L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a publié, mercredi 10 juin 2026, une directive opérationnelle contraignante qui réduit considérablement le temps accordé aux agences civiles fédérales pour corriger les vulnérabilités logicielles critiques. Ce nouveau cadre, qui remplace deux précédents ordres datant de 2019 et 2021, est présenté comme une réponse directe aux capacités croissantes des modèles d'intelligence artificielle (IA) qui permettent à la fois une détection plus rapide des failles et une exploitation automatisée à grande échelle par des acteurs malveillants.

Un barème de criticité à quatre niveaux

La directive, désignée sous le nom de « binding operational directive » (BOD), établit une grille d'évaluation de l'urgence fondée sur quatre critères cumulatifs. Chaque vulnérabilité est examinée selon les points suivants : le système concerné est-il exposé publiquement ? La faille figure-t-elle dans le catalogue des vulnérabilités connues et exploitées (Known Exploited Vulnerabilities Catalog) de la CISA ? Un attaquant peut-il automatiser l'intégralité du processus d'exploitation ? Et quel niveau d'accès l'exploitation de la brèche offrirait-elle à un adversaire ?

Lorsque les quatre conditions sont réunies, l'agence concernée dispose d'un délai de trois jours pour déployer un correctif. Elle doit également mener un processus dit de « triage médico-légal » afin de déterminer si ses systèmes ont déjà été compromis. Pour les failles de moindre urgence, des délais plus longs sont accordés, l'objectif étant d'aider les administrations à prioriser leurs efforts de sécurisation.

« Les défenseurs ne peuvent pas se permettre de passer des semaines à corriger des systèmes qui peuvent être exploités de manière autonome et en masse », a déclaré Chris Butera, directeur exécutif adjoint par intérim de la CISA chargé de la cybersécurité. Il a souligné que cette réforme visait à recentrer les ressources, limitées, des équipes de sécurité et des services informatiques sur les actifs les plus exposés. Il a également précisé que le seuil de trois jours pour les cas les plus critiques n'avait pas été fixé à vingt-quatre heures, car un tel délai serait irréaliste pour la plupart des agences.

Un pas jugé insuffisant par certains experts

Si la nouvelle directive est largement perçue comme une évolution nécessaire face à la menace croissante liée à l'IA, certains observateurs estiment qu'elle ne répond qu'à une partie du problème. Emily Long, directrice générale de la société de sécurité cloud Edera, a estimé que « la directive de la CISA a le cœur à la bonne place, mais elle ne s'attaque qu'à la moitié du défi ». Selon elle, si l'architecture des systèmes ne limite pas ce qu'un attaquant peut atteindre après une intrusion, la course aux correctifs s'apparente à « courir plus vite sur le même tapis roulant ». Elle plaide pour une approche intégrant davantage le confinement par conception.

Chris Butera a reconnu que ce texte ne constituait qu'« une première étape pour contrer les capacités accrues des modèles d'IA émergents », ajoutant qu'« il reste encore du travail à faire ». Cette directive s'inscrit dans un contexte où de nombreux chercheurs estiment désormais qu'aucun rythme de correction ne sera suffisant et qu'il est nécessaire d'adopter, à l'échelle mondiale, des approches architecturales ou systémiques capables d'invalider des classes entières de vulnérabilités en une seule fois.

Un changement de paradigme accéléré par l'IA

Les précédents cadres de la CISA, datant de 2019 et 2021, imposaient déjà des délais de correction : quinze jours pour les failles les plus critiques et trente jours pour une catégorie de vulnérabilités de haute priorité. Ils encourageaient également une réactivité accrue lorsque cela était possible. Dès 2021, l'agence avait noté que « les acteurs malveillants sont extrêmement rapides pour exploiter leurs vulnérabilités de choix : sur les 4 % de vulnérabilités connues exploitées, 42 % sont utilisées le jour même de la divulgation ; 50 % dans les deux jours ; et 75 % dans les 28 jours ».

Aujourd'hui, l'émergence de nouvelles générations de modèles d'IA accélère encore ce cycle, en automatisant la découverte de failles et en réduisant le temps nécessaire à leur exploitation. Cette évolution pousse les agences fédérales américaines, dont la cybersécurité s'est nettement améliorée au cours de la dernière décennie mais reste freinée par des problèmes de financement et des priorités concurrentes, à s'adapter sous peine de voir leurs systèmes compromis à une vitesse inédite.