Avertissement de sécurité de Pichai : l'extraction de failles par l'IA est plus rapide que leur correction, le marché n'a pas encore réagi

La vitesse à laquelle l’IA « creuse des trous »—les humains n’arrivent pas à rattraper

Les propos tenus par Pichai dans un podcast auraient été sous-estimés : les modèles d’IA peuvent désormais chercher des failles en masse d’une manière proche d’une chaîne de production, à un coût ridiculement bas. Des données internes de Google montrent qu’environ 90 nouvelles chaînes d’exploitation ont été découvertes en 2025 ; le modèle d’Anthropic a trouvé plusieurs milliers de défauts avec un coût très faible. Auparavant, un seul zero-day pouvait se vendre 100k $, mais ce système de tarification est en train de s’effondrer.

Ce qui est encore plus notable, c’est le silence du secteur. Après que les propos de Pichai se soient propagés dans la sphère tech, presque aucun professionnel chevronné de la sécurité n’est venu dire « le risque est exagéré ». Ce silence même constitue un consensus : les capacités d’attaque s’étendent avec l’expansion de la puissance de calcul, tandis que la défense ne suit pas.

Pichai a aussi dit une phrase assez inconfortable : la coordination défensive « de niveau industriel » « ne s’est actuellement pas produite ».

Concrètement, qu’est-ce que cela implique ?

• La sécurité passe de « corriger après la mise en ligne » à une contrainte stricte du type « peut-on mettre en ligne ? ». Le CIO d’une entreprise du secteur conforme peut repousser le déploiement d’IA de pointe d’un an ou plus, le temps d’avoir une architecture plus facilement auditables
• Les acteurs qui fusionnent IA + sécurité y gagnent. Des plateformes comme CrowdStrike, Palo Alto, sont mieux placées que ces laboratoires d’IA purs qui ne s’occupent que des capacités du modèle, sans tenir compte des limites de responsabilité
• La réglementation reste un vide. On met aujourd’hui l’accent sur « des initiatives sectorielles volontaires », mais des acteurs étatiques sont déjà en train de frapper les équipements périphériques. À court terme, ça semble aller, mais à long terme, il y a des risques

L’affirmation « l’IA n’est qu’un outil » ignore l’asymétrie

L’argument le plus courant est que « les risques de l’IA seront naturellement absorbés, et la technologie finira toujours par s’adapter ». Mais les données du Google Threat Intelligence Group apportent un contre-exemple : en 2025, le nombre de zero-days a atteint un niveau d’innovation record, et 48 % visent directement les logiciels d’entreprise.

L’IA a fait baisser le coût de l’attaque, mais la difficulté de la défense n’a pas diminué dans la même proportion. La confiance dans les logiciels s’érode en silence. Après la prise de parole de Pichai, le cours des actions de Google n’a pratiquement pas bougé, ce qui indique que le marché n’a pas intégré cette idée : toutes ces applications ci-dessus reposent sur une base plus fragile qu’avant.

Conclusion au plus bas : l’avertissement de Pichai force désormais l’industrie à affronter une réalité en retard—l’asymétrie attaque/défense, avec un avantage à l’attaque. Dans la pile d’IA, la sécurité native est plus résiliente que de « colmater après coup ». Quand la première grande intrusion rendue possible par l’IA fera la une, les investisseurs en retard devront sans doute payer les frais.

Importance : élevée

Catégorie : Sécurité de l’IA｜Tendances de l’industrie｜Analyse technique

Conclusion : la fenêtre d’opportunité existe encore, mais elle se rétrécit. Les sociétés de sécurité de type plateforme et les bâtisseurs capables de faire avancer la sécurité en amont dans la pile d’IA ont un avantage relatif ; du point de vue des transactions, les leaders de la sécurité côté acheteur (long) sont plus favorisés, tandis que les laboratoires de modèles purs et les détenteurs passifs subiront la pression des prix en retard et du surcoût lié à la responsabilité.