La vision du Pentagone sur l’IA cyber évolue
Deux hauts responsables américains de la technologie de défense ont déclaré cette semaine que la nouvelle génération d’intelligence artificielle capable d’opérations cyber ne devait pas être comprise uniquement comme une menace. S’exprimant lors du SCSP AI+Expo à Washington, la secrétaire adjointe à la Politique cybernétique Katherine Sutton et le directeur technologique du Pentagone Emil Michael ont soutenu que des outils inspirés du système Mythos d’Anthropic, encore non publié, pourraient aussi devenir de puissants instruments de défense.
Ces remarques reflètent une posture plus pragmatique au sein du ministère de la Défense, alors que grandit l’inquiétude autour de systèmes d’IA capables d’identifier et d’exploiter des failles logicielles à une vitesse inédite. Plutôt que de présenter cette rapidité uniquement comme une nouvelle source de danger, les responsables du Pentagone soutiennent que cette même capacité pourrait servir à durcir plus vite des systèmes vulnérables que ne le permettent aujourd’hui les équipes humaines.
Sutton a indiqué que le modèle actuel de correction, qui se déploie souvent sur plusieurs jours ou semaines, n’est plus suffisant dans un environnement où l’IA peut aller beaucoup plus vite. Selon elle, l’opportunité clé n’est pas abstraite. Il s’agit de code sécurisé. Si des modèles avancés peuvent détecter rapidement des logiciels défectueux et les réparer, l’armée et ses sous-traitants pourraient commencer à réduire les risques à un rythme que les processus hérités n’ont jamais égalé.
De la “vitesse humaine” à la vitesse machine
Les propos des responsables se sont concentrés sur un point simple mais décisif : les vulnérabilités existent déjà dans une base logicielle tentaculaire, et l’IA change le tempo auquel elles peuvent être trouvées, corrigées et exploitées. Michael a déclaré que ces failles ne sont pas nouvelles. Ce qui change désormais, c’est le calendrier. Des systèmes comme Mythos pourraient permettre aux défenseurs de découvrir les bogues plus vite, mais ils pourraient aussi permettre aux attaquants de transformer ces mêmes bogues en armes plus vite.
Cette réalité à double usage explique pourquoi le moment est si important pour la sécurité nationale. Michael a décrit une période durant laquelle le pays, et pas seulement le gouvernement fédéral, doit renforcer son infrastructure numérique. Le ministère de la Défense dépend d’un patchwork de systèmes logiciels vieillissants et de bases de code ayant accumulé une dette technique pendant de nombreuses années. Dans cet environnement, un modèle capable de corriger de manière autonome du code vulnérable pourrait faire davantage qu’améliorer marginalement les opérations. Il pourrait accélérer un travail que les responsables estiment devoir être fait depuis longtemps.
L’argument n’est pas que le risque cyber disparaît lorsque l’IA entre en jeu. C’est que le seuil de temps acceptable pour la réponse change. Si l’exploitation à vitesse machine devient normale, alors la remédiation à vitesse machine devient nécessaire. C’est un changement majeur pour des institutions construites autour de cycles d’acquisition plus lents, de processus de certification longs et d’une propriété logicielle fragmentée.
