IBM a annoncé le 20 mai 2026 l’extension de son portefeuille de cybersécurité alimenté par l’intelligence artificielle, tout en officialisant sa participation à Project Glasswing, l’initiative lancée par Anthropic pour sécuriser les logiciels critiques. L’annonce peut sembler très spécialisée. Elle dit pourtant quelque chose d’important sur la trajectoire actuelle de l’IA : les modèles capables de lire, tester et exploiter du code deviennent assez puissants pour transformer la sécurité informatique en profondeur.
Le sujet n’est pas seulement technique. Les failles logicielles touchent les banques, les hôpitaux, les réseaux télécoms, les clouds, les administrations et les infrastructures industrielles. Si l’IA accélère la recherche de vulnérabilités, elle peut aider les défenseurs à corriger plus vite. Mais elle peut aussi donner de nouveaux moyens aux attaquants. C’est précisément cette tension qui rend l’annonce d’IBM et d’Anthropic intéressante.
IBM veut industrialiser la cybersécurité à l’ère de l’IA
Dans son communiqué, IBM présente cette annonce comme une extension de son programme de sécurité d’entreprise pour l’ère de l’IA. Le groupe met en avant plusieurs briques : IBM Concert, conçu pour donner une vue opérationnelle des signaux issus des applications, de l’infrastructure et du réseau ; IBM Concert Secure Coder, qui intervient dans l’environnement de développement pour détecter et prioriser les risques ; et des services de conseil autour de la réponse autonome aux menaces.
L’idée centrale est de réduire l’écart entre la découverte d’un risque et sa correction. Dans beaucoup d’organisations, une vulnérabilité n’est pas seulement un problème de code. Elle devient un problème de priorisation : quel composant est exposé ? Quelle application dépend de cette bibliothèque ? Quel service métier serait touché ? Quelle correction peut être appliquée sans casser la production ?
L’IA peut être utile si elle relie ces informations au lieu d’ajouter une alerte de plus dans un tableau déjà saturé. C’est le positionnement qu’IBM cherche à défendre : passer d’une sécurité réactive, qui observe et alerte, à une sécurité plus coordonnée, capable de proposer des remédiations et de les replacer dans le contexte réel de l’entreprise.
Pourquoi Project Glasswing compte dans cette stratégie
Project Glasswing a été présenté par Anthropic comme une initiative de sécurité défensive autour de Claude Mythos Preview, un modèle non publié publiquement et spécialisé dans la recherche de vulnérabilités. Anthropic affirme que ce modèle a déjà identifié des milliers de failles de haute sévérité, y compris dans de grands systèmes d’exploitation et navigateurs. L’entreprise insiste aussi sur le fait que cette capacité doit être encadrée, car elle pourrait être utilisée aussi bien pour protéger que pour attaquer.
Au lieu de rendre le modèle accessible à tous, Anthropic l’a placé dans un programme restreint réunissant de grands acteurs technologiques, des mainteneurs d’infrastructures critiques et des organisations de sécurité. Les partenaires peuvent l’utiliser pour analyser leurs propres systèmes, tester des composants essentiels et partager certaines leçons avec l’écosystème.
L’arrivée d’IBM dans ce cadre donne une dimension plus industrielle au projet. IBM travaille avec de grandes entreprises, des environnements hybrides, des systèmes historiques et des infrastructures très réglementées. Ce sont précisément les contextes où les correctifs de sécurité sont difficiles à appliquer rapidement, parce que les dépendances techniques sont nombreuses et les risques opérationnels élevés.
Ce que l’IA change dans la recherche de failles
Trouver une vulnérabilité sérieuse exige traditionnellement une combinaison rare : compréhension du code, intuition d’attaquant, connaissance des architectures et patience. Les outils automatisés existent depuis longtemps, mais ils génèrent souvent beaucoup de bruit. Les meilleurs chercheurs humains restent capables de relier plusieurs signaux faibles pour construire une chaîne d’exploitation réaliste.
Les modèles d’IA récents modifient cette équation. Ils peuvent lire de grands volumes de code, repérer des motifs suspects, expliquer une faiblesse, proposer un test, puis suggérer une correction. Ils ne remplacent pas automatiquement un expert, mais ils peuvent accélérer certaines étapes qui prenaient auparavant des jours ou des semaines.
Le changement le plus sensible concerne les chaînes de vulnérabilités. Une faille isolée peut être peu exploitable. Plusieurs faiblesses combinées peuvent ouvrir un accès critique. C’est dans cette capacité à raisonner sur des enchaînements que les modèles avancés deviennent plus inquiétants, mais aussi plus précieux pour les défenseurs.
Le dilemme du modèle trop puissant pour être public
Anthropic a choisi de ne pas publier Claude Mythos Preview comme un modèle généraliste accessible à tous. Cette décision illustre un dilemme de plus en plus central dans l’IA : certaines capacités sont utiles, mais leur diffusion sans garde-fous peut augmenter les risques.
Dans la cybersécurité, ce dilemme est ancien. Les chercheurs publient parfois des preuves de concept pour aider les éditeurs à corriger, mais ces mêmes informations peuvent être utilisées par des attaquants. Avec l’IA, l’échelle change. Un modèle capable d’automatiser une partie de la recherche et de l’exploitation de failles pourrait réduire fortement le niveau d’expertise nécessaire pour mener certaines attaques.
Project Glasswing est donc une tentative de compromis : donner accès à la capacité aux défenseurs légitimes, organiser la divulgation responsable, soutenir la sécurité open source et limiter la diffusion d’un outil potentiellement dangereux. Ce compromis ne sera crédible que s’il s’accompagne d’une gouvernance stricte, d’audits et d’une transparence suffisante sur les résultats obtenus.
Un enjeu direct pour les entreprises
Pour les entreprises, l’intérêt est concret. Les équipes de sécurité sont confrontées à une accumulation de dépendances logicielles, d’alertes, de bibliothèques open source, de services cloud et d’applications internes. Une faille critique peut rester invisible parce qu’elle se trouve dans un composant secondaire, ou parce que personne ne sait précisément où ce composant est déployé.
Si des outils comme IBM Concert et les modèles spécialisés de Project Glasswing tiennent leurs promesses, ils pourraient aider à répondre plus vite à trois questions essentielles : où est la vulnérabilité, quelle est son importance réelle pour l’activité, et quelle correction appliquer en priorité ?
La promesse est forte, mais elle doit être examinée avec prudence. Une recommandation générée par IA doit être vérifiable. Un correctif automatique peut introduire une régression. Une priorisation mal calibrée peut pousser une équipe à ignorer une faille réellement dangereuse. Dans la sécurité, la vitesse n’a de valeur que si elle reste accompagnée de contrôle humain, de tests et de traçabilité.
L’open source au centre du problème
Project Glasswing s’intéresse particulièrement aux logiciels largement utilisés et aux briques open source. C’est logique : une bibliothèque maintenue par quelques personnes peut se retrouver au cœur de milliers d’applications, parfois dans des secteurs critiques. Les incidents passés ont montré que la chaîne d’approvisionnement logicielle peut devenir un point de fragilité systémique.
Anthropic indique avoir prévu des crédits d’usage pour les participants et des dons à des organisations de sécurité open source. Ce point est important. L’IA peut aider à découvrir des failles, mais la correction repose encore sur des mainteneurs, des processus de revue, des tests, des versions, puis une adoption par les utilisateurs. Découvrir plus vite sans aider à corriger plus vite risquerait simplement d’augmenter la pression sur des équipes déjà sous-dotées.
Une course entre défenseurs et attaquants
L’annonce d’IBM s’inscrit dans une course plus large. Les attaquants utilisent déjà l’IA pour accélérer certaines tâches : reconnaissance, rédaction de leurres, génération de scripts, analyse de cibles. Les défenseurs, eux, cherchent à l’utiliser pour détecter plus tôt, corriger plus vite et automatiser les réponses répétitives.
La question est de savoir quel camp bénéficiera le plus de cette accélération. Si les organisations restent lentes à patcher, les attaquants profiteront de modèles plus efficaces pour exploiter les fenêtres de vulnérabilité. Si les entreprises améliorent leur inventaire logiciel, leur priorisation et leur capacité de correction, l’IA peut au contraire réduire le temps d’exposition.
C’est là que l’approche d’IBM prend son sens. La valeur ne vient pas seulement d’un modèle capable de trouver une faille. Elle vient de son intégration dans un processus : connaître les actifs, comprendre le risque métier, générer une correction, la tester, la déployer et documenter la décision. Sans cette chaîne, l’IA reste un outil spectaculaire mais difficile à transformer en sécurité réelle.
Ce que cette annonce révèle sur l’avenir de la cybersécurité IA
La cybersécurité entre dans une phase où les modèles d’IA ne seront plus de simples assistants de rédaction ou de tri d’alertes. Ils deviennent des outils d’analyse technique avancée, capables de lire du code, de formuler des hypothèses d’exploitation et de proposer des remédiations. Cela peut améliorer la résilience des systèmes, mais cela impose aussi un niveau de responsabilité plus élevé.
IBM et Anthropic ne résolvent pas à eux seuls le problème. Project Glasswing reste une initiative encadrée, avec des participants sélectionnés, et les résultats devront être jugés sur la durée : nombre de failles corrigées, qualité des divulgations, bénéfices pour l’open source, absence d’abus, capacité à partager des méthodes sans exposer des détails dangereux.
Mais l’annonce marque une étape. Elle montre que les grands acteurs ne considèrent plus l’IA de cybersécurité comme une expérimentation isolée. Ils la placent au cœur des pratiques de défense, avec une logique de coalition, de gouvernance et d’industrialisation.
Ce qu’il faut retenir
IBM rejoint Project Glasswing au moment où la cybersécurité entre dans une zone nouvelle : les mêmes modèles peuvent accélérer la défense ou l’attaque. L’enjeu n’est donc pas de savoir si l’IA sera utilisée dans la recherche de failles, mais comment elle sera encadrée, intégrée et contrôlée.
Pour les entreprises, le signal est clair. La sécurité logicielle ne peut plus reposer uniquement sur des audits ponctuels et des cycles de correction lents. Elle doit devenir plus continue, plus contextualisée et plus rapide. L’IA peut y contribuer, à condition de rester reliée à des équipes humaines, à des processus de validation et à une gouvernance robuste.
Project Glasswing n’est pas une garantie absolue. C’est une réponse pragmatique à une réalité déjà en mouvement : les capacités de découverte de vulnérabilités progressent vite. Les défenseurs doivent apprendre à les utiliser avant que les attaquants ne les exploitent à grande échelle.
Source
- IBM via PR Newswire, “IBM Brings Its Most Advanced AI-Powered Security Portfolio to Clients, and is Strengthened by Ongoing Project Glasswing Work”, 20 mai 2026
- Anthropic, “Project Glasswing: Securing critical software for the AI era”, avril 2026
- Intel, “Securing Hardware and Software for the AI Era with Project Glasswing”, 9 avril 2026
- Verizon, “Verizon joins Anthropic’s Project Glasswing”, 15 mai 2026
