Audite ta propre cybersécurité avec l'IA
Avant que d'autres ne le fassent pour toi
Quand Anthropic annonce que Mythos Preview a découvert plus de 10 000 vulnérabilités de sévérité élevée ou critique dans des logiciels largement utilisés, deux réactions possibles.
La première : admirer la prouesse technique.
La seconde : se demander pourquoi tant de failles restaient là, en pleine vue, pendant des années.
La réponse est à deux niveaux.
Le premier: L’IA générative n’était pas aussi puissante il y a 4 ans.
Le deuxième : Dans plusieurs cas, personne ne les avait activement cherchées.
Et maintenant que des modèles ultra-puissants le font, une partie d’entre eux deviennent inaccessibles pour des raisons de sécurité nationale. Tu n’as pas besoin d’attendre qu’ils reviennent. Tu peux déjà utiliser ce que tu as sous la main pour auditer ton propre code, ton site, tes bases de données.
Voici comment, selon ton niveau technique.
Niveau 1 : Tu n’as pas de base technique
Prends Claude Opus 4.8.
Donne-lui une URL, un export de la structure de ta base de données, ou une description de ton architecture. Demande-lui de jouer l’attaquant : « Quelles sont les 5 failles les plus probables ici ? »
> Base de données : l’endroit où ton application stocke les informations (utilisateurs, commandes, contenus, etc.). Sa structure dit beaucoup de choses sur les failles possibles.
Ne cherche pas à ce qu’il corrige tout. L’objectif est qu’il te donne une liste priorisée de faiblesses : injection SQL mal protégée, page d’admin exposée, fichier de configuration accessible, tokens stockés en clair, formulaire sans protection brute-force.
La plupart des vols de données ne viennent pas d’attaques sophistiquées. Ils viennent de failles visibles que personne n’a pris le temps de regarder.
Une heure avec Opus 4.8 sur ton site peut t’éviter des mois de procédure post-incident.
—
Niveau 2 : Tu codes ou tu gères un repo GitHub
Installe Claude Code.
Demande-lui d’auditer ton dépôt. Sois précis. Par exemple : « Fais une revue de sécurité sur les routes d’authentification, la gestion des tokens JWT, et l’upload de fichiers. »
> Repo GitHub : le “dossier” en ligne qui contient le code source de ton application, avec toute son historique de modifications.
Claude Code peut naviguer dans le code, poser des questions, proposer des correctifs, et même te montrer où une bibliothèque est obsolète ou mal utilisée. Tu restes aux commandes : tu décides ce que tu appliques.
Pour aller plus loin, configure plusieurs sous-agents avec des rôles distincts :
Un agent qui cherche les failles.
Un autre qui propose des correctifs.
Un troisième qui vérifie que les correctifs n’introduisent pas de régression.
C’est cette boucle critique — trouver, corriger, vérifier — qui fait la différence.
—
Niveau 3 : Tu veux automatiser sur un site WordPress ou plusieurs projets
Utilise Hermes Agent.
Hermes te permet de déployer des agents qui travaillent sur plusieurs repositories, sur un site WordPress, ou sur toute infrastructure à laquelle tu peux donner un accès contrôlé. Si tu as une clé d’application, une clé SSH, ou une API, tu peux faire auditer ton système de manière récurrente.
> Clé d’application : un code secret que tu génères dans ton hébergeur ou ton CMS pour permettre à un outil d’accéder à ton site de façon limitée et sécurisée.
L’avantage d’Hermes, c’est la répétitivité associée à la puissance du modèle donné : tu peux orchestrer toi-même les modèles, les agents, et les tâches. L’inconvénient, c’est que ça demande un peu plus de montée en compétences pour déterminer où est ce que l’agent peut etre autonome et ce que tu dois configurer par tes soins.
Mais le principe reste le même : ne pas attendre qu’un tiers découvre tes failles avant toi.
—
Sakana Fugu dans tout ça ?
Sakana Fugu propose un abonnement Standard à 20 $/mois. Le modèle Fugu Ultra est facturé à 5 $/million de tokens en entrée et 30 $/million de tokens en sortie (10 $/million en entrée et 45 $/million de sortie au-delà de 272K de contexte). Certains retours indiquent que le modèle donne de bons résultats sur des analyses de cybersécurité.
C’est une option à tester, avec une réserve majeure : tu n’as aucune visibilité sur les modèles choisis en interne. Pour une analyse sécurité, cela peut être acceptable si tu traites du code public ou des architectures génériques. Pour du code interne critique, la transparence importe.
> Code interne critique : le code qui gère des données sensibles, de l’argent, de l’identité, ou de la propriété intellectuelle.
Fugu peut donc être un point de départ intéressant. Il ne remplace pas un audit structuré avec des outils dont tu maîtrises la chaîne.
Le vrai problème de la cybersécurité n’est pas qu’on manque d’outils. C’est qu’on attend souvent d’être attaqué pour agir.
❌ Attendre que quelqu’un d’autre trouve tes failles.
❌ Croire que seuls les grands comptes sont visés.
✅ Auditer toi-même, même de manière imparfaite, dès cette semaine.
Claude Opus 4.8, Claude Code, Hermes Agent, ou Sakana Fugu : chacun a son niveau d’entrée. Le meilleur outil est celui que tu vas réellement utiliser.
—
Quelle est la dernière faille ou la dernière mauvaise pratique que tu as découverte en auditant ton propre système avec l’IA ?
Partage en commentaire. Même si c’est évident avec du recul, ça peut sauver quelqu’un qui ne l’a pas encore vue.


