Les capacités des modèles d’intelligence artificielle progressent à un rythme inédit. Si personne ne peut encore prédire l’ampleur de leur impact sur le volume de vulnérabilités à traiter, une chose est certaine : les organisations doivent dès aujourd’hui renforcer leur capacité à décider, prioriser et coordonner leur réponse face à un possible changement d’échelle. Voici 5 actions concrètes à engager avant la période estivale pour gagner en résilience.

Le débat n’est plus technologique. Il est devenu organisationnel.

Depuis plusieurs semaines, les annonces autour des modèles frontières se succèdent. Mythos, ChatGPT 5.5, Fable 5… chaque nouvelle publication nourrit les débats au sein de la communauté cyber.

La publication de Fable 5, suivie quelques heures plus tard de sa suspension par les autorités américaines, a rappelé une évidence : ces sujets dépassent désormais largement le seul cadre technologique. Ils sont devenus des enjeux stratégiques, géopolitiques et de souveraineté.

Pour autant, ce n’est pas là que se situe, selon nous, la seule question critique.

Le sujet n’est pas dans l’immédiat de savoir si Mythos est plus performant que Fable 5, ni de prédire la date exacte d’une hypothétique « vague » de vulnérabilités. L’urgence est avant tout opérationnelle : quel que soit le modèle, il va falloir avoir les capacités pour y faire face.

Que se passera-t-il si, demain, votre organisation doit absorber deux ou trois fois plus de vulnérabilités qu’aujourd’hui ?

Car c’est bien cette hypothèse que plusieurs acteurs de l’écosystème commencent à préparer.

Les données invitent à la prudence. Elles appellent tout autant à l’anticipation et à la préparation.

Personne ne peut aujourd’hui affirmer avec certitude que l’été 2026 marquera un basculement.

Les données disponibles invitent à la prudence. Elles appellent tout autant à l’anticipation et à la préparation.

Le nombre de vulnérabilités publiées continue d’augmenter (+32,4% entre S1 2025 et S1 2026), les délais d’exploitation sont de plus en plus courts et plusieurs agences de cybersécurité appellent les organisations à intégrer davantage l’intelligence artificielle dans leurs dispositifs de défense. Dans le même temps, le CERT-FR n’observe pas, à ce stade, d’explosion du nombre d’alertes critiques par rapport aux années précédentes.

Autrement dit, le calendrier comme l’ampleur d’une éventuelle accélération restent incertains.

En revanche, une chose est observable. De nombreuses grandes organisations (opérateurs d’importance vitale, institutions publiques, grands groupes industriels ou financiers) ont déjà quitté le stade de la veille pour entrer dans celui de la préparation active.

Pourquoi ? Parce qu’en gestion de crise, l’incertitude n’est jamais une raison de ne rien faire. Une organisation préparée sera toujours plus résiliente qu’une organisation qui attendra le premier incident pour organiser sa réponse.

Cette approche est d’ailleurs cohérente avec les messages portés ces dernières semaines par la CISA et par les agences de cybersécurité des Five Eyes : les attaquants utilisent déjà l’intelligence artificielle pour agir plus vite ; les défenseurs doivent faire de même, tout en renforçant dès aujourd’hui leurs capacités de préparation et de réponse.

Passer d’une logique de détection à une logique de priorisation

Pendant des années, la cybersécurité s’est organisée autour d’une logique relativement linéaire : identifier une vulnérabilité, la qualifier, la corriger, puis déployer le correctif.

Cette approche reste évidemment pertinente.

Mais elle repose sur une hypothèse implicite : les organisations disposent de la capacité nécessaire pour absorber le volume de vulnérabilités découvertes.

Or c’est précisément cette hypothèse qui pourrait être remise en question.

Si l’intelligence artificielle accélère effectivement la découverte, l’analyse et, demain, l’exploitation de vulnérabilités, le principal défi ne sera peut-être plus technique.

Il sera organisationnel :

  • Comment qualifier davantage d’alertes avec les mêmes équipes ?
  • Comment prioriser lorsque plusieurs vulnérabilités critiques apparaissent simultanément ?
  • Comment décider rapidement lorsqu’un correctif n’existe pas encore ?
  • Comment arbitrer entre continuité d’activité et réduction du risque cyber ?

Autrement dit, le sujet n’est plus uniquement celui de la détection.

Il devient celui de la capacité des organisations à décider, coordonner et prioriser sous contrainte.

La bonne lecture de la situation n’est pas de se préparer à Mythos mais bien de se préparer à un scénario d’accélération du rythme cyber et des arbitrages critiques qui vont en découler.

C’est dans cet esprit que nous proposons 5 actions concrètes, sous l’angle de la gestion / anticipation des crises cyber, à engager dès maintenant, avant la période estivale.

5 actions à engager dès maintenant pour préparer votre organisation à faire face à une multiplication des vulnérabilités

1. Vérifier que votre organisation ne sera pas seule le jour où un incident critique surviendra

La première erreur consiste à penser qu’une crise cyber se gère uniquement en interne.

En réalité, une organisation ne répond jamais seule à un incident majeur. Elle dépend de tout un écosystème : infogérant, MSSP, CERT, hébergeur, PRIS, cloud provider, éditeurs, solutions de sauvegarde, prestataires spécialisés…

Autrement dit, la résilience d’une organisation ne dépend pas uniquement de ses propres capacités. Elle dépend aussi de celles de ses partenaires.

La question à se poser est finalement très simple.

Si une vulnérabilité critique est publiée un samedi d’août à 18 heures, qui répond ? Qui est joignable ? A quel numéro ? Qui prend les premières décisions ?

L’expérience montre que de nombreuses difficultés rencontrées lors des premières heures d’une crise ne sont pas techniques. Elles relèvent de la coordination : des contacts obsolètes, des responsabilités mal définies, des partenaires indisponibles ou des circuits d’escalade qui ne correspondent plus à la réalité.

Ces vérifications prennent quelques heures aujourd’hui. Elles peuvent faire gagner des journées entières lorsqu’un incident survient.

À engager dès maintenant :

  • Mettre à jour l’annuaire de crise et la cartographie des partenaires critiques.
  • Vérifier les coordonnées et les niveaux d’escalade de chaque prestataire stratégique.
  • Confirmer leurs dispositifs de permanence et leurs capacités d’intervention durant l’été.
  • Vérifier que les contrats et SLA couvrent bien les scénarios de mobilisation attendus.

2. Préparer la capacité opérationnelle avant les vacances

Chaque été, les organisations fonctionnent avec des équipes réduites.

Ce n’est pas un problème. Le véritable risque est de découvrir les limites de cette organisation… le jour où un incident survient.

Le sujet dépasse donc largement la question des astreintes (mais si elles en font clairement partie). Il s’agit d’évaluer la capacité réelle de votre organisation à absorber plusieurs incidents simultanément, alors même que certaines compétences clés seront absentes.

Quelques questions permettent rapidement d’identifier les principaux points de fragilité.

  • Combien d’incidents critiques pouvez-vous gérer en parallèle ?
  • Qui remplace les personnes clés ?
  • Quels sont vos goulets d’étranglement ?
  • Combien de temps faut-il pour réunir les bons décideurs ?
  • Existe-t-il un plan B si plusieurs experts sont simultanément indisponibles ?

Une organisation n’est jamais saturée d’un seul coup. Elle l’est progressivement, lorsque les sollicitations dépassent sa capacité d’absorption. Identifier ces limites avant l’été constitue déjà une mesure de résilience.

À engager dès maintenant :

  • Revoir les dispositifs d’astreinte IT, sécurité, SOC et management.
  • Formaliser les remplacements sur les fonctions critiques.
  • Vérifier les circuits d’escalade et leur capacité à fonctionner avec des effectifs réduits.
  • Identifier le seuil à partir duquel l’organisation entre en situation de saturation.

Le problème n’est pas d’avoir moins de ressources en août. Le problème est de le découvrir au premier jour de la crise.

3. Utiliser l’IA dès maintenant, sans attendre les modèles frontières

Beaucoup d’organisations attendent encore « le bon modèle » avant d’intégrer l’intelligence artificielle dans leurs opérations de cybersécurité.

C’est probablement une erreur. Les gains opérationnels existent déjà. Qu’il s’agisse de modèles open source comme Mistral, Llama ou de modèles propriétaires, l’enjeu n’est pas d’attendre de disposer du modèle le plus puissant. Il est de commencer à soulager les équipes sur les tâches qui les mobilisent déjà le plus.

  • Qualification initiale des alertes.
  • Analyse documentaire.
  • Identification de la surface d’attaque.
  • Analyse préliminaire de vulnérabilités.
  • Préparation de recommandations.

Autant de tâches pour lesquelles l’IA peut déjà apporter des gains significatifs.

Le message porté récemment par les agences de cybersécurité des Five Eyes est très clair : les attaquants utilisent déjà l’intelligence artificielle pour agir plus vite. Les défenseurs doivent faire de même.

L’expérience des équipes avec l’IA ne doit pas commencer lorsque la pression sera maximale. Elle doit commencer dès aujourd’hui.

À engager dès maintenant :

  • Identifier deux ou trois cas d’usage à fort retour sur investissement autour des principaux goulets d’étranglement.
  • Expérimenter avec les modèles déjà disponibles.
  • Former les équipes à ces nouveaux usages avant que la pression opérationnelle n’augmente.

Le temps gagné aujourd’hui sera votre capacité de réponse demain.

4. Préparer les mécanismes de décision avant qu’ils ne deviennent critiques

Pendant des années, la cybersécurité s’est organisée autour d’une logique de détection. Le défi qui se dessine aujourd’hui est différent. Il pourrait devenir celui de la priorisation.

Car si le volume de vulnérabilités augmente significativement, toutes ne pourront plus être traitées simultanément. Le véritable défi ne sera donc plus uniquement d’identifier les vulnérabilités. Il sera de décider lesquelles traiter en priorité.

Cette évolution impose un changement de culture. Lorsque tout devient critique, tout ne peut plus être prioritaire.

L’image est volontairement empruntée à la médecine d’urgence : face à un afflux massif de patients, les équipes médicales ne cherchent pas à traiter tout le monde immédiatement. Elles trient. Elles priorisent. Elles concentrent leurs ressources là où elles auront le plus d’impact.

La cybersécurité pourrait demain être confrontée au même type de situation.

Faudra-t-il maintenir un système vulnérable en production pour préserver une activité essentielle ?

Faudra-t-il interrompre un service afin d’éviter une compromission plus large ?

Faudra-t-il accepter temporairement un risque faute de correctif disponible ?

Ces décisions ne sont pas uniquement techniques. Ce sont des arbitrages d’entreprise, dont les impacts potentiels imposent qu’ils soient pris au plus haut niveau de l’organisation. Ils engagent les métiers, la direction, les opérations, la communication et parfois la continuité même de l’activité.

Cette préparation concerne également la communication de crise. Lorsque plusieurs vulnérabilités critiques se succèdent, les équipes sont rapidement sollicitées de toutes parts : utilisateurs, métiers, direction, partenaires, clients, voire autorités ou médias. Préparer en amont la cartographie des parties prenantes, identifier les interlocuteurs clés et disposer de quelques messages d’attente pour les principaux scénarios permet de préserver un bien précieux dans les premières heures de l’incident / la crise : le temps. Celui nécessaire pour qualifier la situation, prendre les bonnes décisions et éviter que la communication ne devienne, elle aussi, un facteur de saturation.

Ils supposent donc d’avoir clarifié en amont :

  • les critères de priorisation ;
  • les seuils d’escalade ;
  • les responsabilités de décision ;
  • les conditions dans lesquelles un risque peut être temporairement accepté ;
  • des chaînes de décision raccourcies.

Et également :

  • Mettre à jour la cartographie des parties prenantes internes et externes.
  • Préparer quelques messages d’attente (utilisateurs, métiers, clients, partenaires…) afin de disposer d’une base de communication dès les premières heures.

Autrement dit, la gouvernance devient aussi importante que la technique.

À engager dès maintenant :

  • Définir des critères d’arbitrage partagés entre IT, sécurité et métiers.
  • Vérifier que le BIA permet réellement de hiérarchiser les actifs critiques.
  • Identifier les décisions pouvant être préautorisées en cas d’urgence.
  • Raccourcir les chaînes de validation pour les situations de saturation.

Une organisation mature n’est pas celle qui corrige tout. C’est celle qui sait protéger l’essentiel lorsque tout ne peut plus être traité simultanément.

5. S’entraîner avant d’avoir à arbitrer

Les organisations découvrent encore trop souvent leurs points de blocage… pendant la crise.

Or les décisions les plus difficiles ne s’improvisent pas. Le meilleur moment pour arbitrer reste celui où l’on n’y est pas encore contraint. Il n’est pas nécessaire d’organiser un exercice de crise de grande ampleur.

Deux formats simples permettent déjà d’élever considérablement le niveau de préparation.

Le premier est le table-top. Il constitue à réunir différentes ressources issues d’une même ou de plusieurs équipes et de favoriser les échanges face à 2 ou 3 scenarios déroulés collégialement.

Imaginez un scénario réaliste :

  • Une quinzaine de vulnérabilités critiques publiées en quarante-huit heures.
  • Plusieurs technologies concernées.
  • Des correctifs indisponibles.
  • Des équipes réduites par les congés.

L’objectif n’est pas de tester les compétences techniques. Il est d’observer comment l’organisation réagit.

  • Qui est alerté ?
  • Qui décide ?
  • Quels sont les points de blocage ?
  • Combien de temps faut-il pour réunir les bons acteurs ?

Le second est l’atelier d’arbitrage.

L’exercice consiste à placer les décideurs face à des situations qu’ils pourraient réellement rencontrer.

  • Maintenir ou interrompre un service critique ?
  • Accepter temporairement un risque ?
  • Isoler un applicatif ?
  • Reporter un correctif ?

Ces ateliers permettent de faire émerger les dépendances invisibles, les divergences de perception entre métiers et sécurité, ainsi que les décisions qui devront être prises collectivement.

Ils constituent également une excellente opportunité pour mettre à jour la cartographie des dépendances critiques et vérifier que le BIA répond réellement aux besoins opérationnels.

À engager dès maintenant :

  • Organiser un exercice table-top centré sur un scénario de saturation.
  • Réunir les principaux décideurs autour d’un atelier d’arbitrage.
  • Profiter de ces exercices pour mettre à jour le BIA et les dépendances critiques.

Les organisations les plus résilientes ne seront pas celles qui détecteront le plus de vulnérabilités. Ce seront celles qui auront déjà entraîné leurs décideurs à arbitrer sous pression.

Conclusion : Gouverner, c’est prévoir

Il est impossible de prédire si la vague de vulnérabilités annoncée par certains se matérialisera cet été.

Il est tout aussi impossible d’en anticiper précisément l’ampleur. Les données disponibles invitent à la prudence. Elles appellent tout autant à l’anticipation et à la préparation.

Car en gestion de crise, le sujet n’a jamais été de prédire l’avenir. Le sujet est de s’y préparer.

Les actions proposées dans cet article peuvent être résumées simplement :

  • renforcer son écosystème de réponse ;
  • préparer ses capacités opérationnelles pour l’été ;
  • intégrer dès aujourd’hui l’intelligence artificielle dans les opérations de défense ;
  • préparer les mécanismes d’arbitrage et de décision ;
  • entraîner régulièrement les décideurs à faire face à un scénario de saturation.

Pendant des années, la cybersécurité s’est construite autour de la détection.

Les prochaines années pourraient être celles de la priorisation.

Les organisations qui résisteront le mieux ne seront probablement pas celles qui disposeront des meilleurs outils.

Ce seront celles qui auront préparé leurs équipes, leurs partenaires, leurs décideurs et leurs modes de fonctionnement avant que la crise ne survienne.

Gouverner, c’est prévoir.

En gestion de crise, prévoir, c’est s’entraîner et se préparer.

Pour aller plus loin, accédez au replay de notre webinaire sur le sujet : 

IA offensive et période estivale : comment se préparer à une multiplication des vulnérabilités et des arbitrages critiques ?

FAQ – Comment l’intelligence artificielle peut-elle transformer la gestion des vulnérabilités ?

L’intelligence artificielle accélère déjà certaines tâches comme la qualification des alertes, l’analyse documentaire, l’identification de la surface d’attaque ou encore l’analyse préliminaire des vulnérabilités. L’enjeu pour les organisations est désormais d’intégrer progressivement ces usages afin de gagner en efficacité opérationnelle et de renforcer leur capacité de réponse.

Pourquoi la priorisation devient-elle un enjeu majeur en cybersécurité ?

Le volume de vulnérabilités publiées continue d’augmenter. Si cette tendance se poursuit, les équipes ne pourront plus toutes les traiter simultanément. Les organisations devront alors arbitrer entre les différents risques afin de concentrer leurs ressources sur les actifs les plus critiques.

Comment préparer son organisation à une augmentation du nombre de vulnérabilités ?

La préparation repose notamment sur la mise à jour des dispositifs d’astreinte, la vérification des partenaires critiques, l’identification des capacités de saturation, la préparation des mécanismes de décision et l’organisation d’exercices de gestion de crise cyber.

Pourquoi organiser un exercice de gestion de crise cyber avant la période estivale ?

Les exercices permettent d’identifier les points de blocage avant qu’un incident réel ne survienne. Ils offrent aux équipes l’occasion de tester leurs circuits de décision, leurs capacités de coordination et leurs arbitrages dans un contexte proche des conditions réelles.

Les organisations doivent-elles attendre les futurs modèles d'IA pour agir ?

Non. Les modèles actuellement disponibles permettent déjà d’obtenir des gains opérationnels significatifs. Commencer à les expérimenter dès aujourd’hui permet aux équipes de monter en compétence avant que la pression opérationnelle n’augmente.

Pourquoi la préparation est-elle plus importante que la prédiction en gestion de crise cyber ?

En gestion de crise cyber, il est impossible de prévoir précisément le prochain incident ou son ampleur. En revanche, une organisation qui a préparé ses équipes, ses partenaires, ses processus de décision et ses exercices sera toujours plus résiliente qu’une organisation qui attend la crise pour s’organiser.

Contact

Vous souhaitez en savoir plus ? Être recontacté ?  C'est par ici !