Récapitulatif
- Les modèles d’IA comme Claude Mythos d’Anthropic découvrent des vulnérabilités de gravité élevée dans les principaux systèmes d’exploitation et navigateurs, réduisant les fenêtres d’exploitation et submergeant les programmes traditionnels et manuels de gestion des correctifs.
- À grande échelle, les workflows historiques de gestion des correctifs ne tiennent plus. S’appuyer uniquement sur des scanners de vulnérabilités, sur des approbations linéaires par tickets ou sur des outils endpoint à visibilité limitée crée des retards, des angles morts et une exposition croissante lorsque le volume et la cadence des CVE augmentent fortement.
- Le triage continu, la priorisation fondée sur le risque, le déploiement par anneaux avec retour arrière et la vérification en boucle fermée sont les seuls moyens pour les équipes IT et sécurité de suivre le rythme, alors que les attaquants comme les défenseurs exploitent l’IA pour accélérer.
Le 7 avril, Anthropic a annoncé que son modèle Claude Mythos Preview avait identifié de manière autonome des milliers de vulnérabilités zero-day de gravité élevée et critique dans tous les principaux systèmes d’exploitation et navigateurs Web. Plus de 99 % d’entre elles n’étaient pas corrigées le jour de leur divulgation.
Deux semaines plus tard, le 21 avril, Mozilla a déclaré avoir utilisé le même modèle pour trouver et corriger 271 vulnérabilités dans la dernière version de Firefox. Selon la propre évaluation de Mozilla : « Jusqu’à présent, nous n’avons trouvé aucune catégorie ni complexité de vulnérabilité que des humains peuvent trouver et que ce modèle ne peut pas trouver. »
Ces 271 vulnérabilités ne sont qu’une première vague. Chrome, Edge, Windows, macOS, Linux, FreeBSD : la faille d’exécution de code à distance vieille de 17 ans dans FreeBSD, divulguée par la red team d’Anthropic (CVE-2026-4747), donne un premier aperçu de ce qui nous attend. Tous les éditeurs relevant du projet Glasswing d’Anthropic sont en mesure de publier des correctifs à un rythme encore jamais vu dans le secteur. Tous ces correctifs deviennent des CVE publiques avec des correctifs disponibles, et finissent tous au même endroit : votre environnement.
Le récit autour du confinement présente également une faille. Le 21 avril, Bloomberg a rapporté qu’un groupe lié à Discord avait obtenu un accès non autorisé à Mythos via l’environnement d’un fournisseur tiers. Anthropic affirme que l’activité n’a pas dépassé le périmètre de ce fournisseur. Que des capacités similaires soient déjà ou non entre les mains d’attaquants, le délai dont disposent les défenseurs est plus court que ne le laissait entendre l’annonce du 7 avril.
Mythos est arrivé dans un monde qui évoluait déjà dans cette direction. Le rapport Global Threat Report 2026 de CrowdStrike a documenté une hausse de 89 % sur un an des attaques assistées par l’IA en 2025. Cette tendance existait déjà avant Mythos.
Appelons cela une apocalypse des correctifs. Une apocalypse opérationnelle très concrète, où le volume et la cadence des CVE publiques assorties de correctifs disponibles sont sur le point de dépasser la façon dont travaillent aujourd’hui la plupart des équipes IT et sécurité.
Le NIST ressent déjà les effets de l’apocalypse des correctifs. En avril, l’agence a annoncé une évolution majeure des opérations de la National Vulnerability Database (NVD) en réponse à une augmentation de 263 % des soumissions. Le NIST ne fournira plus d’enrichissement détaillé pour toutes les vulnérabilités soumises et réservera désormais ce travail aux vulnérabilités répondant à des critères de risque élevé, comme celles figurant dans le catalogue Known Exploited Vulnerabilities de la CISA ou celles affectant des logiciels gouvernementaux critiques. Le NIST s’appuiera sur les CVE Numbering Authorities (CNA), comme Ivanti, plutôt que de réaliser sa propre évaluation indépendante.
Depuis l’annonce, j’entends trois variantes de la même réponse chez les clients et mes pairs. Toutes trois sont les déclinaisons d’un programme conçu pour un monde plus lent.
« Nous avons un scanner de vulnérabilités »
Qualys, Rapid7 et Tenable font très bien la découverte de vulnérabilités. Les scanners détectent, signalent, évaluent et listent. Le déploiement, la vérification, la gestion des redémarrages et le retour arrière ne relèvent pas de leur périmètre. Ce travail doit tout de même être réalisé quelque part. Dans la plupart des programmes, il se fait dans un outil distinct, avec une équipe distincte, selon une cadence distincte.
Alors que la fenêtre d’exploitation se compte désormais en heures et que la file d’attente Glasswing s’apprête à doubler le backlog, un scanner qui produit 587 vulnérabilités critiques et transmet la liste à une équipe humaine devient un facteur de risque. L’approche pragmatique consiste à connecter le scanner que vous possédez déjà à un moteur de remédiation capable d’agir automatiquement sur ses résultats. Une plateforme de gestion autonome des terminaux (AEM), avec déploiement par anneaux et retour arrière, ainsi qu’une veille sur les vulnérabilités pour fournir un contexte fondé sur le risque aux décisions de remédiation efficaces, afin que la liste se réduise sans qu’un humain ait à prendre chaque décision.
« Nous faisons passer les approbations par notre système de tickets »
Puisque nous parlons de décisions humaines… Les longs processus d’approbation linéaires vont fortement ralentir la remédiation. Quand avez-vous dû décider pour la dernière fois si vous alliez déployer la dernière mise à jour d’un système d’exploitation ou d’un navigateur ?
Les organisations savent déjà qu’elles vont déployer ces mises à jour. Le processus d’approbation est souvent dû à des politiques internes complexes et à un manque d’alignement sur les résultats attendus en matière de sécurité. Résultat ? Un processus très linéaire qui implique le scanner de vulnérabilités mentionné plus haut, un analyste qui approuve ce que vous savez déjà devoir faire, des tickets envoyés aux responsables métier pour approbation et qui restent dans les boîtes de réception en attendant une réponse, et au final un temps précieux perdu sur une décision qui était, en substance, déjà bien comprise et n’avait pas besoin d’être prise.
L’évolution du marché vers la gestion de l’exposition aborde ce processus de manière très différente, en se concentrant sur la définition de l’appétence au risque de l’organisation et sur la surveillance de sa posture de risque. La prochaine fois qu’une mise à jour de l’OS Windows sera publiée, vous saurez déjà que vous allez la déployer, selon quel calendrier, et avec quels SLA et indicateurs de conformité vous mesurerez la réussite. Ce que vous voulez vraiment savoir, c’est :
1. Dois-je aller plus vite parce que la mise à jour inclut des vulnérabilités connues exploitées ?
Ou
2. La mise à jour a-t-elle un impact sur les opérations, ce qui nous oblige à ralentir (heureusement, la plateforme de gestion autonome des terminaux inclut le déploiement par anneaux avec retour arrière) ?
« Nous avons Intune »
Microsoft Intune présente ici deux limites de périmètre importantes.
Premièrement, il ne gère que les appareils qui y sont inscrits. Les endpoints non inscrits et non gérés — serveurs, ordinateurs portables de prestataires, shadow IT, appareils en périphérie négligés — échappent totalement à sa visibilité. En période d’augmentation du volume de vulnérabilités, ces angles morts se multiplient plus vite que les équipes ne peuvent les traiter manuellement.
Deuxièmement, si Intune simplifie le déploiement et la mise à jour des applications, sa couverture des applications tierces et la profondeur de sa priorisation sont plus limitées que ne l’imaginent la plupart des administrateurs. Intune peut vous indiquer ce qui n’est plus à jour, mais pas ce qui augmente réellement votre exposition — ce qui oblige les équipes à tout corriger de manière réactive, ou à se fier à des suppositions lorsque le temps manque.
La plupart des environnements d’entreprise ne sont pas exclusivement Windows, entièrement inscrits, ni limités à une petite pile applicative homogène. Lorsque les divulgations de vulnérabilités explosent, le routage des correctifs laisse des failles et se transforme en risque systémique.
Conservez Intune. Associez-le à une couche de découverte et de remédiation qui trouve les actifs qu’Intune ne voit pas, priorise les vulnérabilités les plus importantes et applique les correctifs en toute confiance sur les applications qu’Intune ne couvre pas.
Que faire face à cette situation
L’automatisation est le modèle opérationnel. Elle doit être intégrée au workflow.
Les praticiens connaissent ce principe depuis quelque temps. Il se manifeste à trois niveaux :
- Triage continu. Les vulnérabilités connues exploitées peuvent suivre un parcours de réponse zero-day, en particulier dans les parties moins sécurisées de l’organisation, comme les systèmes des utilisateurs finaux. Au-delà, définissez des applications spécifiques, comme les navigateurs et les applications de télécommunication, à mettre à jour selon un parcours prioritaire contrôlé chaque semaine, voire chaque jour. Tout le reste peut attendre la prochaine fenêtre de maintenance régulière.
- Déploiement par anneaux avec retour arrière automatisé. Anneau de test, anneau d’adopteurs précoces, production étendue, environnements critiques. La séquence est classique, et elle fonctionne pour la plupart des opérations de maintenance. Ce qui a changé, c’est que certaines mises à jour devront être accélérées pour s’inscrire dans la fenêtre d’exploitation, au lieu d’attendre votre maintenance mensuelle. L’anneau de test doit être automatisé et instrumenté : une checklist humaine ne peut pas aller aussi vite.
- Vérification en boucle fermée. Le correctif n’est pas considéré comme déployé tant que son installation sur l’endpoint n’a pas été vérifiée, et la CVE n’est pas clôturée tant qu’une nouvelle analyse ne l’a pas confirmé. La plupart des équipes sautent cette étape, ce qui explique pourquoi les preuves de conformité deviennent une urgence la semaine précédant l’audit. C’est pourquoi nous avons lancé cette semaine la conformité continue dans notre plateforme : afin que les preuves de conformité soient produites en continu et automatiquement au fur et à mesure du déploiement des correctifs, l’automatisation prenant en charge les décisions de priorisation pour lesquelles la plupart des équipes n’ont pas de capacité disponible.
Les 271 vulnérabilités Firefox de Mozilla ne sont qu’un aperçu. Tous les grands éditeurs logiciels relevant de Glasswing sont sur le point de commencer à corriger davantage de vulnérabilités, à un rythme accéléré, tandis que les attaquants disposant de capacités du même ordre chercheront précisément ces ouvertures dès qu’ils auront accès à un modèle similaire. La course à l’armement qui en résultera autour de l’IA aura un effet direct sur le nombre et la fréquence des mises à jour que les organisations devront remédier, là encore à un rythme accéléré. C’est l’automatisation qui permet à un programme de tenir dans la durée. Les équipes qui s’en tiennent encore à une gestion des correctifs uniquement mensuelle s’exposent à une période difficile.
Si vous pilotez un programme IT ou sécurité, l’auto-évaluation mérite d’être faite dès maintenant. Prenez le dernier correctif critique que vous avez déployé. Mieux encore : si une zero-day était publiée un vendredi, seriez-vous capable d’y remédier avant lundi ? Mesurez le délai entre la publication de la CVE et l’installation vérifiée sur le dernier endpoint. Si ce délai se compte en semaines, l’apocalypse des correctifs vous rattrapera.
FAQ
Qu’est-ce que l’« apocalypse des correctifs » ?
L’apocalypse des correctifs désigne l’augmentation rapide du nombre de vulnérabilités divulguées publiquement et assorties de correctifs disponibles, sous l’effet de la découverte de vulnérabilités accélérée par l’IA. Le volume et la rapidité des correctifs commencent à dépasser la capacité de la plupart des équipes IT et sécurité à y remédier raisonnablement avec des workflows traditionnels, pilotés par l’humain.
Quelles solutions peuvent aider face à l’« apocalypse des correctifs » ?
- Une plateforme de gestion autonome des terminaux (AEM), avec déploiement par anneaux et retour arrière, ainsi qu’une veille sur les vulnérabilités, peut fournir un contexte fondé sur le risque pour prendre des décisions de remédiation efficaces.
- En adoptant une approche de gestion des correctifs fondée sur le risque, elle intègre le contexte des menaces réelles pour se concentrer sur les vulnérabilités activement exploitées. Cette approche va au-delà des évaluations de gravité traditionnelles des éditeurs et des scores CVSS pour identifier et prioriser les vulnérabilités en fonction du risque réel qu’elles représentent pour une organisation.
Quel est le risque de ne pas s’adapter ?
Les modèles d’IA peuvent identifier des vulnérabilités à une échelle et à une vitesse que les humains ne peuvent pas égaler. À mesure que les attaquants accèdent à des capacités similaires de modèles d’IA, ils cibleront plus rapidement les vulnérabilités récemment divulguées. Les organisations qui s’appuient sur des processus de gestion des correctifs manuels et fragmentés verront leur exposition augmenter, non pas parce que les correctifs n’existent pas, mais parce qu’elles ne peuvent pas les déployer assez vite.
Le simple fait de disposer d’un scanner de vulnérabilités suffit-il à résoudre les défis liés aux correctifs ?
Non. Les scanners de vulnérabilités sont essentiels pour la découverte, mais ils ne déploient pas les correctifs, ne vérifient pas les installations, ne gèrent pas les retours arrière et ne bouclent pas le processus. Lorsque les volumes de CVE sont élevés, les scanners qui génèrent de longues listes critiques sans automatisation en aval peuvent en réalité ralentir la remédiation.
Pourquoi les processus d’approbation par tickets représentent-ils aujourd’hui un risque ?
Les workflows d’approbation linéaires ont été conçus pour des cycles de correction plus lents et ne répondent pas aux réalités actuelles. Lorsque les équipes savent déjà que les mises à jour seront déployées, les approbations supplémentaires ajoutent du retard sans réduire le risque. Dans un environnement de menaces en évolution rapide, le temps est souvent le facteur limitant.
