La dette technique est désormais perçue comme un risque accru en matière de cybersécurité. Longtemps considérée comme un compromis acceptable, elle inclut des applications internes vieillissantes et des composants open source non mis à jour. Cette inertie, jadis perçue comme une maîtrise des risques, ne tient plus face à l’évolution technologique.
Avec l’émergence de modèles d’intelligence artificielle, tels que Claude Mythos Preview d’Anthropic, la capacité d’analyser le code à grande échelle transforme la dette technique en surface d’attaque. Ce qui était difficile à détecter devient systématiquement analysable, et des systèmes jugés trop anciens pour être attaqués sont désormais des cibles privilégiées.
La dette technique applicative : stable ne signifie pas sécurisé
La dette technique applicative est omniprésente, avec des applications développées il y a dix ou vingt ans et des composants non maintenus. Un composant non maintenu est, par définition, non patchable. Lorsqu’une vulnérabilité est identifiée, il peut ne plus y avoir d’éditeur ou de correctif, et parfois même plus de compétence interne pour intervenir. La stabilité devient alors problématique.
L’approche d’Anthropic montre que ces systèmes peuvent contenir des vulnérabilités invisibles pendant des années, malgré des audits et des tests. L’âge et la stabilité du code ne protègent pas ; ils peuvent même faciliter l’analyse par des moteurs automatisés.
L’accélération des attaquants : un même signal, un changement d’échelle
Selon Nikesh Arora, CEO de Palo Alto Networks, les modèles d’IA modernes permettent une recherche continue et industrialisée de vulnérabilités. Les attaquants n’ont plus besoin de se concentrer sur quelques failles, mais peuvent explorer méthodiquement les zones grises des systèmes d’information.
Dans ce contexte, la dette technique devient un multiplicateur de risque, dépassant le cadre d’un simple sujet de backlog IT.
Dette technique en cybersécurité : quand les interstices deviennent exploitables
Les bonnes pratiques de cybersécurité, telles que la gestion des identités et l’hygiène de configuration, sont essentielles pour réduire la surface d’attaque. Cependant, l’IA change la nature du problème. Un défaut isolé, auparavant exploitable par quelques attaquants, peut désormais être testé et contourné par des milliers d’agents automatisés.
Dans ce modèle, il est crucial de réduire les interstices exploitables. De nombreuses organisations portent également une dette technique dans leur cybersécurité, avec des outils incohérents et des processus trop lents face à la rapidité des attaques modernes.
Quand les outils de défense deviennent eux-mêmes vulnérables
Les mécanismes de défense, tels que les firewalls et les systèmes de détection, reposent sur des logiciels qui présentent également des vulnérabilités. Mythos introduit un risque supplémentaire en permettant d’auditer directement ces défenses. Les appliances de sécurité, souvent basées sur des systèmes d’exploitation anciens, deviennent analysables par des modèles d’IA, rendant la détection plus accessible pour les attaquants.
Les outils de défense ne doivent plus être considérés comme inviolables. Ils évoluent dans le même environnement que les systèmes qu’ils protègent, avec les mêmes contraintes d’obsolescence et de dépendances.
Ne pas moderniser, c’est ne plus s’adapter aux risques modernes
L’IA ne crée pas de nouvelles vulnérabilités, mais modifie l’économie de leur découverte. Dans ce contexte, la dette technique, tant applicative que cyber, devient un point faible structurel. La réponse ne réside pas dans une technologie unique, mais dans une approche pragmatique : réduire ce qui ne peut plus être protégé, moderniser et établir une cybersécurité capable d’évoluer à la même vitesse que les menaces.
Source : Anthropic, Palo Alto Networks.
