Quand l'intelligence artificielle se met à auditer du code vieux de vingt ans, ce n'est pas la technologie qui pose problème. C'est ce qu'elle trouve.
Le 1er mai 2026, Ollie Whitehouse, directeur technique du National Cyber Security Centre britannique (NCSC), a publié un billet de blog au titre volontairement sobre : « Préparer une vague de correctifs de vulnérabilités ». Derrière la formule administrative se cache un avertissement adressé à toutes les organisations qui dépendent de logiciels anciens. En substance : l'IA permet désormais de scanner du code à une échelle et une vitesse qui rendent la découverte de failles enfouies quasi inévitable. Les organisations vont devoir absorber un volume de mises à jour de sécurité sans précédent dans les mois qui viennent.
L'ANSSI, le BSI et le CERT-EU sur la même ligne
Le NCSC n'est pas seul à tirer cette conclusion. Depuis le début de l'année 2026, plusieurs agences cyber européennes convergent vers le même diagnostic. L'ANSSI a publié en février son rapport CERTFR-2026-CTI-001 consacré à l'IA générative face aux cyberattaques, dans lequel elle qualifie l'IA de « multiplicateur d'efficacité ». En avril, le CERT-FR a formellement déconseillé le déploiement d'agents IA autonomes sur les postes de travail (bulletin CERTFR-2026-ACT-016), citant les risques d'injection de prompt et d'exécution non contrôlée. Vincent Strubel, directeur général de l'ANSSI, a déclaré au FIC de Lille fin mars que la bataille des vulnérabilités était « en train d'être perdue ».
Côté allemand, la présidente du BSI Claudia Plattner a confirmé en avril que l'agence était en contact direct avec Anthropic au sujet des capacités de son modèle Mythos en matière de découverte de failles. Le CERT-EU a publié de son côté une analyse intitulée « L'IA change l'économie de la découverte de vulnérabilités ». Les chiffres de fond donnent une idée de l'accélération : Google rapporte un délai moyen d'exploitation de −7 jours (l'exploit précède le correctif), et CrowdStrike documente une hausse de 42 % des zero-days exploités avant divulgation.
La directive NIS2, transposée en France depuis avril 2025, impose aux entités essentielles et importantes (dont les hébergeurs, fournisseurs cloud et opérateurs télécoms) de mettre en place une gestion des vulnérabilités conforme à l'article 21. Le Cyber Resilience Act (CRA) entrera en application partielle en septembre 2026 avec des obligations de signalement pour les éditeurs de logiciels, puis en régime complet en décembre 2027. En clair, les entreprises européennes vont devoir non seulement absorber la vague de correctifs que le NCSC anticipe, mais aussi documenter et signaler chaque faille exploitée.
Ce que ça change pour les DSI et RSSI français
Whitehouse recommande trois mesures immédiates. Réduire au minimum la surface d'attaque exposée sur Internet (un conseil que l'ANSSI martèle depuis des années, sans succès universel). Déployer des mécanismes de mise à jour automatique à chaud quand c'est possible. Remplacer les systèmes en fin de vie qui ne recevront pas les correctifs à venir.
L'impact sur le marché de la cybersécurité est déjà visible. William Blair a dégradé fin avril les trois principaux éditeurs de gestion de vulnérabilités (Qualys, Tenable, Rapid7) en anticipant que l'IA redistribuerait les cartes dans ce secteur. HackerOne a suspendu l'acceptation de nouvelles soumissions à son programme Internet Bug Bounty, submergé par le volume de rapports générés par IA. Notre dossier sur la cybersécurité et l'IA en 2026 anticipait cette dynamique dès janvier.
Pour les responsables techniques français, le message du NCSC se résume à un arbitrage de calendrier. Le CRA impose ses premiers signalements en septembre. La vague de découvertes IA a déjà commencé. Il reste quatre mois pour faire le tri entre la dette technique qu'on peut corriger et celle qu'on devra assumer publiquement.
