Blog Retarder les mises à jour logicielles met votre entreprise en danger | Insight

Un collègue a partagé cela récemment sur notre boucle de discussion, suscitant une approbation générale :

« J'ai l'impression que mon travail à plein temps consiste désormais à installer des mises à jour. »

Agaçant ? Oui. Perturbant pour avancer sur ses vraies tâches ? Sans aucun doute. Nécessaire ? À 100 %. Non négociable. Et aujourd'hui, plus urgent que jamais.

Voici pourquoi.

Qu'est-ce que le Project Glasswing ?

Si vos notifications de mise à jour sont incessantes en ce moment, ce n'est pas le fruit du hasard. Ce n'est pas non plus parce que les éditeurs rattrapent enfin leur retard de maintenance. C'est la conséquence directe d'une initiative baptisée Project Glasswing.

Le 7 avril 2026, Anthropic a annoncé avoir déployé en toute discrétion son modèle d'IA le plus puissant, Claude Mythos Preview. Non pas auprès du grand public, mais auprès d'une coalition restreinte d'entreprises qui opèrent les infrastructures logicielles les plus critiques de la planète : Amazon, Apple, Cisco, CrowdStrike, Google, Microsoft, Palo Alto Networks et une quarantaine d'autres. La mission était purement défensive : utiliser Mythos pour identifier les failles avant que des cybercriminels ne les exploitent.

Et ce qu'il a découvert est sidérant.

En quelques semaines, Mythos a identifié des milliers de vulnérabilités critiques et jusqu'alors inconnues au cœur de chaque grand système d'exploitation et de chaque navigateur majeur, y compris des failles dissimulées à la vue de tous depuis des années, voire des décennies. Un bug vieux de 27 ans dans OpenBSD (pourtant réputé comme l'un des systèmes les plus sécurisés au monde) permettait à un attaquant distant de faire planter n'importe quelle machine par simple connexion. Une autre vulnérabilité de 16 ans dans FFmpeg, la bibliothèque d'encodage vidéo massivement utilisée par la quasi-totalité des plateformes vidéo, avait survécu à des années d'audits de sécurité intensifs sans jamais être détectée (elle est désormais corrigée). L'équipe de red teaming d'Anthropic l'a documenté elle-même : ces failles n'étaient pas de légers oublis dans du code secondaire. Elles se trouvaient dans les logiciels que vous utilisez au quotidien.

Les éditeurs reçoivent désormais ces divulgations selon un calendrier strictement chronométré et se livrent à une véritable course contre la montre pour publier leurs correctifs. Cette vague de notifications sur vos écrans ? C'est exactement cela. C'est la réponse opérationnelle à cette crise.

Pourquoi différer vos correctifs augmente drastiquement vos risques aujourd'hui

Il a toujours existé un battement de cœur entre le moment où une vulnérabilité est révélée et le moment où un attaquant parvient à la transformer en arme opérationnelle. Ce délai est en train de se réduire à néant.

Mythos a lui-même prouvé à quel point le développement d'exploits s'accélère lorsque l'IA prend les commandes. Le même modèle qui a débusqué la faille de 27 ans dans OpenBSD a également généré de manière autonome 181 exploits fonctionnels pour Firefox lors d'un seul test, contre seulement 2 pour les modèles d'IA de génération précédente. Les équipes de sécurité habituées à mesurer leur temps de réaction en jours ou en semaines évoluent désormais dans un paradigme totalement différent. Dès qu'un correctif devient public, le compte à rebours est lancé, et les cyberattaquants n'attendront pas la prochaine fenêtre de maintenance de votre équipe informatique.

Le constat peut sembler alarmiste. Pourtant, la bonne réponse n'est pas la panique, mais le pragmatisme.

« Je ne pense pas que l'arrivée de Mythos soit un motif de panique, c'est plutôt une prise de conscience brutale », explique Will Pocknell, Sr. Mgr IT, Security & Compliance chez Insight. « Les équipes IT, de développement et de sécurité savent depuis longtemps qu'il faut accélérer le déploiement des correctifs et des mises à jour. Mais nous sommes entrés dans un monde où cette vitesse est devenue une obligation absolue, et non plus une simple ambition. »

Pendant longtemps, la gestion des correctifs (patch management) est restée reléguée au second plan des priorités d'entreprise. Raccourcir les cycles de déploiement, réduire les délais entre la publication et l'application d'un patch, interdire aux utilisateurs finaux de reporter les mises à jour critiques : tout cela figurait sur les feuilles de route à long terme, pas dans le quotidien opérationnel.

Ce débat est désormais clos.

Comment réduire le délai de déploiement des correctifs

La question la plus complexe est de savoir comment opérationnaliser cette urgence à grande échelle, en particulier lorsque le bouton « plus tard » est devenu un réflexe pavlovien pour quiconque a déjà cliqué sur la petite croix d'une notification de mise à jour.

Voici les actions prioritaires à mener dès à présent :

Cartographiez précisément vos actifs à corriger. Votre niveau d'exposition le plus élevé se situe au niveau de vos infrastructures critiques et de vos logiciels cœurs de métier : navigateurs, postes de travail, systèmes d'exploitation et tout outil exposé à Internet. Si vous n'avez pas une visibilité claire, centralisée et en temps réel de ce qui est exécuté sur votre réseau et des systèmes touchés par les divulgations de failles, c'est le premier angle mort à corriger.

Réduisez le cycle de vie du déploiement. Le laps de temps s'écoulant entre la disponibilité d'un patch et son application réelle constitue votre fenêtre de vulnérabilité. Les vieilles routines hebdomadaires ou mensuelles ne font plus le poids face à la réalité de la menace. C'est l'indicateur clé de performance (KPI) qui prévaut désormais, et c'est celui qui a le plus radicalement changé avec l'avènement du développement d'exploits automatisé par l'IA.

Supprimez l'option de report pour les correctifs critiques. L'option « Me le rappeler demain » doit être définitivement désactivée pour les mises à jour à sévérité élevée. L'accompagnement des utilisateurs finaux est tout aussi crucial que le déploiement technique : la résistance au changement diminue drastiquement lorsque les collaborateurs comprennent les enjeux de sécurité qui sous-tendent ces nouvelles politiques.

Arbitrez objectivement entre gestion interne et externalisation. Le débat autour des services managés pour les postes de travail (Managed Endpoint Services) prend une ampleur inédite, et ce n'est pas un hasard. Tenir la cadence face à une vague coordonnée de correctifs multi-éditeurs à l'échelle d'une entreprise entière, avec des délais d'exploitation aussi courts, n'est plus une tâche de fond que l'on traite à la marge. C'est une mission critique prioritaire.

Mon collègue disait vrai. Le rythme des mises à jour est effréné, et la situation va perdurer. Nous traversons une phase de remédiation d'une ampleur et d'une vélocité totalement inédites dans l'histoire de l'informatique.

Ce que le projet Mythos a mis en lumière n'est pas seulement une liste de vulnérabilités logicielles. C'est une réalité beaucoup plus troublante : ces failles ont toujours été là, tapies au cœur de codes informatiques auxquels nous faisons confiance depuis des années, invisibles pour des outils qui les ont analysés des millions de fois. La seule différence aujourd'hui, c'est que nous connaissons leur existence, et que nous avons le pouvoir de les corriger.