IBM repousse les limites de sa stratégie en cybersécurité assistée par intelligence artificielle en intégrant le programme OpenAI Daybreak Cyber Partner Program, une initiative conçue pour déployer des modèles avancés d’IA dans les procédés de défense des entreprises. Dans ce cadre, la société a présenté un nouveau service de sécurité des applications qui exploite les capacités cybernétiques d’OpenAI pour aider les organisations à identifier, valider et hiérarchiser rapidement les vulnérabilités logicielles.
Ce lancement survient à un moment critique pour les équipes de sécurité. Les entreprises gèrent désormais des bases de code de plus en plus volumineuses, dépendent de nombreuses bibliothèques open source et font face à des attaquants utilisant automatisation et IA pour détecter des vulnérabilités, tester des vecteurs d’attaque et amplifier leurs campagnes avec un moindre effort humain. La promesse d’IBM et d’OpenAI est d’apporter cette même vélocité à la défense, tout en garantissant des contrôles d’entreprise, un accès limité et une opération au sein de l’environnement du client.
Au-delà du simple balayage traditionnel de code
Ce nouveau service d’IBM s’appuie sur IBM Consulting Advantage, une plateforme d’IA que la société utilise pour ses activités de conseil. Selon IBM, l’approche ne se limite pas à appliquer un scanner sur le code. Le système analyse les applications, priorise les zones à risque élevé et aide à valider les vulnérabilités avant que les équipes de sécurité n’y consacrent du temps à l’investigation.
Une nuance importante. L’un des défis courants en sécurité applicative est le bruit : outils qui génèrent des alertes, des listes potentielles de failles et des faux positifs, consommant des heures d’analyse. IBM propose un modèle plus ciblé, où l’IA aide à repérer des chemins d’attaque réalistes, à réduire le volume de faux signaux et à concentrer l’attention sur les points critiques.
L’entreprise assure que le service fonctionne dans l’environnement du client, avec un accès en lecture seule aux dépôts de code et une exécution encadrée. Cette architecture répond à une préoccupation majeure des grandes entreprises : bénéficier de modèles avancés sans exposer leur code sensible, leur propriété intellectuelle ou leurs données internes à des processus peu contrôlés.
Offert comme une solution gérée, le service permettra d’abord des évaluations ciblées de logiciels clés, puis d’évoluer vers une surveillance continue pour réévaluer les risques à mesure que le code évolue ou que de nouvelles menaces apparaissent.
| Élément | Proposition d’IBM et d’OpenAI | Impact attendu |
|---|---|---|
| Approche | Sécurité applicative assistée par IA en périphérie | Identification et validation plus rapides des vulnérabilités |
| Plateforme | IBM Consulting Advantage | Intégration dans des services gérés pour entreprises |
| Accès au code | Lecture seule, dans l’environnement du client | Réduction de l’exposition des dépôts sensibles |
| Type d’analyse | Priorisation des zones à risque et chemins d’attaque exploitables | Moins de bruit et focalisation sur les risques réels |
| Mode de déploiement | Évaluations initiales puis surveillance continue | Revue récurrente avec l’évolution du logiciel |
| Partenariat avec OpenAI | Daybreak Cyber Partner Program | Utilisation défensive de modèles avancés sous contrôle |
| Collaboration avec Lightwell | Soutien à l’analyse et à la correction du code | Renforcement de la sécurité dans la chaîne d’approvisionnement |
Daybreak et Lightwell, deux composantes d’une même stratégie
OpenAI décrit Daybreak comme une initiative visant à aider les défenseurs à détecter, valider et corriger les vulnérabilités avant leur exploitation par des attaquants. Ce programme combine des modèles cybernétiques de pointe, Codex Security, des workflows contrôlés et des partenariats avec des sociétés de sécurité pour intégrer ces capacités dans des outils et services déjà utilisés par les équipes de cybersécurité.
IBM entre dans cet écosystème avec un avantage : sa présence dans de grands comptes, dans des secteurs réglementés et dans des environnements hybrides complexes. La société ne se limite pas à la vente de logiciels de sécurité ; elle offre aussi du conseil, opère des services gérés et entretient des relations étroites avec des infrastructures critiques, la finance, les télécommunications, la santé et les administrations publiques.
L’annonce s’articule également autour de Project Lightwell, présenté par IBM et Red Hat fin mai. Lightwell prévoit un engagement de 5 milliards de dollars et une force mondiale de plus de 20 000 ingénieurs pour aider les entreprises à sécuriser le logiciel open source. L’objectif est de créer un centre de coordination pour identifier, valider, patcher et gérer à l’échelle les vulnérabilités au sein de la chaîne d’approvisionnement logicielle.
Lightwell ne s’appuie pas uniquement sur OpenAI. IBM explique qu’il utilisera des capacités cybernétiques d’OpenAI conjointement à d’autres modèles d’IA de pointe pour la revue de code et la remédiation. L’objectif est de combiner automatisation avancée et ingénierie humaine, un enjeu clé en sécurité : si l’IA peut accélérer l’analyse, la validation, la correction et la validation, ces processus doivent toujours faire l’objet d’une revue et d’une validation humaines, et être intégrés aux projets en amont lorsque le code open source est concerné.
Cette synergie illustre la direction prise par le marché. La cybersécurité d’entreprise ne peut plus seulement se limiter à la détection d’incidents en production. Elle doit s’étendre au code, aux dépendances, aux dépôts, aux pipelines d’intégration et à la chaîne d’approvisionnement. La question n’est plus seulement si une organisation est attaquée, mais quelles vulnérabilités elle porte en amont avant qu’un intrus n’en profite.
L’IA accélère aussi bien l’attaque que la défense
Le message fondamental est difficile à accepter pour les responsables de la sécurité : les attaquants n’ont plus besoin de travailler à la vitesse humaine. Avec l’IA, ils peuvent analyser du code, repérer des motifs vulnérables, rédiger des exploits, automatiser la reconnaissance et adapter leurs campagnes plus rapidement. Bien que beaucoup de ces capacités nécessitent des opérateurs spécialisés et des environnements précis, le coût de l’expérimentation est en baisse.
La défense doit donc s’équiper d’outils analogues, mais sous une gouvernance stricte. OpenAI insiste sur le fait que Daybreak a été conçu autour de principes d’autorisation, jugement humain, surveillance, sauvegardes et collaboration avec la communauté de sécurité. Un accès contrôlé est également proposé via Trusted Access for Cyber, réservé aux équipes vérifiées, avec des contrôles stricts sur la portée et la supervision des tâches à haut risque.
Pour les grandes entreprises, le défi ne sera pas uniquement technique. Il sera aussi organisationnel et légal. L’usage de l’IA avancée en sécurité nécessite de définir quels dépôts peuvent être consultés, quelles données peuvent sortir du périmètre, qui valide les résultats, comment documenter les décisions, ce qu’il advient d’un patch suggéré par un modèle et qui en assume la responsabilité en cas de nouvelle vulnérabilité introduite.
IBM cherche à apporter une réponse à cette incertitude en proposant un service géré et contrôlé pour encapsuler la technologie d’OpenAI. Cela semble être la solution la plus adaptée pour les banques, les assureurs, l’industrie, les administrations et autres acteurs soumis à de fortes contraintes réglementaires. Toutes ne souhaitent pas forcément connecter leurs dépôts à un outil externe directement, mais elles peuvent accepter un service supervisé, contractuel, traçable et déployé dans leur propre environnement.
Cette collaboration montre que l’IA de pointe pénètre dans la sécurité d’entreprise de façon pragmatique : pas comme un substitut, mais comme un accélérateur d’analyse, de hiérarchisation et de correction. La valeur réside non pas dans la génération d’alertes supplémentaires, mais dans la réduction du délai entre la détection d’une vulnérabilité, sa validation, sa correction puis sa déploiement.
Si cette promesse se réalise, l’impact pourrait être considérable. Les entreprises seront en mesure d’analyser davantage de code, de répondre plus rapidement aux vulnérabilités et de mieux gérer leurs dépendances critiques open source. Cependant, il faudra que le marché évalue soigneusement ces résultats : moins de bruit, moins d’exposition, des correctifs plus fiables et une réelle réduction du risque, et non simplement plus de détections.
IBM et OpenAI ont choisi un domaine où le besoin est manifeste : le logiciel d’entreprise dépend de millions de lignes de code interne et externe, et les attaquants n’attendent pas que les cycles d’audit traditionnels soient à jour. La défense à vitesse machine n’est plus une idée de futur, c’est une évolution incontournable : lorsque l’IA devient à la fois partie prenante de l’attaquant et du défenseur.
Questions fréquentes
Que vient d’annoncer IBM avec OpenAI ?
IBM a rejoint le programme OpenAI Daybreak Cyber Partner Program et lancé un service de sécurité des applications utilisant les capacités cybernétiques d’OpenAI pour identifier et valider les vulnérabilités logicielles.
En quoi cela diffère-t-il d’un scanner de code traditionnel ?
L’approche dépasse la simple détection automatique de failles. IBM mise sur une analyse assistée par IA visant à prioriser les zones à risque élevé, valider les vulnérabilités et réduire le bruit des faux positifs.
Quel lien avec Project Lightwell ?
Project Lightwell, initié par IBM et Red Hat, avec un investissement de 5 milliards de dollars et plus de 20 000 ingénieurs, vise à protéger les logiciels open source. Il utilisera des capacités d’OpenAI et d’autres modèles d’IA pour la revue et la remédiation du code.
L’IA remplacera-t-elle les équipes de cybersécurité ?
Pas nécessairement. Ces services permettent d’accélérer l’analyse, le traitement et la validation, mais la revue humaine, la gouvernance et la coordination restent essentielles, notamment pour éviter toute dépendance excessive à l’automatisation.
Sources : newsroom.ibm
