Et si la diplomatie climatique se réinventait en dehors du format traditionnel des COP ? En Colombie, à l’occasion d’une conférence organisée à Santa Marta du 24 au 29 avril 2026, une dynamique alternative a émergé : plus ouverte, elle cherche à dépasser les blocages multilatéraux en plaçant la diversité des savoirs au cœur des décisions.

S’il y a un constat sur lequel convergent les « climato-négationnistes » et les activistes climatiques radicaux, c’est l’inutilité des COP, organisées sous l’égide des Nations unies (Convention-cadre des Nations unies sur les changements climatiques, UNFCC de son acronyme en anglais). Dans les deux cas, on leur reproche une inefficacité de plus en plus apparente, où les décisions sont nécessairement prises au consensus. En conséquence, le consensus devient tellement mou qu’il n’en exprime plus rien de significatif ni d’opératoire.

Ainsi le résume la bande-annonce d’un film documentaire à venir dans le courant de l’été 2026, en partenariat avec l’Institut de recherche pour le développement (IRD) et l’Université nationale de Colombie.

Du 24 au 29 avril 2026 à Santa Marta, en Colombie, une conférence inédite a voulu replacer enfin la sortie des combustibles fossiles au cœur de l’agenda international. Co-organisée par la Colombie et les Pays-Bas, elle a regroupé 57 États volontaires (et l’Union européenne en tant que telle, NDLR).

Qu’a-t-il été décidé à cette occasion ? À rebours des COP climat, où ce sont avant tout les textes finaux qui comptent, pesés au mot près, car votés par les représentants d’États, c’est ici surtout la méthode de travail qui diffère, beaucoup moins rigide. Elle ne s’accompagnait d’aucune obligation de production particulière, si ce n’est d’engager le processus de constitution d’une feuille de route pour la sortie des énergies fossiles. La rencontre a ainsi inauguré de nouvelles modalités de coopération mondiale sur les enjeux socio-environnementaux.

À lire aussi : Aujourd’hui, le droit protège les combustibles fossiles : une première conférence internationale veut briser ce verrouillage

Dépasser le blocage des COP grâce à une coalition de volontaires

Le débat sur la paralysie des négociations multilatérales en général – et celle des COP climat en particulier – n’est guère nouveau. Leur répétition annuelle exacerbe les frustrations de ceux qui souhaitent réellement progresser sur les questions climatiques.

À la COP30 de Belém, en novembre 2025, une quarantaine de pays avaient exprimé leur mécontentement quant à l’absence de mention de la sortie des énergies fossiles dans la déclaration finale. Plus de 80 se sont associés à l’initiative encourageant à poursuivre les travaux d’élaboration d’une feuille de route en ce sens.

La Colombie et les Pays-Bas ont alors invité les États qui souhaitaient travaillaient sur ce point à se réunir dans une conférence en marge des COP. Autrement dit, la conférence de Santa Marta ne s’est certes pas tenue dans le cadre onusien, mais s’est toutefois inscrite dans le prolongement de la précédente COP climat.

Préparée dans un laps de temps exceptionnellement court (moins de la moitié d’une année, contre un an pour les COP climat), cette conférence inédite avait une organisation moins cadrée au plan organisationnel. Aux dires d’observateurs et de participants, on y percevait un petit côté brouillon : davantage d’improvisation, voire parfois un manque de clarté sur les livrables attendus et les prochaines étapes.

Pourtant, ces faiblesses – inhérentes au format de la conférence spontanée, point d’étape entre la COP30 du Brésil et la COP31 en Turquie – ont, aux dires des participants, pu être dépassées, notamment grâce à son caractère volontaire. Juan Carlos Monterrey Gómez, envoyé climatique du Panama, cité dans le Climate Diplomacy Brief, a par exemple déclaré :

« Santa Marta est un moment historique, car c’est la première fois que nous pouvons ouvrir nos cœurs, ouvrir nos esprits et avoir une véritable conversation sans ces stupides demandes de mise au vote, sans ces stupides procédures qui font dérailler toute la séance et ne nous laissent que dix minutes pour aborder le fond. »

À lire aussi : De COP en COP, une géopolitique de la procrastination climatique

La méthode Santa Marta ? Un bouillon de culture plutôt que des zones bleue et verte

Concrètement, la conférence a successivement réuni trois composantes : un panel académique (baptisé Academic Dialogue) où les scientifiques du monde entier ont pu émettre des recommandations, un « sommet des peuples », avec notamment des représentants associatifs, communautaires et syndicaux et, enfin, un segment de haut niveau (Transition Away from Fossil Fues, ou TAFF, regroupant essentiellement des représentants gouvernementaux spécialisés.

Cette concentration de thématiques, de compétences et de volontés dans des espaces restreints a favorisé un véritable bouillon de culture permettant des échanges fertiles. Il contraste avec l’organisation physique des COP, où plusieurs milliers de participants se retrouvent dans une multitude de pavillons, souvent sur plusieurs bâtiments. L’espace y est alors divisé entre zone bleue, réservée aux délégations nationales, aux organismes onusiens et aux ONG observatrices, et où se déroulent les négociations officielles de la COP28, et zone verte, ouverte à toutes les autres parties prenantes.

À lire aussi : Les coulisses des négociations de la COP28 vues par un enseignant-chercheur

Contrairement aux COP, où ce sont les délégations nationales qui débattent (les discussions relatives à l’état de la science, par exemple, se déroulent à un autre moment, sous l’égide d’un organe subsidiaire, la conférence de Santa Marta a proposé une méthodologie transversale, impliquant en amont 15 groupes de travail transnationaux. Une grande hétérogénéité a caractérisé l’ensemble de ces groupes, allant des représentants des sciences à ceux de la société civile, en passant par les entités publiques à différentes échelles, ainsi que des agences de financement ou des entreprises multinationales.

Au cours des deux mois qui ont précédé la rencontre, ces derniers ont planché sur trois enjeux fondamentaux : la dépendance structurelle aux combustibles fossiles, l’action sur l’offre et la demande et les modalités de la coopération internationale et de la diplomatie climatique.

Malgré la diversité de statuts et d’intérêts des participants à ces groupes de travail, un certain nombre de points de convergence sont apparus :

• les progrès réalisés par les alternatives aux fossiles sont irréversibles,

• il est indispensable de mettre fin aux soutiens fiscaux et juridiques à l’extraction des combustibles,

• pour y parvenir, la concertation et la dialogue sont essentiels.

Remettre la science au centre, sans oublier les savoirs autochtones

À Santa Marta, la science a gardé un rôle fondamental, acté à la fin de la conférence par l’instauration d’un conseil spécifique. Sa fonction est de nourrir les processus de décision, à partir de connaissances élaborées de façon rigoureuse. Lors de la conférence, les participants ont exprimé leur foi dans une politique fondée sur les preuves (evidence based policy). Elle confère une responsabilité majeure à la communauté scientifique.

Mais, en parallèle, cette communauté est aussi de plus en plus sollicitée pour s’ouvrir à d’autres modes de connaissances (traditionnelles/ancestrales, locales…). D’aucuns verraient dans cette coopération des contradictions insurmontables, du fait d’une incompatibilité irréductible des savoirs. Mais dans les faits, ce cheminement commence déjà à porter ses fruits.

L’hétérogénéité de la participation des corps sociaux à la conférence a ainsi permis d’introduire de véritables porte-paroles des entités naturelles. Au-delà des chercheurs, régulièrement convoqués pour en expliquer les comportements et la dégradation, elles ont également mis à l’honneur les communautés indigènes, paysannes ou afro-descendantes

Le mariage cognitif entre ces savoirs hétérogènes requiert toutefois un travail transépistémique. Les épistémies varient considérablement entre celles fondées sur le scepticisme organisé (les disciplines scientifiques) et celles recourant aux explications traditionnelles parfois d’ordre religieux, qui font intervenir des entités spirituelles, par exemple. Pourtant, des convergences notables existent, notamment pour ce qui est de la conscience écologique, susceptibles d’influencer les positions politiques qui en découlent.

Malgré tout, une certaine hiérarchie a pu perdurer durant la conférence entre ces acteurs de la diversité culturelle et ceux de la gouvernance, inscrite dans la division successive des séquences (académique, société civile puis représentation gouvernementale) et leur degré d’exclusivité. Mais la tendance à l’ouverture et à l’inclusion manifeste plus qu’un changement idéologique : c’est aussi une modification (partielle mais réelle) des références objectives.

On retrouve en effet, dans la nouvelle diplomatie climatique portée à Santa Marta, une « esquisse du Parlement des choses », telle que décrite par Bruno Latour en 2018. Elle consiste à revoir les rôles attribués au politique, à l’expertise et à la technocratie, et où ce ne serait plus seulement les humains qui auraient le droit d’être représentés.

Ce concept pose de nouvelles questions au droit et à l’économie politique internationale. Un ouvrage à paraître prochainement, issu d’un projet européen et latino-américain sur la transition écologique auquel j’ai collaboré, entame la remise en question de la conception de la géopolitique centrée sur l’humain.

Vers une nouvelle géopolitique climatique ?

Les efforts déployés à Santa Marta ont transcendé les clivages nationaux, mais aussi nord-sud, d’une certaine manière. Avec une présidence bicéphale eurolatino (colombo-néerlandaise), et euro-océanique pour la prochaine conférence qui sera co-organisée par l’Irlande et Tuvalu, le grand partage manichéen des responsabilités historiques de l’empreinte écologique (qui, historiquement, est un point d’achoppement des COP climat) n’a, certes, pas été complètement effacé. Il a toutefois été adouci par le cadrage de la conférence sur la recherche de solutions.

Toutes les régions du monde étaient représentées, avec une majorité relative de l’Europe (plus d’un tiers des pays officiellement présents), suivie de l’Amérique latine, puis de l’Asie, de l’Afrique et de l’Océanie. Aucun des grands pays à prétention hégémonique n’était invité – ni les États-Unis, ni la Chine, ni la Russie – et le seul des grands émergents à participer était le Brésil.

En janvier 2026, le premier ministre canadien Mark Carney évoquait justement un tel modèle à l’occasion du Forum économique de Davos : celui où la volonté des pays intermédiaires permettrait de construire et de viabiliser des coalitions alternatives, face à l’imposition unilatérale de l’hyperpuissance.

Mais la vision de la conférence de Santa Marta s’affirme et se distingue sur au moins deux points :

• le premier concerne l’importance accordée au Sud global,

• et le deuxième, l’irruption des non-humains dans le champ de la géopolitique.

Même si la prégnance du Nord demeurait dans les coordinations, la composition de l’assistance lors des réunions privilégiait naturellement la participation de ressortissants du Sud. Les sujets abordés reflétaient des enjeux qui les concernent au premier chef, puisque les impacts écologiques actuels les affectent en priorité. En mettant le Sud au cœur des débats, une telle rencontre participe du rééquilibrage de ces derniers et renouvelle la façon de les aborder.

Avec ce renouvellement de la contradiction à son endroit, le négationnisme climatique (qui peut, on l’a vu avec la sortie des États-Unis de l’accord de Paris, trouver des relais à l’échelle des États) a de fortes chances d’être progressivement confronté à un isolement accru. Ses velléités d’entraînement ont fait long feu à Belém, où aucun pays n’est sorti de l’accord de Paris. Elles pourraient se voir débordées par des initiatives telles que celles explorées à Santa Marta, qui a aussi voulu anticiper ses effets pervers. Des mécanismes ont ainsi été envisagés pour contrer l’augmentation de la demande d’hydrocarbures que pourrait générer une baisse des prix du fait de la croissance des énergies renouvelables.

La crise économique mondiale causée par les tensions sur l’approvisionnement en pétrole passant par le détroit d’Ormuz rappelle, dans tous les cas, l’urgence d’accélérer la transition énergétique.

Jean-Baptiste Meyer a reçu des financements de son institut l'IRD.

L’apparition de l’IA Mythos, présentée comme capable de détecter rapidement des failles informatiques majeures, montre que les capacités offensives dans le cyberespace progressent très vite. Cette évolution pourrait rendre les systèmes nucléaires plus vulnérables et augmenter le risque d’erreurs, de sabotage ou d’escalade accidentelle.

En 1983, le film WarGames imaginait un adolescent qui, entré par accident dans un système informatique du Pentagone, déclenchait un programme de simulation, lequel était interprété comme un prélude à une guerre nucléaire. Le film avait tant marqué Ronald Reagan qu’il avait interrogé ses conseillers sur la possibilité d’une telle intrusion dans les systèmes américains les plus sensibles. Une semaine plus tard, la réponse était venue : « Monsieur le Président, le problème est bien plus grave que vous ne le pensez. »

Les politiques autour de l’armement nucléaire reposent sur une série de paris, souvent lointains, sur l’avenir de la dissuasion nucléaire. D’abord, les pays dotés de l’arme nucléaire considèrent que la peur de leur riposte suffira toujours à empêcher un adversaire de les attaquer en premier, et qu’ils disposeront toujours de l’expertise et de la chance nécessaires pour prévenir des explosions accidentelles. Ils estiment donc que la possession de l’arme nucléaire sera pour eux, au cours des décennies à venir, source de sécurité et non d’insécurité.

Or, comme nous le montrons avec mes collègues Sterre van Buuren et Benoît Pelopidas, il existe plusieurs scénarios futurs plausibles dans lesquels posséder des armes nucléaires engendrera plus de coûts réels que de bénéfices potentiels dans un monde où la température aura augmenté de plusieurs degrés. Maintenir un arsenal crédible et sûr exigera de faire des choix budgétaires, au détriment d’autres dépenses rendues urgentes par la crise climatique. L’univers des risques existentiels pour un Etat, qui pourrait justifier l’usage de l’arme nucléaire, peut aussi s’élargir. Des experts s’inquiètent que des risques de pénurie d’eau au Pakistan et en Inde ne deviennent un terrain fertile pour un conflit menant à une escalade nucléaire.L’univers des risques existentiels pour un État, qui pourrait justifier l’usage de l’arme nucléaire, peut aussi s’élargir. Des experts s’inquiètent que des risques de pénurie d’eau au Pakistan et en Inde ne deviennent un terrain fertile pour un conflit menant à une escalade nucléaire.

Mais il existe un autre pari, bien plus implicite : celui que les arsenaux nucléaires, qui sont des systèmes technologiques complexes et hautement digitalisées, ne possèdent aucune vulnérabilité cyber qui pourrait être exploitée par un acteur souhaitant empêcher son fonctionnement normal.

La récente percée de l’intelligence artificielle Mythos révèle à quel point les conditions de ce pari peuvent changer sur le long terme.

Mythos et l’avenir de la cybersécurité

Le 7 avril 2026, la compagnie Anthropic – qui commercialise la série de grands modèles de langages (LLM) Claude – annonçait la création de son nouveau modèle d’intelligence artificielle (IA) : « Mythos ». Ce modèle, qui n’a pas été mis sur le marché mais rendu disponible à un groupe de travail restreint composé d’une douzaine des principaux géants américains de la technologie (Google, Microsoft, Apple, NVidia, Amazon Web Services, etc.), obtiendrait un taux de succès sans précédent en matière de détection des failles dans les systèmes informatiques.

Mythos aurait ainsi été capable de détecter, avec un impressionnant taux de succès, des failles « zero-day » dans différents navigateurs informatiques, logiciels ou systèmes d’exploitation. Une faille « zero-day » est une faille de sécurité critique dans un système d’information, contre laquelle aucune protection n’existe pour l’instant, rendant ainsi possible une attaque laissant un délai de « zéro jour » pour réagir. Selon Anthropic, Mythos aurait réussi à développer en un temps record (sans doute moins d’une journée) des méthodes permettant d’exploiter ces failles avec un taux de succès de 72,4 %, largement supérieur aux autres modèles existants.

Si ces informations proviennent de la compagnie elle-même – qui a tout intérêt à exagérer les résultats –, certaines preuves publiques ont toutefois été apportées. Sylvestre Ledru, le directeur de l’ingénierie chez Mozilla responsable du navigateur Firefox, a déclaré que Mythos avait permis de découvrir un nombre « proprement hallucinant » de vulnérabilités dans leurs logiciels. Une faille de sécurité vieille de près de vingt-sept ans, ayant survécu à un grand nombre d’audits, a par exemple été découverte dans un système d’exploitation libre très utilisé par des services de sécurité informatique, OpenDSB.

Mythos révèle un problème de fond : l’augmentation des capacités offensives – non seulement des États, mais aussi d’acteurs privés comme des cybercriminels – dans le cyberspace risque d’être accélérée par le développement de l’IA, et une incertitude émerge quant à la capacité des acteurs défensifs à réagir suffisamment vite pour corriger les vulnérabilités existantes.

Même dans le cas où Mythos ne serait pas à la hauteur des performances annoncées, le développement des LLM depuis le début des années 2020 a montré à quel point leurs performances s’améliorent vite. Nous faisons donc face à une accélération du développement des capacités offensives et de la diffusion de celles-ci à un nombre d’acteurs plus large. Cela signifie une potentielle tendance à la hausse de la probabilité de succès d’une cyberattaque, ainsi qu’une augmentation du nombre absolu de ces attaques.

La vulnérabilité des arsenaux nucléaires

Pour comprendre la vulnérabilité des armes nucléaires aux cyberattaques, il faut avoir à l’esprit le fait que par « arsenal nucléaire », on entend bien plus qu’un stock de têtes nucléaires. Le fonctionnement normal des arsenaux nucléaires modernes repose sur une large configuration de technologies : têtes nucléaires, missiles permettant de transporter ces armes, technologies de communication (permettant d’assurer que l’ordre soit transmis depuis le président jusqu’à l’opérateur chargé d’actionner ces armes), ainsi qu’un ensemble de technologies d’alerte avancée servant à surveiller le ciel à la recherche de potentiels signaux d’une attaque nucléaire adverse. Ces éléments doivent être capables de communiquer entre eux pour assurer le contrôle de ces armes.

Et ils sont plus nombreux qu’on pourrait le penser. Comme le note Herbert Lin, chercheur à l’Université de Stanford et auteur d’une étude sur les cybermenaces contre les armes nucléaires, la métaphore du « bouton nucléaire » est simplifiée : une fois que le président appuie dessus, un ensemble de « cyber-boutons » doivent être pressés pour déclencher les opérations nucléaires, et les contrôler – autant d’échelons où des attaques informatiques pourraient s’insérer pour empêcher, par exemple, l’arrivée de l’information pertinente.

Le président pourrait ne pas recevoir suffisamment d’informations – ou ne pas en recevoir du tout – pour déterminer qu’une attaque est en cours. Ou alors, il pourrait ne pas être en mesure de communiquer à ses forces sous-marines l’ordre de tir. Pis, on pourrait voir se réaliser le scénario catastrophe imaginé depuis les années 1950 : un faux ordre de tir pourrait être communiqué aux opérateurs de missiles.

Les scénarios n’ont pas besoin d’être aussi radicaux : l’ordre pourrait être communiqué, mais avec un retard, ou ne pas être communiqué à l’ensemble des forces, menant à une riposte moindre que celle désirée. Ladite riposte pourrait être bloquée : en 2010, un centre de commandement américain a perdu la communication avec une cinquantaine de missiles nucléaires pendant près d’une heure. Un adversaire pourrait savoir tirer profit de telles failles.

Alternativement, une cyberattaque d’ampleur menée par des acteurs non étatiques pourrait créer l’impression qu’un adversaire cherche à s’en prendre à notre arsenal nucléaire, créant un risque d’escalade par « inadvertance ».

On peut aussi imaginer des actions cyber contre les armes elles-mêmes, le hardware plutôt que le software de l’arsenal. Bien sûr, les acteurs de la sécurité nucléaire ne se contentent pas d’attendre qu’une attaque survienne sur l’un de ces systèmes. Ils développent et testent leurs capacités défensives de manière continue. Le problème est que la complexité des systèmes existants ne permet pas d’affirmer avec certitude qu’il n’existe « aucune vulnérabilité ».

C’est James Gosler, ancien responsable de la sécurité informatique des systèmes nucléaires américains au sein du laboratoire Sandia, qui l’affirme : à partir des années 1980, du fait de la complexification exponentielle des composants internes aux armes nucléaires, « vous ne pouvez désormais plus affirmer que l’ensemble des microcontrôleurs (destinés à assurer le fonctionnement du mécanisme déclenchant l’explosion) sont invulnérables ».

Cela ne signifie pas non plus que des vulnérabilités existent nécessairement. Mais cela veut dire qu’aucun acteur n’est en mesure de savoir s’il y en a. Alors, faut-il craindre que l’arsenal nucléaire français, ou bien n’importe quel autre arsenal ciblant la France, soit « hacké » dans le futur ?

En fait, on ne sait pas. Des scénarios de ce type sont de l’ordre du possible : il n’existe pas de large système d’information complexe dont on puisse garantir, avec une totale certitude, la fiabilité totale. L’évolution des outils permettant des cyberattaques, et leur potentielle diffusion auprès d’un large nombre d’acteurs étatiques et non étatiques, rend ce type de scénario futur potentiellement plus probable et, dans tous les cas, plausible.

Un nouveau pari sur le futur

Mythos met en lumière une nouvelle modalité du pari nucléaire, née du développement des nouvelles technologies et de leur intégration aux arsenaux nucléaires.

Nous parions d’abord sur l’absence de vulnérabilité au sein de ces systèmes – alors même qu’il est impossible de mesurer cette probabilité avec certitude. Elle évolue avec le temps, au rythme des systèmes mis à jour, remplacés, connectés à d’autres. Si une vulnérabilité existe malgré tout, nous parions ensuite sur le fait que, en temps voulu, l’évolution des capacités offensives dans le cyberespace sera constamment égalée, et toujours à temps, par l’évolution des capacités défensives – y compris à l’ère de l’intelligence artificielle. Là encore, cette probabilité est elle aussi indéterminable, puisque le développement de capacités défensives est réactif : il se fait en fonction de la connaissance que l’on a de la nature des capacités offensives et des vulnérabilités existantes, qui sont indéterminables. On fait donc le pari que nos défenses, et celle des autres États dotés d’armes nucléaires, suffiront.

Nous faisons donc le pari que nos défenses contre les cyberattaques, et celle des autres États dotés d’armes nucléaires, seront suffisantes. Dans le cas contraire, alors on fait le pari que la chance sera de notre côté et que les vulnérabilités existantes ne seront pas détectées – comme celle qui existait depuis 27 ans dans le code d’OpenDSB. Il s’agit d’un pari sur la chance puisque dans ce scénario, c’est l’incapacité ou l’absence de volonté adverse, sur laquelle nous n’avons aucun contrôle, à développer des capacités efficaces qui nous sauve.

La capacité des pratiques existantes de contrôle à remplir leur tâche est rendue plus incertaine par l’arrivée de grands modèles d’IA capables de détecter des vulnérabilités et concevoir des cyberattaques de façon massive et automatisée. Faire le choix d’une politique de sécurité fondée sur les armes nucléaires revient à parier sur le fait que, dans le futur comme par le passé, la chance restera toujours de notre côté.

Ce travail a été financé par le Conseil Européen de la Recherche (ERC) au titre du programme-cadre de l’Union européenne pour la recherche et l'innovation Horizon Recherche (projet RITUAL DETERRENCE, convention de subvention n°101043468).

L’entreprise états-unienne Anthropic, spécialisée en intelligence artificielle générative, a pris début avril la décision de geler la diffusion publique de l’un de ses modèles récents, baptisé « Mythos ».

Selon un communiqué de la société, cette décision découle d’une puissance de calcul et d’une capacité de raisonnement jugées trop « offensives ». Anthropic a choisi de ne partager son modèle qu’avec une coalition de géants technologiques (Apple, Amazon Web Services, Cisco, Google, Microsoft, etc.) dans le cadre du projet Glasswing. Le but annoncé est d’utiliser Claude Mythos Preview pour détecter des vulnérabilités dites « zero-day » (c’est-à-dire inconnues et n’ayant aucun correctif connu) et sécuriser proactivement les logiciels critiques… avant que des acteurs malveillants n’exploitent ces failles.

Les grands modèles de langage savent déjà coder depuis quelques années, mais la presse spécialisée documente désormais un saut plus préoccupant. Des systèmes d’intelligence artificielle (IA) peuvent identifier des vulnérabilités réelles dans des logiciels critiques. Les autorités, comme l’Agence nationale de la sécurité des systèmes d’information (Anssi), soulignent la capacité des systèmes d’IA à automatiser les attaques.

Les enjeux de la diffusion massive de tels modèles, Mythos compris, dépassent largement le cadre technique. Une cyberattaque d’envergure, automatisée par une IA, pourrait paralyser des systèmes financiers ou logistiques en quelques secondes, avec un coût de remédiation se chiffrant en milliards d’euros. Les enjeux sont aussi sociétaux et de santé, puisque nos hôpitaux, nos réseaux énergétiques et les autres systèmes critiques reposent sur des couches logicielles souvent anciennes, vulnérables à des « attaques de zero-day » désormais générées à la chaîne.

À lire aussi : Hacker la bombe ? Ce que l’IA Mythos révèle du pari de la dissuasion nucléaire

Dans ce contexte, des IA ultraperformantes, comme Mythos, peuvent-elles contribuer à une forme de « dissuasion algorithmique » ? Celle-ci repose sur un principe simple : détecter et neutraliser ses propres vulnérabilités critiques plus vite que n’importe quel attaquant humain ou automatisé – y compris lors d’une attaque – si rapidement que l’attaque en devient inutile ou trop coûteuse.

La rétention de ce modèle par une ou des entreprises privées états-uniennes rouvre également la question de la souveraineté numérique à l’échelle mondiale.

Les systèmes d’IA facilitent les cyberattaques

Historiquement, la cybersécurité repose sur une asymétrie fondamentale : l’attaquant n’a besoin de trouver qu’une seule faille de sécurité, tandis que le défenseur doit toutes les combler dans une forme de course contre la montre.

L’intégration de systèmes d’IA renforce les capacités des attaquants, en premier lieu parce qu’un modèle comme Mythos peut scanner des millions de lignes de code en quelques minutes, là où un humain passait des semaines à analyser le code source d’un logiciel pour y déceler une erreur de mémoire. C’est ce que l’on appelle l’« automatisation de la reconnaissance ».

De plus, l’IA permet le phishing de haute précision, c’est-à-dire des messages frauduleux (le phishing classique) mais plus crédibles, sans fautes d’orthographe, dans n’importe quelle langue et ultrapersonnalisés pour tromper l’utilisateur. L’Anssi alerte d’ailleurs sur l’usage de l’IA générative pour briser les barrières linguistiques et psychologiques traditionnelles qui rend les « pare-feux humains » – c’est-à-dire la vigilance et l’esprit critique des lecteurs – de plus en plus obsolètes.

Enfin, des malwares peuvent désormais réécrire leur propre code en temps réel pour échapper à la détection « par signature ». Cette méthode classique des antivirus consiste à identifier un virus par son « empreinte » (un code déjà connu et répertorié). En changeant constamment de forme (exploitation polymorphe), le malware devient invisible pour ces outils traditionnels.

L’IA pour la cyberdéfense

En miroir, l’IA améliore aussi les capacités de cyberdéfense, grâce à des analyses causales, qui permettent de modéliser les relations entre événements, ainsi qu’en accélérant l’identification d’anomalies par une surveillance automatisée et la priorisation de leurs corrections. Ainsi, un système d’analyse IA a permis en janvier de découvrir 12 failles de sécurité dans OpenSSL, un logiciel essentiel à la protection des communications internet mondiales.

Mythos semble également déjà participer à cette automatisation, et Firefox affirme déjà avoir identifié et réparé 271 vulnérabilités grâce à ce logiciel, ce qui suggère que Mythos excelle effectivement dans la détection de vulnérabilités lorsqu’il a accès au code source.

En revanche, rien ne prouve pour l’instant que Mythos puisse, sans accès au code source et sans intervention humaine, compromettre de manière autonome n’importe quel logiciel fermé.

De plus, des analyses suggèrent que des capacités comparables seraient déjà reproductibles à partir de modèles publics, remettant en cause l’efficacité de cette rétention. Ainsi, Mythos ressemble aujourd’hui davantage à un analyste de sécurité surpuissant, capable d’identifier des failles et de proposer des pistes d’exploitation, qu’à une entité autonome de cyberattaque universelle.

Ce qui inquiète vraiment, ce n’est pas seulement que Mythos sache mieux coder ou mieux tester du code : c’est qu’il semble abaisser le coût, le temps et le niveau d’expertise nécessaires pour découvrir et enchaîner des failles, donc potentiellement accélérer aussi bien la défense que l’attaque.

Vers un nouvel équilibre de la « dissuasion algorithmique » ?

Dans ce contexte, la notion de « dissuasion algorithmique » (algorithmic deterrence en anglais) émerge. Elle peut être comprise par analogie avec la dissuasion nucléaire : il ne s’agirait plus seulement de se protéger, mais de posséder une capacité de réponse et de détection si rapide que l’attaque en devient inutile ou trop coûteuse.

Contrairement au domaine nucléaire, la dissuasion algorithmique repose sur le renforcement des mécanismes défensifs (plutôt que de réponse) : détection accélérée des intrusions, analyse des causes et simulation d’attaques pour boucher les failles avant qu’elles ne soient exploitées.

Avant l’ère de l’IA, la dissuasion algorithmique était plus limitée : les équipes de sécurité réalisaient des tests d’intrusion, une méthode d’évaluation de la sécurité qui repose sur la simulation de cyberattaques, pour identifier les ports ouverts et failles connues, pour enclencher leur correction.

Aujourd’hui, on l’a vu, l’IA peut renforcer les mécanismes défensifs et donc la dissuasion. Mais, dans le meilleur des cas, une IA de défense permet de réduire le coût de la protection et d’augmenter la probabilité qu’un attaquant soit repéré ou neutralisé avant d’atteindre son objectif.

La dissuasion algorithmique reste donc fragile. Même à l’ère de l’IA, elle dépend beaucoup des pratiques des acteurs opérationnels (agences de cybersécurité, armées, entreprises), de la qualité et de la modernité des systèmes hérités qu’ils doivent protéger et intégrer, des stratégies nationales et militaires mises en œuvre par les États ainsi que des dispositifs de gouvernance qui définissent les règles, les responsabilités et les mécanismes de contrôle de l’IA.

Le dilemme de la rétention d’outils de dissuasion : sécurité contre transparence

Ne pas rendre disponibles au grand public certains modèles peut sembler responsable, car cela évite de publier des capacités offensives qui seraient immédiatement détournées. Mais cette rétention concentre le pouvoir technologique entre quelques mains et réduit la transparence scientifique.

Le débat rejoint ici celui du cadre l’AI Act européen, qui impose déjà des obligations de transparence, de traçabilité et de documentation pour les modèles d’IA d’usage général, tout en cherchant à concilier innovation, sécurité et protection des secrets industriels.

L’opacité des modèles d’IA limite leur auditabilité, entrave le développement de contre-mesures appropriées et concentre le pouvoir technique entre quelques acteurs principalement américains, au détriment de la recherche ouverte et de la gouvernance démocratique. Cette critique s’inscrit dans une littérature académique plus large montrant que l’opacité des systèmes d’intelligence artificielle compromet leur reproductibilité, leur auditabilité et, in fine, leur valeur scientifique.

Christine Abdalla Mikhaeil est membre de Association for Information Systems (AIS). Elle a reçu des financements de l'Institut Bachelier et du LEM CNRS UMR 9221.