Le 24 juin 2026, le Centre canadien pour la cybersécurité a publié une déclaration qui mérite d'atterrir sur le bureau de chaque dirigeant. Le message, porté par Rajiv Gupta, dirigeant principal du Centre, est sans détour : « L'IA de pointe transforme le contexte des cybermenaces à un rythme qui nécessite des interventions immédiates. » Pas au prochain cycle budgétaire. Maintenant.
Cette déclaration s'inscrit dans la foulée d'une déclaration commune des organismes de cybersécurité de la collectivité des cinq (Five Eyes), qui exhorte les hautes décideuses et hauts décideurs partout dans le monde à renforcer immédiatement leurs cyberdéfenses avant qu'un cyberincident n'entraîne une crise opérationnelle et financière majeure. Quand cinq agences nationales s'alignent sur le même message la même semaine, ce n'est pas une note de veille : c'est un signal stratégique.
Le vrai changement : la fenêtre de réponse s'effondre
Le cœur de l'alerte n'est pas que l'IA crée de nouvelles menaces. C'est qu'elle comprime le temps. Les modèles d'IA de pointe aident les auteurs de menaces à trouver et exploiter des vulnérabilités — failles logicielles comme faiblesses dans les contrôles de sécurité — bien plus vite qu'avant. Le Centre canadien le formule crûment : le délai dont disposent les défenseurs pour réagir passe, dans certains cas, de jours ou de semaines à des heures.
- Problème : vos processus de détection et de remédiation ont été calibrés pour un monde où un correctif appliqué « dans la semaine » était acceptable. Ce monde n'existe plus.
- Impact : une vulnérabilité divulguée le matin peut être exploitée en masse l'après-midi, par des acteurs qui n'auraient jamais eu les compétences pour écrire l'exploit eux-mêmes.
- Action : raccourcissez votre propre boucle. La priorisation manuelle, trimestrielle, des vulnérabilités est dépassée. Il faut une visibilité continue sur votre exposition et une remédiation pilotée par le risque réel, pas par le calendrier.
Ce que les auteurs de menace font déjà avec l'IA
La déclaration, qui s'appuie sur l'Évaluation des cybermenaces nationales 2025-2026 et la Vue d'ensemble des menaces par rançongiciel de 2025 à 2027, est précise : l'IA réduit les barrières à l'entrée des cyberactivités malveillantes. Les auteurs de menace l'utilisent déjà pour :
- Identifier et exploiter des vulnérabilités à une vitesse sans précédent — failles logicielles comme lacunes dans les contrôles de sécurité.
- Chaîner les vulnérabilités : repérer et combiner plusieurs faiblesses pour construire une attaque complète, une technique connue sous le nom de « chaînage de vulnérabilités ».
- Créer rapidement et à grande échelle des campagnes plus convaincantes d'hameçonnage, d'hameçonnage vocal (vishing) et d'usurpation d'identité par hypertrucage (deepfake) — que nous avions déjà documentées.
L'effet le plus structurant est le dernier : l'IA aide les auteurs de menace les moins expérimentés à mener des cyberattaques complexes qu'ils n'auraient jamais pu monter seuls. L'attaque sophistiquée n'est plus réservée aux groupes les mieux dotés.
Le risque vient aussi de l'intérieur
Le Centre canadien insiste sur un point que beaucoup d'organisations négligent : l'IA introduit des risques internes, indépendamment de tout attaquant.
- L'usage non approuvé d'outils d'IA par les employés (le « shadow AI »).
- L'exposition de données sensibles versées dans des modèles tiers.
- La dépendance à des résultats inexacts ou manipulés, sur lesquels des décisions sont prises.
Autrement dit, même sans adversaire, déployer l'IA sans gouvernance crée de la surface d'attaque et des fuites. La menace et l'outil sont la même technologie.
Les mesures à prendre dès maintenant
La bonne nouvelle, et c'est le point que martèle le Centre canadien : les contre-mesures restent largement fondamentales. L'IA accélère la menace, mais elle n'invalide pas l'hygiène cyber — elle la rend non négociable. La déclaration recommande notamment :
- Réduire la surface d'attaque et limiter l'exposition à Internet. Chaque actif inconnu ou oublié est une porte que l'IA adverse trouvera plus vite que vous. C'est exactement l'objet d'une démarche de gestion de la surface d'attaque externe : voir ce que voit l'attaquant, avant lui.
- Imposer une MFA résistante au hameçonnage (FIDO2/WebAuthn) pour les comptes sensibles. Les codes SMS ne résistent pas aux attaques en temps réel.
- Corriger plus souvent et plus vite, et traiter activement les systèmes en fin de vie ou non supportés.
- Centraliser la journalisation et déployer une détection d'anomalies fondée sur le comportement, pour repérer ce qu'aucun filtre de contenu ne verra.
- Segmenter les systèmes pour contenir la propagation d'une intrusion.
- Tester ses plans de réponse à incident — confinement et reprise — pour que la fenêtre de quelques heures ne soit pas perdue en improvisation.
- Encadrer l'usage de l'IA en interne : politique claire, sensibilisation, règles sur les données sensibles.
- Exiger des fournisseurs tiers un niveau de sécurité équivalent. Votre risque tiers est désormais accéléré par l'IA au même titre que le vôtre.
Retourner l'IA en faveur de la défense
Le point le plus important de la déclaration est peut-être son refus du fatalisme. Le Centre canadien recommande explicitement d'intégrer l'IA dans les opérations de sécurité : pour identifier les vulnérabilités plus tôt, renforcer les pratiques de conception sécurisée, améliorer la surveillance et accélérer la détection et la réponse. C'est la logique du « AI vs AI » : si l'attaquant gagne en vitesse, le défenseur doit gagner en vitesse aussi, ou décrocher.
La vraie ligne de fracture n'est donc pas entre les organisations qui utilisent l'IA et celles qui l'évitent — l'adversaire, lui, l'utilise déjà. Elle est entre celles qui ont une visibilité continue, priorisée et actionnable sur leur risque, et celles qui découvrent leur exposition au moment de l'incident. Avec une fenêtre réduite à des heures, c'est cette visibilité qui fait la différence.
Si vous voulez voir à quoi ressemble cette posture — surface d'attaque cartographiée, renseignement sur les menaces en temps réel et risques priorisés dans une seule vue — le tour du produit montre comment nous transformons l'exposition en actions priorisées, à la vitesse que la menace impose désormais.