YesWeHack vient de lancer le Pentest Agentique, une solution de cybersécurité qui déploie des agents IA autonomes pour tester les vulnérabilités des entreprises en conditions réelles. Avec des résultats disponibles le jour même du lancement des tests.

YesWeHack mise sur l'IA agentique pour réinventer le pentest et devancer les attaquants. © Alexandre Boero / Clubic
YesWeHack mise sur l'IA agentique pour réinventer le pentest et devancer les attaquants. © Alexandre Boero / Clubic

Référence française et européenne de la sécurité offensive, YesWeHack a lancé ce 25 juin 2026 son Pentest Agentique. Il s'agit d'une solution d'agents IA autonomes capables de s'introduire légalement dans les systèmes d'une entreprise, Dassault fait partie des premières convaincues, pour y débusquer les failles de sécurité et rendre leur verdict… le jour même. Une riposte technologique directe face à des cybercriminels qui, de leur côté, ont depuis longtemps intégré l'IA dans leur arsenal. Le dispositif s'intègre à la suite d'outils de sécurité existants de YesWeHack.

YesWeHack lance son Pentest Agentique : des agents IA pour traquer vos failles en temps réel

Alors comment fonctionne la solution, concrètement ? Le Pentest Agentique envoie des agents IA autonomes explorer et sonder tous les points d'entrée numériques d'une organisation, que ce soit ses sites web, ses applications mobiles, ses API, ces interfaces qui font communiquer les logiciels entre eux, ou encore tout autre service accessible depuis internet. Selon le niveau d'information fourni en amont à ces agents, trois modes de test sont possibles. En boîte noire, les agents ne savent rien du système visé et partent de zéro comme un vrai attaquant. En boîte grise, ils disposent de quelques informations partielles. Et en boîte blanche, ils ont accès à l'architecture complète. Les résultats remontent en temps réel sur la plateforme, sans attendre la fin de la mission.

Pour mener ces opérations, la solution s'appuie sur les modèles d'IA les plus avancés du marché, y compris des modèles dits open-weight, modèles dont les paramètres sont publiquement accessibles, ce qui permet de les faire tourner sur ses propres serveurs, plutôt que de dépendre d'un fournisseur externe. La conséquence, c'est que les entreprises peuvent choisir des modèles hébergés dans une zone géographique précise, en Europe ou en Asie-Pacifique par exemple, plutôt que de voir leurs données transiter vers des serveurs américains. À l'heure où les questions de souveraineté numérique et de conformité au RGPD s'imposent dans certaines décisions d'achat, c'est un argument qui peut faire mouche auprès de nombreuses entreprises européennes.

Aperçu de Pentest Agentique en fonctionnement dans l’environnement test de YesWeHack. © YesWeHack pour Clubic
Aperçu de Pentest Agentique en fonctionnement dans l’environnement test de YesWeHack. © YesWeHack pour Clubic

Guillaume Vassault-Houlière, le PDG et cofondateur de YesWeHack, rappellent que les attaquants s'appuient de plus en plus sur l'IA, et que les fenêtres d'exploitation se resserrent. « Le Pentest Agentique est plus rapide et plus simple à mettre en place et à exécuter que les pentests traditionnels menés par des humains », dit-il. L'objectif du Pentest Agentique, vous l'avez compris, est donc de permettre aux équipes SecOps de répondre à la même vitesse, avec une couverture renforcée, une détection des chemins d'attaque, et une prise en charge complète du Top 10 de l'OWASP, l'Open Worldwide Application Security Project (OWASP), une organisation à but non lucratif qui promeut la formation et les bonnes pratiques en matière de sécurité logicielle.

Dassault et Sanofi et la promesse de ne pas sacrifier le hacker humain

L'un des arguments forts de la solution, c'est son intégration native à la plateforme YesWeHack. Les équipes de sécurité y centralisent les résultats du Pentest Agentique aux côtés de ceux du Bug Bounty (la prime aux bogues), des pentests continus et des alertes sur CVE activement exploitées. Un service de triage humain, disponible 24h/24 et 7j/7, est proposé en option pour valider chaque résultat avec, à la clé, une garantie d'absence totale de faux positifs.

Pour l'heure, le Pentest Agentique couvre uniquement les surfaces d'attaque externes. La prise en charge des périmètres internes est annoncée en développement. Dassault Systèmes et Sanofi, ainsi que plusieurs autres entreprises du CAC 40, ont déjà franchi le pas. Les clients de Sekost, la société d'audit en cybersécurité rachetée par YesWeHack en 2025, y auront bientôt également accès.

Sur la question des données, YesWeHack affirme que les informations issues des programmes de Bug Bounty ne serviront pas à entraîner les modèles d'IA. Quant au rôle du hacker humain, le message reste que l'IA complète, elle ne remplace pas. La communauté de plus de 150 000 hackers éthiques reste un pilier central du modèle, aux côtés de clients comme L'Oréal, Louis Vuitton, Ferrero et la Commission européenne.