Résilience opérationnelle continue à l’ère de l’IA de pointe

Du Bureau du Responsable de la Sécurité des Systèmes d’Information, Smartstream Technologies

Smartstream fait évoluer sa posture de sécurité dans le cadre de DORA alors que l’IA redéfinit le paysage des menaces

Plus tôt cette année, Anthropic a annoncé le Projet Glasswing, le programme d’organisations de confiance à l’origine de Claude Mythos, un modèle d’IA de pointe capable de découvrir de manière autonome des vulnérabilités logicielles jusqu’alors inconnues, à une échelle et à un rythme jamais atteints auparavant. Pour le secteur des services financiers, cette capacité présente un double tranchant : elle accélère la recherche légitime en matière de sécurité, tout en exerçant une pression sans précédent sur le temps de réaction des défenseurs. Des vulnérabilités qui ne pouvaient être découvertes qu’au terme de recherches humaines soutenues peuvent désormais être révélées, et potentiellement exploitées, en quelques heures plutôt qu’en plusieurs mois.

Cette évolution coïncide avec l’entrée en vigueur complète du Règlement sur la Résilience Opérationnelle Numérique (DORA) dans l’ensemble du secteur financier européen. DORA ne traite pas la résilience comme un projet. Il la considère comme une obligation continue articulée autour de cinq piliers interdépendants : la gestion des risques TIC, la notification des incidents, les tests de résilience, le risque lié aux tiers et le partage d’informations. Le niveau d’exigence évolue avec le paysage des menaces, et ce paysage vient de changer.

Les rédacteurs de DORA ont anticipé un monde où les menaces évoluent plus rapidement que les cycles d’audit annuels. Le cadre réglementaire est délibérément construit autour d’une surveillance continue, de tests continus et d’une supervision continue des tiers, et non d’une certification périodique. La découverte de vulnérabilités assistée par l’IA valide ce choix de conception. Une évaluation ponctuelle est obsolète au moment même où elle est déposée.

Pour Smartstream et nos clients du secteur des services financiers, la question opérationnelle n’est plus « sommes-nous conformes ? » mais « sommes-nous conformes aujourd’hui, et pouvons-nous le prouver demain ? » Nos programmes de sécurité et d’ingénierie sont organisés pour répondre par l’affirmative aux deux questions.

Le secteur dispose désormais d’un terme pour désigner ce que permet la découverte assistée par l’IA à grande échelle : Vulnpocalypse, un afflux de vulnérabilités arrivant plus rapidement que les cycles de remédiation traditionnels ne peuvent les absorber. Smartstream adopte une stratégie de confinement comme réponse délibérée à ce scénario : lorsque la correction ne peut surpasser la découverte, le confinement doit prendre le relais. La résilience à cette époque est intégrée dans l’architecture, et non présumée par la seule défense périmétrique.

« La conformité est le plancher. Le confinement est le pari. La résilience est la discipline. »

Smartstream dispose d’une stratégie claire face au paysage des menaces de l’ère Mythos. Tous les éléments ne sont pas encore pleinement déployés aujourd’hui, et nous sommes transparents à ce sujet : l’exécution est une discipline continue, non une ligne d’arrivée. La direction est fixée et la cadence opérationnelle est en place. Six principes ancrent cette stratégie, chacun correspondant à un pilier de DORA :

1. Veille sur les menaces assistée par l’IA. Notre stratégie intègre les capacités de l’IA de pointe, notamment l’analyse de code basée sur de grands modèles de langage, dans la découverte de vulnérabilités et dans la modélisation des menaces assistée par l’IA. Le déploiement est en cours et l’intention est sans équivoque : révéler les failles logiques contextuelles et les schémas d’exploitation inédits que les scanners basés sur des signatures et des règles ne détectent pas, avant que les adversaires ne les découvrent par les mêmes techniques. Il s’agit d’« IA contre IA », la réponse défensive à une classe d’adversaires désormais elle-même alimentée par l’IA.
2. Gestion continue de l’exposition aux menaces. Notre stratégie va au-delà de la notation CVSS seule pour adopter un modèle de risque composite combinant la gravité intrinsèque, la prédiction d’exploitation réelle, le contexte de la chaîne d’exposition, l’exposition des identités et la criticité des actifs. L’objectif est d’orienter les efforts de remédiation en priorité vers le petit sous-ensemble de résultats réellement exploitables dans notre environnement, et non vers la longue traîne de problèmes théoriquement graves mais pratiquement inaccessibles.
3. Un SDLC sécurisé pour l’IA. La revue de conception sécurisée, l’analyse de code et l’analyse des dépendances sont intégrées dans chaque cycle de publication de produit. Les pratiques spécifiques à l’IA, notamment l’analyse de code basée sur les LLM pour le code critique, l’évaluation structurée du code généré par l’IA, la modélisation des menaces assistée par l’IA et la remédiation basée sur des agents avec intervention humaine, sont établies comme composantes permanentes du cycle de développement, et non comme activités périodiques.
4. Défense en profondeur avec contrôles adaptatifs. Chaque couche de contrôle, du point de terminaison au cloud, intègre des renseignements sur les menaces en temps réel et s’adapte à la vitesse des menaces, et non à la vitesse du cycle de correction. La visibilité sur l’IA fantôme et les contrôles de prévention de la perte de données étendent la même posture à l’utilisation de l’IA générative et aux chemins de sortie des données. Une capacité d’opérations de sécurité gérées 24 h/24 et 7 j/7 superpose une supervision humaine au confinement automatisé. L’hypothèse de travail est la violation. La discipline consiste à la contenir.
5. Divulgation transparente et responsabilité partagée. Les piliers de notification des incidents et de partage d’informations de DORA exigent une communication structurée et rapide avec les clients et les régulateurs. Notre engagement est sans équivoque : lorsqu’une vulnérabilité ou un incident affecte matériellement les produits et services que nous fournissons, nous le divulguons rapidement, avec le détail des actifs concernés, une évaluation de l’exploitabilité et un calendrier de remédiation engagé. Cet engagement tient quelle que soit la manière dont le problème a été découvert, y compris les résultats révélés par la recherche assistée par l’IA.
6. Résilience testée, non présumée. Nous exerçons la continuité, la reprise après sinistre et la réponse aux incidents selon une cadence régulière, et non certifiés une fois puis archivés. Les tests d’intrusion indépendants, les exercices de réponse basés sur des scénarios et la validation de restauration des sauvegardes nous fournissent, ainsi qu’à nos clients et à nos régulateurs, la preuve que les contrôles décrits ci-dessus se comportent comme prévu sous pression. Les objectifs de reprise sont définis, mesurés et révisés.

Deux jalons d’exécution à court terme prolongent la stratégie : VulnOps, un pipeline de remédiation consolidé qui unifie les résultats de l’ensemble de notre parc de scanners dans un seul backlog priorisé par risque avec notation composite reflétant la probabilité d’exploitation et l’accessibilité réelle aux côtés de la gravité intrinsèque, et la génération de correctifs basée sur des agents avec intervention humaine qui compresse le délai entre la découverte et la correction. L’étoile polaire reste inchangée : la conformité est le plancher, le confinement est le pari, la résilience est la discipline. C’est précisément ce qu’exigent le cadre de DORA et le paysage des menaces de l’ère Vulnpocalypse.

La posture de sécurité collective du secteur financier n’est aussi solide que son interconnexion la plus faible. L’investissement proactif de Smartstream dans les capacités de sécurité adaptées à l’IA n’est pas un argument marketing concurrentiel. C’est notre part d’une obligation partagée. Nous continuerons à faire évoluer notre programme, à communiquer ouvertement sur les résultats significatifs et à nous engager avec les communautés de partage d’informations du secteur, lorsque cela renforce l’écosystème dont nous dépendons tous.

Pour nos clients, le message pratique est le suivant : les contrôles protégeant vos services fournis par Smartstream sont conçus pour suivre le rythme des menaces que l’IA met désormais sur la table. DORA est le plancher de cet engagement. Le paysage des menaces en est le plafond. Nous avons l’intention d’opérer bien au-dessus du plancher.