Retour aux archives

Édition 05 · 6 juillet 2026

Edition 05

Une enquête auprès de 1 200 personnes confirme un constat ancien, Fable 5 revient avec des contraintes, le quantique cesse d'être un problème hypothétique, les garde-fous de ChatGPT cèdent, et Meta supprime un contrôle de confidentialité.

Par Christophe Mazzola, CISO en exercice et fondateur de Cyber Academy.

Recevez le prochain GRC Brief dans votre boîte mail.

S'abonner à The GRC Brief

Tout le monde est informé. Presque personne n'est résilient.

La Bitdefender 2026 Cybersecurity Assessment a interrogé 1 200 professionnels IT et sécurité dans six pays, et le constat est celui d'un écart entre la conscience du risque et la résilience opérationnelle. Les organisations comprennent les risques mieux que jamais, mais peinent à traduire cette compréhension en actions concrètes. Quelques chiffres sont frappants. Dirigeants et praticiens ne s'accordent pas sur les fondamentaux : 58 % des managers estiment avoir une visibilité complète sur l'usage de l'IA par leurs collaborateurs, contre 45,9 % des praticiens qui travaillent sous leurs ordres. Alors que les menaces liées à l'IA occupent le podium des préoccupations, Bitdefender Labs constate que 84 % des attaques de haute sévérité exploitent des techniques Living off the Land, c'est-à-dire l'abus d'outils déjà présents dans l'environnement, ce que seulement un répondant sur cinq classe parmi ses principales inquiétudes. Par ailleurs, 55 % des organisations victimes d'une violation déclarent avoir reçu pour consigne de garder l'incident confidentiel, même lorsqu'elles estimaient que les autorités auraient dû être notifiées.

Source: The Hacker News · Bitdefender 2026 Assessment, 1 Jul 2026

Mon analyse

Moment d'autosatisfaction assumé. C'est ce que je dis à mes clients depuis des années, et le message que je martèle dans mes interventions récentes. Mon webinaire PECB de cette année, <a href="https://www.youtube.com/watch?v=OtzGRLayYR8" target="_blank" rel="noopener">Closing the Decision Gap</a>, défendait exactement ce point, et il est maintenant mesuré sur 1 200 personnes. La conscience du risque n'est pas la résilience. Connaître le risque, acheter l'outil, passer l'audit : rien de tout cela n'équivaut à survivre à l'incident.

Deux chiffres à méditer. Les managers affirment voir l'usage de l'IA. Les praticiens sous leurs ordres disent que non. Cet écart résume tout le problème en une ligne : des décideurs qui s'appuient sur une image que les personnes qui font le travail savent fausse.

Et le chiffre sur le Living off the Land est révélateur. Tout le monde panique à propos de l'IA, pendant que 84 % des attaques sérieuses se contentent d'abuser des outils déjà présents dans l'environnement. La menace ordinaire est celle qui vous frappe. La résilience se construit sur un travail ingrat, pas sur les grands titres.

Fable 5 est de retour. La moitié de votre code atterrit quand même sur Opus 4.8.

Après le retrait par le département américain du Commerce de sa directive sur le contrôle des exportations le 30 juin, Anthropic a rétabli Claude Fable 5 pour l'ensemble des utilisateurs mondiaux le 1er juillet, soit environ trois semaines après l'avoir retiré. Même modèle, même tarif, sans vérification de nationalité. La nuance tient aux garde-fous. Anthropic a redéployé Fable 5 avec un classificateur de sécurité plus strict et indique qu'à court terme certaines tâches courantes, notamment le codage et le débogage, seront bloquées et redirigées vers le modèle plus petit Opus 4.8, avec notification à l'utilisateur. Anthropic présente ce paramètre comme temporaire et prudent, qu'il assouplira dans les prochaines semaines, et précise que ses propres tests ont montré que des modèles moins performants pouvaient reproduire les travaux sur les vulnérabilités qui ont déclenché tout cet épisode.

Source: Anthropic · Redeploying Fable 5, 1 Jul 2026

Mon analyse

Donc il est de retour. Et pour un usage réel, il est à moitié inutilisable, par conception. Je fais du codage et du débogage, ce qui est exactement ce que le nouveau classificateur redirige vers Opus 4.8. Je sollicite donc le modèle le plus performant et on me tend le plus petit, en pleine tâche, avec une notification. Soit, pour la prudence d'Anthropic. Frustrant quand on a payé pour Fable et qu'on reçoit Opus.

Relisez cela à la lumière de ce que je disais la semaine dernière. Je vous ai dit que l'IA frontière était devenue une licence que Washington accorde et révoque, et qu'il fallait disposer d'une deuxième option n'exigeant aucune autorisation. Une semaine plus tard, la licence est restituée, avec de nouvelles contraintes, et le modèle bascule discrètement vers une version moins performante sur les tâches qui me concernent. L'enjeu n'a jamais été ce modèle en particulier. L'enjeu, c'est la dépendance.

Pour être juste, Anthropic indique lui-même qu'il s'agit d'un paramètre conservateur qu'il assouplira, et que des modèles moins puissants pourraient de toute façon accomplir le même travail. Que vous le croyiez ou non, la leçon tient : ne câblez pas un seul modèle dans quoi que ce soit que vous ne pouvez pas vous permettre de perdre.

Le quantique est un problème pour 2029. Vos données sont copiées aujourd'hui.

Microsoft a annoncé l'accélération de sa feuille de route quantique, avertissant que des ordinateurs quantiques cryptographiquement pertinents pourraient arriver plus tôt que prévu et que le travail de migration est suffisamment significatif pour commencer dès maintenant. Le moteur est la stratégie « harvest now, decrypt later » : les données chiffrées volées aujourd'hui peuvent être stockées et déchiffrées une fois le matériel suffisamment puissant. Microsoft prévoit de migrer ses produits et services critiques vers la cryptographie post-quantique d'ici 2029, et ses recommandations portent moins sur l'échange d'algorithmes demain que sur la préparation : adopter des protocoles modernes comme TLS 1.3, construire une crypto-agilité permettant de remplacer les algorithmes sans refondre les applications, et moderniser les chaînes de confiance sous-jacentes à la signature de code et aux certificats. Apple, Google et Signal ont déjà commencé.

Source: BleepingComputer · Microsoft Quantum Safe Program, 30 Jun 2026

Mon analyse

Ce que les gens vont mal comprendre : ce n'est pas un problème pour 2029. Le « harvest now, decrypt later » signifie que le compteur tourne déjà. Tout ce que vous chiffrez aujourd'hui et qui devra rester secret dans dix ans, dossiers médicaux, contrats, propriété intellectuelle, peut être copié maintenant et ouvert plus tard.

La bonne réaction n'est pas de paniquer à propos des algorithmes. C'est une question de gouvernance. Savez-vous seulement où vit votre cryptographie ? Pouvez-vous remplacer un algorithme sans réécrire l'application ? C'est la crypto-agilité, et la plupart des organisations ne l'ont pas. Commencez par un inventaire et TLS 1.3, comme Microsoft, Apple, Google et Signal l'ont déjà fait.

Pour votre Annexe A et votre registre des risques, le quantique cesse d'être une note de bas de page cette année. Non pas parce que l'ordinateur est là, mais parce que la collecte n'attend pas son arrivée.

Les garde-fous ont tenu, jusqu'à ce qu'une invite légèrement modifiée passe à travers.

La société britannique de sécurité IA Mindgard a montré qu'une version légèrement modifiée d'une invite virale anodine pouvait pousser le générateur d'images de ChatGPT à produire des contenus graphiques violents et sexuels qu'on ne lui avait jamais demandés, y compris des images perturbantes de femmes mortes. L'astuce consistait à demander au modèle de restaurer une image tout en le convainquant que l'original était extrêmement graphique, ce qui a suffi à contourner les garde-fous. Les défenses déclarées d'OpenAI, des classificateurs associés à un modèle aval qui examine les sorties, ne l'ont pas arrêté. Le rapport indique que ce n'est pas un cas isolé : des techniques antérieures ont produit des nus non consentis et des substitutions de visages, et Grok de xAI s'en est encore moins bien sorti, des chercheurs ayant signalé des contenus aux régulateurs français comme étant potentiellement illégaux au titre du Digital Services Act. Une étude de gouvernance avertit que certaines entreprises d'IA se réservent le droit d'assouplir leurs garde-fous pour s'aligner sur les concurrents, une course vers le bas.

Source: Malwarebytes · Mindgard research, 1 Jul 2026

Mon analyse

La ligne qui compte n'est pas que ChatGPT peut être trompé. C'est que les déclarations de sécurité des éditeurs relèvent du marketing, pas d'un contrôle sur lequel vous pouvez vous appuyer. Des classificateurs associés à un modèle de révision, mis en échec par une seule invite reformulée. C'est la réalité derrière chaque diapositive « notre IA est sûre ».

Si vous gouvernez l'IA dans votre organisation, la conclusion est directe : vous ne pouvez pas externaliser votre risque vers les garde-fous du modèle. Si votre politique d'usage acceptable, votre surveillance et vos contrôles supposent que le filtre de l'éditeur tient, vous n'avez pas un contrôle, vous avez un espoir. C'est exactement l'écart qu'ISO 42001 existe à combler.

Et notez ce qui pourrit en dessous. Une étude de gouvernance a constaté que certains fournisseurs se réservent le droit d'affaiblir leurs garde-fous pour s'aligner sur les concurrents. Une course vers le bas, par écrit. Quand le plancher est fixé par celui qui se soucie le moins, construisez votre propre plancher.

Meta supprime le contrôle de suivi dont il se vantait autrefois.

Meta retire Off-Facebook Activity, le contrôle lancé vers 2019 qui permettait de déconnecter les données envoyées par des sites et applications tiers, et de supprimer vos informations d'identification de ces données. Les utilisateurs voient apparaître des bandeaux « vos paramètres changent » et des e-mails indiquant que l'option de déconnexion disparaît, remplacée par un paramètre appelé Activity from other businesses. Le changement pratique, tel que le lisent les défenseurs de la vie privée : le nouveau contrôle régit l'utilisation par Meta de ces données hors site, non leur conservation, et Meta étend l'usage de ces données, des publicités à la personnalisation du fil d'actualité et des reels. Meta avait présenté la fonctionnalité originale en 2019 comme plaçant le contrôle de l'utilisateur au-dessus de son propre modèle publicitaire.

Source: PCMag · Meta settings change, Jul 2026

Mon analyse

Celui-ci est simple, et c'est un recul. Meta retire un contrôle dont il se vantait autrefois, et le remplacement change discrètement la question de « supprimer ces données » à « nous permettre ou non de les utiliser », pendant que les données elles-mêmes restent. Un recul en matière de confidentialité habillé en mise à jour des paramètres.

Le geste individuel n'a pas changé. Allez dans vos paramètres Meta, désactivez Activity from other businesses, utilisez un navigateur respectueux de la vie privée avec blocage des traceurs, ou quittez la plateforme. Une mise en garde, compte tenu de la semaine dernière : choisissez soigneusement votre bloqueur de traceurs. Un bloqueur de publicités installé par 10 millions d'utilisateurs avec un détournement caché n'est pas de la confidentialité, c'est le même problème avec un badge plus propre.

Pour les professionnels qui lisent ceci, le point essentiel est le consentement. Quand un contrôle qui limitait le suivi cross-web disparaît et que les données sont conservées par défaut, c'est une conversation GDPR, pas un ajustement UX. Observez comment les régulateurs vont réagir.

Aimé celle-ci ? Recevez la prochaine.

Atterrissez sur la prochaine.

Cinq choses qui ont bougé dans la GRC, tous les lundis. Analyse franche, sans recyclage de communiqués.

S'abonner à The GRC Brief