L'entreprise française YesWeHack franchit une nouvelle étape dans l'automatisation de la sécurité offensive. Elle a présenté fin juin son Pentest Agentique, une fonctionnalité intégrée à sa plateforme qui mobilise des agents autonomes d'intelligence artificielle pour réaliser des tests d'intrusion. L'objectif annoncé est de réduire un processus traditionnellement étalé sur plusieurs jours à un seul cycle de vingt-quatre heures.
Un délai divisé par cinq
La promesse repose sur un constat simple : un test d'intrusion classique nécessite en moyenne cinq jours de travail. Certaines prestations peuvent être bouclées en trois jours, mais jamais en une seule journée. Avec sa nouvelle offre, YesWeHack assure être en mesure de remettre un premier rapport d'analyse en une journée, les premières vulnérabilités pouvant être détectées au bout d'une vingtaine de minutes seulement. « Un pentest classique, c'est cinq jours environ », rappelle Guillaume Vassault-Houlière, dirigeant de l'entreprise, qui évoque un gain de temps décisif pour les organisations confrontées à des menaces en constante évolution.
Une orchestration d'agents spécialisés
Techniquement, la solution ne se limite pas à l'emploi d'un unique modèle de langage. Un large modèle de langue pilote un orchestrateur, lequel coordonne plusieurs agents spécialisés. Chacun d'eux intervient selon le contexte de l'application analysée, en s'adaptant aux configurations rencontrées. Cette architecture vise à reproduire le raisonnement d'un expert humain en sécurité, en capitalisant sur l'expérience accumulée par YesWeHack dans le domaine des tests d'intrusion. L'entreprise revendique une approche agnostique vis-à-vis des modèles d'IA : la plateforme peut fonctionner aussi bien avec des modèles propriétaires qu'avec des modèles ouverts.
Des premiers clients industriels
La fonctionnalité a déjà été expérimentée par plusieurs grands comptes. Sanofi et Dassault Systèmes, ainsi que d'autres groupes du CAC 40, ont testé la solution en conditions réelles. Les retours de ces premières expérimentations confirment, selon l'entreprise, la capacité du système à identifier des failles exploitables avec un niveau de précision comparable à celui d'un pentesteur humain.
Une couverture élargie pour un coût réduit
Au-delà du gain de temps, YesWeHack met en avant une couverture de test plus exhaustive. « En 24 heures, nous arrivons à avoir une couverture de test assez exhaustive et adaptée au contexte du client », précise Guillaume Vassault-Houlière. Cette automatisation doit permettre de lancer un nombre bien plus important de campagnes chaque année, pour un coût inférieur à celui des prestations traditionnelles. Les organisations qui doivent gérer plusieurs centaines de tests par an pourraient ainsi bénéficier d'une surveillance continue de leur surface d'attaque.
Une réponse à la menace cyber
Le lancement du Pentest Agentique intervient dans un contexte où les cybercriminels ont déjà intégré l'intelligence artificielle à leurs outils d'attaque. En automatisant la détection des failles, YesWeHack entend offrir aux entreprises un moyen de riposter à la même vitesse que les assaillants. La solution ne remplace pas les hackers éthiques, mais se positionne comme un complément capable d'accélérer les phases de reconnaissance et d'exploitation, tout en laissant aux experts humains la validation finale et les tests les plus complexes.
