sur le mythe à la réponse de l’Ukraine à l’invasion russe en 2022.

L’Ukraine « a traversé une décennie pendant laquelle les Russes ont infiltré leurs réseaux et ont dû faire face à ces implications, mais lorsque les Russes ont attaqué en 2022, les Ukrainiens étaient préparés parce qu’ils avaient compris qu’ils ne pouvaient pas le faire eux-mêmes », a-t-il déclaré. « À leurs côtés, les fournisseurs du secteur privé les soutenaient et les aidaient. »

Richard a déclaré que le gouvernement américain se trouve désormais dans la « même position » et que les partenariats public-privé seront essentiels pour garantir que la nation fasse les choses correctement.

« 80 % des infrastructures essentielles de notre pays sont entre les mains du secteur privé. Il n’y a donc aucune solution qui n’inclut pas les partenaires du secteur privé », a déclaré Richard. « Nous parlons tout le temps de partenariat, mais c’est vraiment différent. Ce n’est pas transactionnel. C’est nous, en tant que pays, qui réfléchissons avec la communauté universitaire, avec la communauté du secteur privé et avec nos partenaires du secteur public, travaillant ensemble pour pouvoir vaincre et profiter de ce que je considère comme une opportunité optimale pour l’agence, mais aussi pour le pays. »

Joe Kelly, directeur de division du Laboratoire de recherche appliquée sur le renseignement et la sécurité de l’Université du Maryland, a déclaré que les modèles d’IA avancés vont abaisser la barrière à l’entrée pour les pirates informatiques.

« Le vrai danger lorsque nous regardons quelque chose comme Mythos – que vous croyiez au battage médiatique ou non – est que cela crée certainement ce que nous voyons déjà avec Claude Code, la capacité des script kiddies à causer de réels dégâts même sans savoir ce qu’ils font », a déclaré Kelly. « Cela va lever tout cela. Je m’inquiète de la complexité dans laquelle nous entrons dans cette ère. »

« Ça va si vite, c’est effrayant »

Katie Arrington, directrice de l’information d’IonQ, qui a occupé l’année dernière le poste de directrice de l’information du Pentagone, a déclaré que l’afflux d’outils avancés d’IA – et la vitesse à laquelle ils émergent – ​​mettrait le gouvernement à l’épreuve à l’extrême. La gouvernance existante exige que les vulnérabilités de sécurité informatique soient corrigées dans un délai de 30 jours, et de 15 jours pour les vulnérabilités désignées « critiques ».

« Vous n’avez plus de temps comme ça », a déclaré Arrington lors d’un panel lors de l’événement Qualys. « Nous parlons d’un outil capable de trouver chaque vulnérabilité en quelques secondes sur une plateforme. »

Arrington a déclaré que ces types de modèles d’IA avancés n’étaient pas un sujet de discussion il y a à peine 12 mois. À cette époque, le Pentagone essayait simplement d’améliorer la vitesse à laquelle il pouvait introduire des outils généraux d’IA dans ses réseaux.

« Ça va si vite, c’est effrayant », a déclaré Arrington. « Cela me fait peur et ça m’excite de voir à quelle vitesse Mythe a pris vie. »

Sumedh Thakar, PDG de Qualys, a déclaré que les agences fédérales pourraient devoir adopter une approche plus proactive – plutôt que réactive – en matière de gestion des risques pour faire face à l’éventail croissant de menaces provenant des outils d’IA avancés. Son entreprise utilise ses outils de cybersécurité basés sur l’IA, notamment TotalCloud, qui a récemment reçu l’autorisation d’opérer dans les environnements FedRAMP High du gouvernement, pour permettre aux clients d’automatiser la correction des vulnérabilités, réduisant ainsi certains processus manuels et le « tourisme de tableau de bord » auquel les cyberprofessionnels sont normalement confrontés.

Thakar a déclaré que la remédiation autonome permet aux clients avertis de « combattre l’IA avec la vitesse de l’IA ».

« Maintenant, avec les attaquants qui exploitent l’IA, dès qu’un correctif est publié, ils peuvent procéder à une ingénierie inverse du correctif et commencer à comprendre l’exploit. Vos 30 jours sont devenus 30 heures, ou trois heures », a déclaré Thakar. « Ce sur quoi nous nous concentrons vraiment, c’est de surmonter la peur d’une remédiation autonome. Ce n’est pas une option. »

Marie
Marie

Je suis Marie, rédactrice chez "Visualiser La Corruption", munie d'une formation en droit et d'une passion ardente pour la justice. Mes analyses visent à démanteler les réseaux de corruption, illuminant la voie vers la transparence et l'équité. Mon objectif : inspirer le changement à travers l'information précise et impactante.

A lire également

La campagne commence dans les élections à mi-mandat philippines au milieu du drame de mise en accusation de vice-présidence

La campagne commence dans les élections à mi-mandat philippines au milieu du drame de mise en accusation de vice-présidence

La période de campagne de 90 jours pour les élections à mi-parcours des Philippines s'est ouverte aujourd'hui, dans le contexte d'une querelle politique amère qui a abouti à la mise en accusation de la vice-présidente de la semaine dernière, Sara…