La cybersécurité offensive, un moyen de répondre à la « menace Mythos » ?

Le marché de la cybersécurité offensive est désormais bien établi, avec d’un côté les test d'intrusion ponctuels réalisés sur un périmètre restreint pendant une à deux semaines et le Red Teaming, un effort sur plusieurs mois qui va simuler d’une certaine façon l’action d’un attaquant patient et motivé à percer les défenses d’une organisation. 

Lors d’une table ronde organisée sur le Forum InCyber dédiée à ce thème, Dimitrios Bougioukas, SVP, IT Security Training Services chez HackTheBox soulignait : « les deux approches sont complémentaires. Il ne s’agit plus de s’assurer de la conformité de la sécurité du système d’information, mais d’une nécessité et sans exagérer, je vous dirais qu'une organisation doit utiliser les deux approches parce que c'est une question de survie de leurs systèmes ».

Toutes les entreprises n’ont pas la maturité ou les moyens financiers de créer une Red Team interne, mais mener des tests d'intrusion réguliers est sans doute une démarche qui permet de définir des processus de remédiation solides et aller vers le Red Teaming dans le futur.

Philippe Dourassov, AI Pentest Lead chez Aikido Security pointe l’asymétrie des forces entre défenseurs et attaquants. « Fondamentalement, un défenseur ne peut voir que ce qu'il a protégé. Il ne peut pas voir ce qu'il n'a pas protégé, sinon il n'y aurait pas de bug, de vulnérabilités. C'est pour cela qu’il est important d’avoir une vision externe qui n'est pas restreinte aux suppositions faites par les défenseurs. Il s’agit de pouvoir "think outside the box", bénéficier d’une approche externe plus complète qui ne sera pas biaisée par tout ce qu'on pense savoir en tant que défenseur ».

De fait, la plupart des test d'intrusion menés permettent de remonter des failles de sévérité haute ou critique : « cela permet non seulement régler les vulnérabilités trouvées, mais également d’améliorer la posture de sécurité globale en analysant comment cette vulnérabilité est arrivée et comment l'éviter dans le futur ». 

Dimitrios Bougioukas, SVP, IT Security Training Services chez HackTheBox, ajoute que si un rapport de pentest reprend toutes les vulnérabilités qui ont été identifiées, les solutions proposées, le Red Teaming a une portée plus profonde : « le Red Teaming ne teste pas simplement la résilience de votre infrastructure, mais teste aussi celle de vos équipes, de vos processus internes. Le rapport du Red Teaming met en avant les vulnérabilités, mais il vous donne des conseils très précieux pour résoudre les écarts pour identifier la manière dont votre institution opère, pour voir à quelle vitesse par exemple une alerte va vous arriver ». 

Le problème typique des rapports de pentest est d’indiquer toutes les vulnérabilités qui ne constituent pas véritablement un danger soit qu’elles sont peu critiques ou inaccessibles à l’attaquant et qui n’ont pas à être corrigées dans l’urgence : « ce qui est important de regarder, c'est finalement quels sont les risques qui peuvent réellement se poser sur mon organisation et sur l'application que je souhaite tester », résume Hocine Mahtout, Offensive Security Manager à la Caisse des Dépôts. Pour lui, « finalement, il faut identifier quels sont les événements que l'on redoute le plus pour son organisation. Et à partir de ça, faire en sorte, à travers les tests qu'on va mener, de vérifier si un acteur malveillant est en capacité d'atteindre ses objectifs. Le rapport, ce n'est pas une fin en soi ». 

Le Red Teaming est-il uniquement affaire de spécialistes extrêmement pointus en cybersécurité ? Les équipes impliquées doivent être composée de hacker éthiques ultra-techniques, mais pas seulement, estime Dimitrios Bougioukas : « je ne suis pas sûr qu’une Red Team très technique puisse fournir un résultat qui inclurait les processus, la sensibilisation des utilisateurs, etc. ».

Hocine Mahtout ajoute toutefois que, « quand on arrive à transposer le rapport technique en un risque, ça permet de le faire prendre conscience à la fois au métier, mais aussi aux développeurs l’importance de traiter les vulnérabilités. Ceux-ci ont parfois en tête la nouvelle fonctionnalité à implémenter le plus rapidement possible. Le fait de les accompagner sur la compréhension d'un rapport de pentest ou même d'un rapport de Red Team, ça permet de faire évoluer les consciences sur les risques que leurs applications peuvent faire peser sur le SI ». 

L’IA agentique annonce une nouvelle ère dans la cybersécurité 

L’exploitation des IA par les attaquants va avoir plusieurs conséquences. L’épisode médiatique autour de Mythos a montré que les IA peuvent découvrir des vulnérabilités, beaucoup de vulnérabilités. L’agentique est aussi un outil pour les hackers pour accélérer leurs attaques et exploiter les vulnérabilités inédites avant que les contre-mesures ne soient mises en place : « aujourd'hui, l’IA ne vient pas augmenter la complexité des attaques. Elle va surtout augmenter la vitesse d'exécution », considère Philippe Dourassov. Pour lui, « avant, pour mettre en place une attaque, il fallait développer son script, tandis qu'aujourd'hui, l’IA générative nous génère ce script en partie. Elle nous permet de rapidement identifier les failles lorsqu’on dispose du code source. Ce qui aurait pu prendre plusieurs jours prend, avec les IA d'aujourd'hui, quelques heures, voire quelques minutes ». 

Le responsable du pentest a lui-même automatisé des attaques avec l’IA pour aller plus vite dans les compétitions de hacking auxquelles il participe : « j'ai constaté qu'il y avait un réel potentiel dans le monde réel. Si on demande juste à un LLM de regarder s'il y a des failles de sécurité dans le code, il va souvent trouver des failles de sécurité, mais il va également trouver beaucoup de fausses failles, de faux positifs qui vont juste faire perdre du temps. L’idée est de créer un processus pour les éliminer afin de se concentrer sur les vulnérabilités utiles ». Avec une bonne orchestration et des LLM de plus en plus performants, le pentester est parvenu à automatiser ce processus. 

Côté défense, l’IA générative est aujourd’hui capable d’analyser le code et proposer des remédiations. Philippe Dourassov estime qu’il faut tendre vers la mise en place d’un cycle d’agents qui vont détecter les vulnérabilités et automatiquement mettre en place des défenses face à ces failles de sécurité. Il reste néanmoins quelques limitations à lever : « si on essaie de demander à une IA comme Claude Code ou Codex de trouver des failles de sécurité dans un code de taille importante avec beaucoup de fonctionnalités, on obtiendra peu de détails sur ces failles ». La solution ? Utiliser « plusieurs agents en même temps orchestrés pour qu'ils puissent travailler en parallèle sur chaque fonctionnalité du site, et aller en détail dans chaque aspect ». De quoi pour « aller beaucoup plus en profondeur, et pouvoir vraiment trouver beaucoup plus de failles de sécurité qui sont même très bien cachées dans chacune de ces fonctionnalités ». 

Sur un panel de clients d’Aikido Security qui ont pu bénéficier d’un pentest IA gratuit, l'IA a trouvé entre 20 % et 30 % de failles de sécurité, de sévérité haute et critique de plus que les humains, alors que ces derniers avaient plus de facilité à trouver des failles dans l’hygiène de sécurité des utilisateurs et la mise en œuvre des bonnes pratiques. 

Dimitrios Bougioukas estime que l’agentique va entraîner un changement dans la nature des rôles de la cybersécurité : « un directeur de pentest ou de Red Team va utiliser une orchestration agentique pour améliorer sa vitesse de travail. Son niveau technique doit être élevé, mais il doit aussi avoir une bonne connaissance de la manière dont orchestrer ces différents agents et les faire interagir entre eux ».

Il estime que l’humain devra rester dans la boucle et que les entreprises ne laisseront pas les IA l’initiative de mener des remédiations seules, même si le potentiel d'accélération des attaques est impressionnant.

Pour Hocine Mahtout, l’IA apporte néanmoins un élément de réponse face à l’avalanche de vulnérabilités qui est attendue pour les années à venir : « nous allons avoir dans les années à venir beaucoup plus de vulnérabilités à traiter, et c'est là que l'offensif va être extrêmement pertinent, puisque ça va permettre véritablement de prouver l'impact sur une potentielle vulnérabilité, et ne pas se contenter d'un score CVSS. Je pense que c'est ça qui va permettre de sortir la tête de l'eau sur un raz-de-marée de vulnérabilité qui a déjà commencé à arriver ».

Propos recueillis lors de l’InCyber Forum 2026.