La CISA impose aux agences de corriger les failles critiques en trois jours face aux menaces IA

Washington – D’une manière sans précédent, l’agence américaine de sécurité cybernétique (CISA) a ordonné aux agences fédérales de corriger les failles critiques dans un délai de trois jours, invoquant la dangerosité accrue des cyber‑attaques alimentées par l’intelligence artificielle. Le texte, publié mercredi, réduit le cycle de mise à jour traditionnel de plusieurs semaines à une fenêtre étroite, reflétant à la fois l’urgence des menaces IA et la volonté de l’administration d’affronter la vulnérabilité numérique du pays. Les agences doivent désormais mobiliser du personnel limité, privilégier des outils de patching automatisés et réviser les critères de risque. Ce délai contraint impose un virage du processus de correction, traditionnellement discrétionnaire, vers une obligation métrique, ce qui risque de mettre à mal des budgets déjà serrés et d’exposer des systèmes hérités vulnérables aux exploits générés par IA. La politique reflète ainsi un changement doctrinal : la défense passe d’une détection réactive à une mitigation proactive et rapide, considérant les exploits IA comme une menace à haute vitesse. Cette directive s’inscrit dans une série de mesures de CISA visant à réduire les temps de réponse, après un évaluation de 2023 sur les menaces IA, qui a souligné que les techniques d’apprentissage automatique peuvent exploiter des vulnérabilités zero‑day à une vitesse inégalée. Elle s’aligne sur la stratégie globale du gouvernement, qui mise sur la résilience, la réponse rapide et l’intégration d’outils d’IA dans la défense cybernétique fédérale. À l’avenir, le mandat de trois jours pourrait stimuler l’investissement dans la gestion automatisée des correctifs, la détection de vulnérabilités assistée par IA et la surveillance continue. Toutefois, sa pérennité soulève des interrogations, notamment pour les agences plus petites disposant de ressources limitées. Si elle se confirme, cette mesure pourrait devenir la nouvelle norme de bonne conduite cybernétique aux États‑Unis, accélérant la réponse collective face à une menace IA en accélération.