.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
Le 7 mai, OpenAI a annoncé le déploiement à grande échelle de GPT-5.5 via son programme Trusted Access for Cyber (TAC), et l'aperçu limité de GPT-5.5-Cyber, une variante cyber-native plus permissive, optimisée pour les flux de travail défensifs avancés.
Pour les membres TAC vérifiés comme Sophos, GPT-5.5 accélère le cycle de vie complet de la défense : analyse de code sécurisée, priorisation des vulnérabilités, analyse des malwares, ingénierie de détection et validation des correctifs. GPT-5.5-Cyber
Il s'agit de la prochaine étape d'une évolution amorcée plus tôt cette année avec l'introduction du TAC et la mise au point de variantes cyber-permissives. Le constat est clair : à mesure que les capacités de pointe progressent, OpenAI fait pencher la balance en faveur des entreprises de défense comme Sophos, qui disposent d’une vérification et d’une responsabilisation proportionnellement plus fortes en matière d’accès.
Pourquoi c'est important maintenant ?
Il y a deux mois, Anthropic a sorti Claude Mythos auprès d'un petit groupe de partenaires. Les capacités révélées, notamment des milliers de vulnérabilités zero-day mises au jour et un taux de réussite de 72,4% dans le développement des exploits, étaient suffisamment importantes pour que le secrétaire au Trésor américain et le président de la Réserve fédérale réunissent les CEO des plus grandes banques américaines pour une réunion d'urgence sur ce que cette technologie signifiait pour la résilience du secteur financier. Cette fonctionnalité est à présent disponible. Le confinement est incertain.
C’est de ce côté de la frontière que l’adversaire opère depuis des mois. L'IA accélère des détections. L'IA génère des exploits fonctionnels. L'IA réduit l'écart entre les recommandations des éditeurs et l'exploitation constatée. (découvrez les articles suivants : L'IA vient de devenir le développeur d’exploits le plus dangereux au monde : voilà comment Sophos Endpoint peut les bloquer et L’IA trouve les vulnérabilités, mais les exploiter est un problème différent pour bénéficier d’une analyse technique approfondie).
La toute récente publication d'OpenAI est importante car il s'agit de l'une des initiatives les plus audacieuses à ce jour pour mettre une capacité comparable du côté des défenseurs et soutenue par un framework d'accès conçu pour maintenir cette dernière de ce côté de la frontière.
Mais l'accès seul ne constitue pas une stratégie. Cela n'a d'importance que si vous disposez de l'architecture opérationnelle nécessaire pour le mettre en œuvre. C'est sur ce point que Sophos est déjà présent.
Opérer à la frontière
Sophos se prépare à ce moment depuis des années. Deux éléments de ce travail sont essentiels pour comprendre ce que le TAC permet d'accélérer.
Sophos Endpoint : conçu pour bloquer les failles zero-day générées par IA
L’architecture de Sophos Endpoint repose sur un argument spécifique que Mythos, et maintenant GPT-5.5-Cyber, rendent à nouveau pertinent.
L'IA accélère la détection/découverte. Des millions de vulnérabilités existent dans les logiciels en production, et les modèles de pointe peuvent les détecter plus rapidement que n'importe quel cycle de correctifs ne pourra les corriger. Mais l'IA n'invente pas de nouvelles primitives d'exploitation. Pour transformer n'importe quelle vulnérabilité en compromission, qu'elle soit connue, inconnue ou générée il y a cinq minutes par un modèle, un attaquant doit encore corrompre la mémoire d'une manière particulière, rediriger l'exécution, élever ses privilèges, contourner la surveillance comportementale ou accéder au système d'exploitation via une séquence soigneusement élaborée. Des millions de vulnérabilités. Des dizaines de techniques.
Sophos Endpoint cible les techniques. Plus de 60 mesures de mitigation des exploits propriétaires sont activées par défaut sur chaque processus protégé, sans paramétrage par application, sans listes d'exclusion et sans périodes d'audit. Elles s'exécutent en temps réel sur le système endpoint, sans dépendre des mises à jour de signatures ni des lookups Cloud. Lorsqu'une toute nouvelle faille zero-day apparaît, qu'elle soit générée par Mythos, par un futur modèle cyber-permissif entre des mains non autorisées, ou par quoi que ce soit d'autre à venir, la question n'est pas de savoir si Sophos l'a déjà rencontrée. Il s'agit de savoir si l'exploit peut mener à bien sa tâche sans utiliser de primitive contrainte. La réponse, dans presque tous les cas réalistes, est non.
C’est ce que nous voulons dire lorsque nous affirmons que Sophos Endpoint cible les primitives, et non la provenance. La révélation de Mythos n'était pas une nouveauté pour nous. C'était la confirmation d'un pari architectural que nous avions fait il y a des années. Pour aller plus loin, lisez les détails techniques de cet article : L'IA repère les vulnérabilités, mais les exploiter est une autre histoire.
Sophos MDR : le plus grand SOC agentique au monde
L'autre partie de cette frontière, ce sont les opérations. Une capacité sans modèle opérationnel pour la mettre en œuvre n'est qu'un potentiel, pas une protection.
Au sein de Sophos MDR, nous avons repensé la détection et la réponse à l'ère de l'IA. Nous n'avons pas ajouté les modèles au flux de travail existant. Nous avons redéfini la place respective des humains et de l'IA, ainsi que les responsabilités de chacun. Aujourd'hui, 52% des cas sont résolus de bout en bout par l'IA, et notre délai moyen entre l'alerte et la réponse automatisée est de 89 secondes. Ce ne sont pas des projections. Ce sont des chiffres opérationnels.
Le mot clé de cette restructuration est la responsabilité. Sophos MDR fonctionne comme un service de type HOTL (Human-On-The-Loop), et non comme un service de type HITL (Human-In-The-Loop). L'IA est autorisée à agir dans des limites bien définies que les analystes établissent et ajustent en permanence. L'humain supervise le système, en contrôle le fonctionnement et intervient lorsque la situation dépasse les limites autorisées ou que les enjeux le justifient. C'est le seul modèle opérationnel qui vous permette d'obtenir des temps de réponse de 89 secondes sans renoncer à la responsabilité.
Qu’apporte le programme Trusted Access for Cyber (TAC) d’OpenAI ?
Notre adhésion au TAC d'OpenAI renforce les deux aspects de ce travail.
Pour Sophos Endpoint et nos équipes de recherche sur les menaces, le TAC accélère notre capacité à analyser les nouvelles menaces, à valider les vulnérabilités, à renforcer nos propres produits grâce à des pentests internes et à générer la logique de détection qui se propage à plus de 600 000 organisations protégées. Lorsque l'IA détecte les bugs plus rapidement, la défense doit les étudier plus rapidement. Le TAC simplifie ce travail pour les défenseurs vérifiés.
Pour Sophos MDR, le TAC apporte un élément supplémentaire à l'intelligence opérationnelle que nous cumulons dans chaque environnement client. La même infrastructure d'agents qui résout les cas en 89 secondes devient un bénéficiaire en aval des capacités de pointe apportées en amont. Chaque nouvelle technique d’adversaire rencontrée, chaque cas limite résolu, chaque environnement défendu alimente un système qui devient plus intelligent à mesure qu'il se développe.
L'essentiel, c'est la combinaison. Une capacité sans architecture pour l'appliquer est intéressante. Une architecture sans capacité d'innovation de pointe est rapidement dépassée. Ensemble, ils constituent la manière dont un système de défense peut garder l'avantage sur un adversaire utilisant lui aussi l'IA.
Pourquoi le TAC utilise la bonne approche ?
L’approche d’OpenAI concernant le TAC a une importance qui dépasse le cadre de l’utilisation qu’en fait Sophos.
Le problème majeur des modèles de pointe dotés de cyber-capacités a toujours été que ces mêmes capacités accéléraient les attaques et les défenses. Rendez-le largement accessible sans barrières, et vous augmenterez considérablement le potentiel offensif. Si on le restreint sévèrement, les défenseurs se retrouvent à la traîne par rapport à leurs adversaires qui n'ont ni cycle d'achat ni contrôle de gouvernance.
Le TAC représente une tentative sérieuse de créer une troisième voie. Il associe un large accès pour les défenseurs vérifiés à des garanties proportionnelles : vérification d’identité, contrôle organisationnel, accès priorisé et exigences d’authentification de plus en plus strictes à mesure que le modèle devient plus permissif. Les capacités évoluent avec la vérification. Cette dernière est proportionnelle à la responsabilité. Il s'agit d'un principe de conception qu'il convient de renforcer dans l'ensemble du secteur.
Sophos sera parmi les premiers à participer à des programmes qui mettent des capacités de pointe entre les mains des défenseurs de manière responsable. Les défenseurs prêts à affronter la suite sont ceux qui opèrent aujourd'hui à la frontière, des deux côtés de l'architecture : la prévention qui cible les primitives et les opérations qui reposent sur une approche de type HOTL (Human-On-The-Loop). L'accès à la frontière est la troisième étape, et il est désormais en place.
Voilà le travail effectué. Nous sommes ravis de le faire aux côtés d'OpenAI et du reste de la communauté TAC.
Billet inspiré de GPT-5.5-Cyber is here. What it means for defenders operating at the frontier, sur le Blog Sophos.