Aller au contenu principal
OpenAI élargit l'accès à GPT-5.4-Cyber, un modèle affiné pour les professionnels de la cybersécurité
SécuritéMarkTechPost · 2 min de lecture

OpenAI élargit l'accès à GPT-5.4-Cyber, un modèle affiné pour les professionnels de la cybersécurité

Source originale ↗·

OpenAI a annoncé l'extension de son programme Trusted Access for Cyber (TAC) à des milliers de professionnels de la sécurité vérifiés individuellement, ainsi qu'à des centaines d'équipes chargées de défendre des infrastructures logicielles critiques. Au cœur de cette expansion figure GPT-5.4-Cyber, un modèle dérivé de GPT-5.4 spécifiquement ajusté pour les usages défensifs en cybersécurité. Contrairement au modèle standard, GPT-5.4-Cyber adopte ce qu'OpenAI qualifie d'approche "cyber-permissive" : son seuil de refus est délibérément abaissé pour les requêtes à vocation défensive légitime. Parmi les capacités débloquées figure notamment l'ingénierie inverse de binaires sans accès au code source, une fonctionnalité majeure pour analyser des firmwares, des bibliothèques tierces ou des échantillons de malwares compilés. Les utilisateurs accèdent au programme via chatgpt.com/cyber pour une vérification individuelle, ou par l'intermédiaire d'un représentant OpenAI pour les équipes entreprise.

Ce changement s'attaque à un problème concret que connaissent bien les chercheurs et ingénieurs en sécurité : les modèles généralistes refusent fréquemment d'analyser du code malveillant ou d'expliquer des techniques d'exploitation, même dans un cadre manifestement défensif. Cette friction ralentit le travail des équipes de sécurité offensives et défensives légitimes, au profit, indirectement, des attaquants qui eux n'attendent pas de validation. En réduisant ces blocages pour des utilisateurs vérifiés, OpenAI cherche à rééquilibrer l'avantage technologique en faveur des défenseurs. Le modèle conserve toutefois des garde-fous stricts : l'exfiltration de données, la création ou le déploiement de malwares, et les tests non autorisés restent explicitement interdits. L'accès en mode zéro-rétention de données est également limité, OpenAI arguant d'une visibilité réduite sur l'environnement et les intentions de l'utilisateur dans cette configuration.

La cybersécurité a toujours souffert de ce qu'on appelle le problème du double usage : les mêmes connaissances techniques servent aussi bien à défendre des systèmes qu'à les attaquer. Pour les systèmes d'IA, cette tension est particulièrement aiguë, car il est difficile de distinguer automatiquement une intention défensive d'une intention malveillante. OpenAI propose ici une réponse structurelle inédite : un cadre d'accès à plusieurs niveaux fondé sur la vérification d'identité, plutôt que des restrictions uniformes appliquées à tous. Cette approche s'inscrit dans une tendance plus large du secteur à différencier les accès selon le profil et les intentions déclarés de l'utilisateur. Si le modèle se généralise, d'autres fournisseurs de modèles comme Anthropic ou Google DeepMind pourraient être amenés à développer des dispositifs similaires pour ne pas laisser OpenAI s'imposer comme la référence des outils d'IA pour la sécurité professionnelle.

Impact France/UE

Les professionnels de la cybersécurité européens peuvent candidater au programme TAC d'OpenAI pour accéder à des capacités d'analyse défensive avancées, notamment l'ingénierie inverse de binaires et l'analyse de malwares compilés.

Cet article vous a été utile ?

Vu une erreur factuelle dans cet article ? Signalez-la. Toutes les corrections valides sont publiées sur /corrections.

À lire aussi

OpenAI lance GPT-5.4 Cyber : le coup de grâce porté à Anthropic
1Le Big Data 

OpenAI lance GPT-5.4 Cyber : le coup de grâce porté à Anthropic

OpenAI a dévoilé le 14 avril 2026 GPT-5.4-Cyber, une version spécialisée de son modèle GPT-5.4 fine-tunée pour les usages de cybersécurité défensive. Ce nouveau modèle ne sera pas accessible au grand public : seuls les chercheurs, experts du domaine et organisations vérifiées pourront y accéder via un programme baptisé Trusted Access for Cyber (TAC), qui fonctionne par niveaux d'accréditation progressifs. Sa capacité la plus remarquable est l'analyse de logiciels compilés sans accès au code source, l'IA peut examiner un programme inconnu, détecter des comportements suspects, identifier des vulnérabilités, ou disséquer des malwares et logiciels espions pour en comprendre les mécanismes internes. Des opérations que les versions grand public de ChatGPT refusent d'effectuer. OpenAI précise que GPT-5.4-Cyber servira également de socle pour de futures versions encore plus avancées, déjà en préparation. L'impact concret se joue d'abord pour les équipes de sécurité des entreprises et les professionnels chargés de protéger des infrastructures critiques. En automatisant l'analyse de binaires et la détection de failles, un tel outil peut réduire considérablement le temps nécessaire pour répondre à une menace ou auditer un système. Le programme TAC prévoit d'élargir progressivement l'accès à un large réseau de professionnels vérifiés, ce qui distingue l'approche d'OpenAI d'un outil purement centralisé. Pour le secteur de la cybersécurité, l'enjeu est double : d'un côté, un gain de productivité substantiel pour les défenseurs ; de l'autre, une question de gouvernance sur qui contrôle ces capacités et comment éviter les détournements offensifs. Cette annonce s'inscrit dans une bataille de positionnement directe avec Anthropic, qui venait de présenter Claude Mythos, son propre modèle orienté cybersécurité, capable d'identifier des vulnérabilités et d'explorer des scénarios d'exploitation. La différence stratégique est notable : là où Anthropic réserve Claude Mythos à un cercle fermé de grands acteurs tech comme Amazon, Google ou Microsoft, OpenAI opte pour une approche plus distribuée via le TAC, accessible à un plus grand nombre d'organisations à condition qu'elles prouvent leur légitimité. OpenAI a par ailleurs mis en pause certaines initiatives comme le projet Sora pour concentrer ses ressources sur les usages professionnels, notamment le développement logiciel et la sécurité informatique. La course aux modèles spécialisés pour la cybersécurité s'accélère, et les deux leaders du secteur ont désormais chacun une offre en lice, avec des philosophies d'accès sensiblement différentes.

UELes équipes de cybersécurité européennes protégeant des infrastructures critiques pourraient accéder au programme TAC d'OpenAI et réduire significativement leurs délais d'analyse de menaces et d'audit de systèmes.

SécuritéOpinion
1 source
2MIT Technology Review 

GPT-Red : un LLM super-hacker qu'OpenAI a conçu pour renforcer la sécurité de ses modèles

Voici l'article traduit et résumé selon les consignes. OpenAI a développé GPT-Red, un modèle de langage spécialisé dans le piratage informatique, conçu pour servir de partenaire d'entraînement adversarial afin de renforcer la sécurité de ses autres modèles. La semaine dernière, l'entreprise a lancé GPT-5.6, sa dernière version phare, et affirme que l'entraînement contre GPT-Red en a fait son modèle le plus robuste à ce jour. GPT-Red automatise le red-teaming, une évaluation de sécurité habituellement menée par des équipes d'humains, qui consiste à multiplier les tentatives pour détourner ou casser un système avant sa mise en production. Pour le construire, les chercheurs Nikhil Kandpal et Dylan Hunn, avec leur collègue Chris Choquette-Choo, ont placé un modèle non entraîné au piratage dans une boucle d'auto-apprentissage face à plusieurs autres modèles jouant les défenseurs, dans un environnement simulant navigation web, lecture d'e-mails, agendas et édition de code. Au fil des cycles, GPT-Red est devenu de plus en plus efficace pour attaquer, et les modèles adverses de plus en plus résistants. L'équipe a notamment découvert un nouveau type d'attaque baptisé "fake chain of thought" (fausse chaîne de pensée), consistant à insérer une entrée falsifiée dans le raisonnement interne d'un modèle pour lui faire accepter une information erronée comme déjà vérifiée. Cette avancée répond à un problème croissant : à mesure que les modèles de langage gagnent en complexité et sont déployés sous forme d'agents interagissant avec des fichiers, des sites web, du code tiers et d'autres agents, la surface de risque s'élargit et les équipes humaines peinent à suivre le rythme des nouvelles techniques d'attaque, en particulier les injections de prompt, où un pirate glisse des instructions cachées pour faire exécuter au modèle des actions non désirées, comme copier des données confidentielles ou saboter une base de code. Selon Hunn, comparé à un testeur humain, GPT-Red se montre extrêmement persistant et précis pour identifier ce qui fonctionne réellement, ce qui permet à OpenAI de patcher les failles avant qu'elles ne soient exploitées en conditions réelles. Cette approche s'inscrit dans une logique de anticipation : plutôt que de réagir aux attaques à mesure qu'elles apparaissent, OpenAI cherche à concevoir dès maintenant un système capable de découvrir de nouveaux modes d'attaque à mesure que ses modèles gagnent en capacités. Jessica Ji, analyste senior en sécurité IA au Center for Security and Emerging Technology de Georgetown, juge la méthode de self-play prometteuse. OpenAI a d'ailleurs testé les capacités offensives de GPT-Red en reproduisant une expérience de 2025 où des red-teamers humains avaient cherché des failles dans une version antérieure de GPT-5, une comparaison destinée à mesurer objectivement les progrès réalisés grâce à cette automatisation de la sécurité.

💬 Bon, sur le papier c'est malin : plutôt que d'attendre que les pirates trouvent les failles, OpenAI en fabrique un qui attaque en boucle jusqu'à épuisement. La "fake chain of thought", ça mérite qu'on s'y arrête, c'est la preuve que même le raisonnement interne d'un modèle peut être empoisonné, pas juste son prompt. Reste que GPT-Red teste contre GPT-Red, donc rien ne dit qu'un attaquant humain motivé ne trouvera pas un angle mort que la machine n'a pas pensé à chercher.

SécuritéActu
1 source
Cybersécurité : IBM et OpenAI lancent une IA avancée pour protéger les entreprises
3Le Big Data 

Cybersécurité : IBM et OpenAI lancent une IA avancée pour protéger les entreprises

IBM et OpenAI ont annoncé le 22 juin 2026 un renforcement significatif de leur collaboration dans le domaine de la cybersécurité, avec le lancement d'un nouveau service d'analyse applicative intégré à la plateforme IBM Consulting Advantage. Concrètement, IBM rejoint le programme OpenAI Daybreak Cyber Partner et déploie un service managé qui s'appuie sur les modèles de cybersécurité d'OpenAI pour identifier et valider automatiquement les vulnérabilités logicielles dans les environnements des grandes entreprises. Le service est disponible immédiatement et fonctionne en accès lecture seule sur les référentiels de code, avec des permissions d'exécution limitées pour répondre aux exigences de gouvernance des organisations. Cette initiative s'inscrit dans le cadre du projet Lightwell, porté par un investissement combiné de 5 milliards de dollars d'IBM et de Red Hat, qui vise à construire un centre de sécurité d'entreprise de nouvelle génération. Ce qui distingue fondamentalement cette solution des outils classiques d'analyse de code, c'est sa capacité à hiérarchiser les vulnérabilités selon leur potentiel réel d'exploitation, et non pas simplement à les lister. Les outils traditionnels génèrent souvent un volume d'alertes trop important pour être traité efficacement par les équipes de sécurité. Ici, l'IA identifie les zones de code les plus susceptibles d'être exploitées par des cybercriminels, permettant aux équipes de concentrer leurs efforts sur les menaces véritablement critiques. Pour les entreprises, le modèle en service managé permet de démarrer par quelques applications stratégiques avant d'étendre progressivement la surveillance à l'ensemble du parc applicatif, avec un suivi continu à mesure que le code évolue. Ce partenariat s'inscrit dans une course technologique désormais bien engagée entre attaquants et défenseurs. Les cybercriminels utilisent déjà l'intelligence artificielle pour automatiser la recherche de failles, accélérer les tentatives d'intrusion et diversifier leurs vecteurs d'attaque, rendant les approches manuelles ou purement réactives insuffisantes. OpenAI, qui avait jusqu'ici une présence discrète dans la cybersécurité offensive-défensive, structure avec le programme Daybreak un écosystème de partenaires orientés vers les usages défensifs en milieu professionnel. Pour IBM, dont l'activité de conseil et de services de sécurité représente un pilier stratégique, l'intégration de modèles de frontier AI est un levier de différenciation face à des concurrents comme Microsoft Security ou Palo Alto Networks qui investissent massivement dans les mêmes directions. Les prochains mois devraient préciser la profondeur réelle du dispositif Lightwell et la capacité de ce service à s'imposer dans des secteurs très régulés comme la finance ou la santé.

UEDans le contexte de la directive NIS2, ce type de service d'analyse applicative automatisée par IA répond à un besoin réel des organisations européennes soumises à des exigences renforcées de détection et gestion des vulnérabilités.

💬 La vraie valeur de ce service n'est pas de détecter plus de failles, c'est de te dire lesquelles méritent vraiment ton attention. Le problème des outils classiques, c'est pas le manque d'alertes, c'est la noyade dedans. Reste à voir si les modèles d'OpenAI tiennent face aux vrais environnements enterprise, avec leurs dix ans de dette technique et leurs règles de gouvernance à rallonge.

SécuritéOutil
1 source
4Siècle Digital 

OpenAI travaille sur un modèle de cybersécurité destiné à concurrencer Mythos d’Anthropic

OpenAI prépare un modèle d'intelligence artificielle spécialisé dans la cybersécurité, développé en réponse directe à Mythos, le modèle similaire annoncé par Anthropic quelques jours plus tôt. L'information, rapportée par Axios, révèle que cet outil ne sera pas accessible au grand public : il sera distribué exclusivement à un cercle restreint de partenaires sélectionnés, notamment des entreprises technologiques et des acteurs spécialisés dans la sécurité informatique, selon le même modèle de distribution fermée qu'Anthropic a choisi pour Mythos. Cette approche restrictive reflète les enjeux sensibles liés aux modèles d'IA orientés cybersécurité, capables à la fois de défendre des systèmes et de les attaquer. En réservant l'accès à des partenaires de confiance, OpenAI tente de concilier l'utilité opérationnelle de l'outil avec les risques de détournement à des fins malveillantes. Pour les entreprises de sécurité partenaires, un tel modèle pourrait accélérer la détection de vulnérabilités, l'analyse de malwares et la réponse aux incidents, des tâches aujourd'hui largement manuelles et chronophages. La course entre OpenAI et Anthropic sur ce segment illustre une tendance plus large : les grands laboratoires d'IA cherchent à s'imposer dans des secteurs verticaux à haute valeur ajoutée, après avoir dominé les usages généralistes. La cybersécurité, marché mondial estimé à plusieurs centaines de milliards de dollars, attire également Google, Microsoft et des acteurs spécialisés comme CrowdStrike ou Palo Alto Networks, déjà engagés dans l'intégration de l'IA dans leurs plateformes. La rapidité de la réplique d'OpenAI suggère que ce segment est désormais considéré comme stratégique par les deux entreprises.

UELes entreprises européennes de cybersécurité pourraient accéder à ces modèles spécialisés via des partenariats, accélérant la détection de vulnérabilités et la réponse aux incidents sur le marché européen.

SécuritéActu
1 source

Recevez l'essentiel de l'IA chaque jour

Une sélection éditoriale quotidienne, sans bruit. Directement dans votre boîte mail.

Recevez l'essentiel de l'IA chaque jour

Gratuit · 1 email le matin, l'essentiel de l'IA · désinscription en un clic