GOVERNANCE
(22)22 hack(s).
GPT-5.6 Sol : un modèle de pointe diffusé derrière un filtre gouvernemental
OpenAI a présenté GPT-5.6 Sol le 26 juin 2026 et, à la demande du gouvernement américain, a commencé par un déploiement réservé à des partenaires. Cette sortie transforme une tendance en méthode : la capacité cyber avancée passe désormais par un filtre associant l'État.
Adobe dédouble son Patch Tuesday à mesure que l'IA comprime la fenêtre d'exploitation
À partir du 14 juillet 2026, Adobe publie ses bulletins de sécurité deux fois par mois au lieu d'une, invoquant une découverte de failles accélérée par l'IA qui réduit le délai entre divulgation et exploitation de quelques jours à quelques heures.
L'IA est passée en production avant sa sécurité : le déficit de posture 2026
Le rapport 2026 State of AI Security d'Orca (juillet 2026, plus de 1 200 environnements cloud) constate que 56 % font tourner des agents IA en production, 81 % embarquent des paquets IA vulnérables, et 99,9 % des vulnérabilités IA corrigibles restent non corrigées.
Plan d'action cybersécurité et IA de l'UE : l'évaluation avant mise sur le marché atteint les modèles de frontière
Le 7 juillet 2026, la Commission européenne a présenté un plan d'action qui construit la capacité de test qui manquait à l'AI Act : une évaluation par un tiers des modèles avancés avant leur accès au marché, plus un blueprint ENISA pour un accès sécurisé.
Red-teaming institutionnel : les règles de déploiement façonnent la sûreté multi-agents
Un article de juillet 2026 montre que les règles fixées pour un déploiement multi-agents modifient causalement la sûreté — déplaçant le préjudice collectif de 22 à 58 points à modèle constant.
Les failles trouvées par l'IA redessinent le cycle de correctifs Windows
Microsoft intègre la découverte de failles par IA au cycle de vie Windows et prévient : les Patch Tuesday vont s'alourdir. Le vrai sujet, c'est ce que les défenseurs doivent changer dès maintenant.
La Corée du Sud publie le premier standard public de red teaming IA
Le 8 juillet 2026, le ministère coréen des Sciences et des TIC a publié deux guides qui transforment l'affirmation « nous avons red-teamé notre IA » en une exigence auditable — une première mondiale.
Une plateforme d'agents IA entre au catalogue des failles exploitées de la CISA
Le 7 juillet 2026, un constructeur open source d'agents IA est devenu la première plateforme d'orchestration jamais inscrite au catalogue KEV de la CISA — un signal sur la priorisation des correctifs de l'infrastructure IA.
Vos journaux d'agent prouvent-ils vraiment ce qu'il a fait ? Un banc d'essai sur la suffisance des preuves
Un banc d'essai de fin juin 2026 montre que disposer de traces, de registres ou de schémas ne signifie pas disposer de preuves suffisantes. La journalisation « par présence » surévalue le « suffisant » sur jusqu'à 75 % des cas.
Prévision de mi-année du FIRST : ~66 000 CVE en 2026, mais le risque exploitable reste stable
Le 15 juin 2026, le FIRST a révisé sa projection 2026 à ~66 000 CVE — 46,3 % au-dessus de février — porté surtout par la découverte assistée par IA. Le sous-ensemble actionnable trié via EPSS et CISA KEV n'a pas progressé au même rythme.
AI Act : comment les lignes directrices classent les systèmes agentiques en haut risque
Les lignes directrices de la Commission européenne du 19 mai 2026 sur l'article 6 imposent d'évaluer un système agentique dans son ensemble — un seul composant accessoire peut faire basculer toute la configuration en haut risque.
Des dirigeants de l'IA demandent au Congrès de rendre obligatoire le criblage de la synthèse d'ADN
Le 5 juin 2026, les patrons d'OpenAI, Anthropic, Google DeepMind et Microsoft AI ont cosigné une lettre exhortant le Congrès à imposer le criblage de la synthèse d'acides nucléiques — présenté comme un contrôle défensif face à l'érosion des barrières par l'IA.
Divulgation à la vitesse machine : leçons du premier registre de vulnérabilités IA
Le registre de divulgation coordonnée d'Anthropic, analysé par VulnCheck le 9 juin 2026, montre l'IA remontant 23 019 bugs candidats quand seuls 1 596 atteignent les mainteneurs — un aperçu de la divulgation à l'ère de la découverte automatisée.
Quand un État retire un modèle : la suspension de Fable 5 / Mythos 5
Le 12 juin 2026, une directive de contrôle des exportations américaine a contraint Anthropic à désactiver Claude Fable 5 et Mythos 5 dans le monde entier. Le déclencheur invoqué : un « jailbreak » qui revient à demander au modèle de lire du code et d'en corriger les failles — une tâche défensive quotidienne.
DeepMind et ses partenaires ouvrent un fonds de 10 M$ pour la sûreté multi-agents
Le 11 juin 2026, Google DeepMind, Schmidt Sciences, la Cooperative AI Foundation et l'ARIA ont ouvert un appel de 10 M$ pour fonder un champ de recherche sur la sûreté de millions d'agents IA en interaction.
OWASP State of Agentic AI Security 2026 : l'injection de prompt relie la plupart des incidents d'agents
Le rapport OWASP State of Agentic AI Security and Governance v2.01 (1er juin 2026) passe des menaces hypothétiques aux CVE et brèches documentées. L'injection de prompt couvre désormais six des dix catégories de risque agentique.
Modèle de maturité agentique OWASP : ne restez pas dans les cases rouges
Le rapport State of Agentic AI d'OWASP (juin 2026) ajoute un modèle de maturité d'adoption : une grille à deux axes où l'autonomie des agents dépasse la gouvernance, créant des « cases rouges » que personne ne supervise.
Aucun labo ne mesure le prompt injection de la même façon
Une comparaison du 1er juin 2026 des divulgations prompt injection d'Anthropic, OpenAI, Google et Meta montre qu'aucun labo ne partage de métrique, de surface ni de définition du succès — leurs chiffres ne sont pas comparables.
Décret américain sur la sécurité de l'IA : un guichet de vulnérabilités et une revue des modèles de pointe
Signé le 2 juin 2026, le décret américain sur l'innovation et la sécurité de l'IA crée un guichet fédéral de vulnérabilités IA et une revue volontaire de 30 jours avant publication des « modèles de pointe couverts ».
CISA + Five Eyes publient le premier guide commun sur l'adoption des IA agentiques
Le 1er mai 2026, CISA, NSA et les agences cyber des Five Eyes ont publié 'Careful Adoption of Agentic AI Services' — une taxonomie en 5 risques et un manuel de déploiement que les opérateurs d'infrastructures critiques sont désormais censés intégrer à leurs cadres de cybersécurité existants.
La NSA AISC publie un guide de sécurité MCP pour les déploiements IA
Le 20 mai 2026, l'Artificial Intelligence Security Center de la NSA a publié une fiche d'information de 15 pages sur le Model Context Protocol : huit classes de faiblesses, cinq incidents réels, neuf recommandations défensives.
La pression : les équipes sécurité de l'open source face au déluge de vulnérabilités assistées par IA
Le 26 mai 2026, Daniel Stenberg (curl) publie « The pressure » : plus d'un rapport de sécurité crédible par jour, douze CVE confirmées à mi-cycle, un schéma désormais confirmé par d'autres mainteneurs.