OpenAI ouvre l'accès à GPT-5.5-Cyber aux chercheurs en sécurité accrédités

OpenAI élargit l'accès à GPT-5.4-Cyber, un modèle affiné pour les professionnels de la cybersécurité

OpenAI a annoncé l'extension de son programme Trusted Access for Cyber (TAC) à des milliers de professionnels de la sécurité vérifiés individuellement, ainsi qu'à des centaines d'équipes chargées de défendre des infrastructures logicielles critiques. Au cœur de cette expansion figure GPT-5.4-Cyber, un modèle dérivé de GPT-5.4 spécifiquement ajusté pour les usages défensifs en cybersécurité. Contrairement au modèle standard, GPT-5.4-Cyber adopte ce qu'OpenAI qualifie d'approche "cyber-permissive" : son seuil de refus est délibérément abaissé pour les requêtes à vocation défensive légitime. Parmi les capacités débloquées figure notamment l'ingénierie inverse de binaires sans accès au code source, une fonctionnalité majeure pour analyser des firmwares, des bibliothèques tierces ou des échantillons de malwares compilés. Les utilisateurs accèdent au programme via chatgpt.com/cyber pour une vérification individuelle, ou par l'intermédiaire d'un représentant OpenAI pour les équipes entreprise. Ce changement s'attaque à un problème concret que connaissent bien les chercheurs et ingénieurs en sécurité : les modèles généralistes refusent fréquemment d'analyser du code malveillant ou d'expliquer des techniques d'exploitation, même dans un cadre manifestement défensif. Cette friction ralentit le travail des équipes de sécurité offensives et défensives légitimes, au profit, indirectement, des attaquants qui eux n'attendent pas de validation. En réduisant ces blocages pour des utilisateurs vérifiés, OpenAI cherche à rééquilibrer l'avantage technologique en faveur des défenseurs. Le modèle conserve toutefois des garde-fous stricts : l'exfiltration de données, la création ou le déploiement de malwares, et les tests non autorisés restent explicitement interdits. L'accès en mode zéro-rétention de données est également limité, OpenAI arguant d'une visibilité réduite sur l'environnement et les intentions de l'utilisateur dans cette configuration. La cybersécurité a toujours souffert de ce qu'on appelle le problème du double usage : les mêmes connaissances techniques servent aussi bien à défendre des systèmes qu'à les attaquer. Pour les systèmes d'IA, cette tension est particulièrement aiguë, car il est difficile de distinguer automatiquement une intention défensive d'une intention malveillante. OpenAI propose ici une réponse structurelle inédite : un cadre d'accès à plusieurs niveaux fondé sur la vérification d'identité, plutôt que des restrictions uniformes appliquées à tous. Cette approche s'inscrit dans une tendance plus large du secteur à différencier les accès selon le profil et les intentions déclarés de l'utilisateur. Si le modèle se généralise, d'autres fournisseurs de modèles comme Anthropic ou Google DeepMind pourraient être amenés à développer des dispositifs similaires pour ne pas laisser OpenAI s'imposer comme la référence des outils d'IA pour la sécurité professionnelle.

OpenAI emboîte le pas à Anthropic en restreignant l'accès à son IA de cybersécurité avancée

OpenAI développe un nouveau modèle d'intelligence artificielle doté de capacités avancées en cybersécurité, dont l'accès sera limité à un cercle restreint d'entreprises sélectionnées. L'information, rapportée par Axios, indique que la société de Sam Altman suit ainsi la même approche que son concurrent Anthropic, qui avait déjà mis en place un accès contrôlé pour ses propres outils d'IA orientés sécurité informatique. Cette décision reflète une tension croissante dans le secteur : les modèles suffisamment puissants pour aider les équipes de sécurité défensive peuvent également servir à automatiser des attaques, rédiger des malwares ou identifier des vulnérabilités à grande échelle. En restreignant l'accès à un nombre limité d'acteurs vérifiés, OpenAI cherche à éviter que ces capacités ne tombent entre de mauvaises mains, tout en permettant à des partenaires de confiance, typiquement des entreprises de cybersécurité ou des institutions gouvernementales, d'en exploiter le potentiel légitime. Anthropic avait ouvert la voie avec une politique similaire autour de Claude pour les usages offensifs en sécurité, reconnaissant que certaines capacités nécessitent un encadrement strict plutôt qu'une mise sur le marché ouverte. Ce mouvement parallèle des deux principaux laboratoires d'IA américains suggère l'émergence d'une norme informelle de l'industrie : les outils d'IA à double usage dans la cybersécurité ne seront pas accessibles via les APIs publiques classiques, mais distribués selon un modèle d'accréditation. La question de qui décide des critères d'accès, et selon quelle transparence, reste entière.

OpenAI lance GPT-5.4 Cyber : le coup de grâce porté à Anthropic

OpenAI a dévoilé le 14 avril 2026 GPT-5.4-Cyber, une version spécialisée de son modèle GPT-5.4 fine-tunée pour les usages de cybersécurité défensive. Ce nouveau modèle ne sera pas accessible au grand public : seuls les chercheurs, experts du domaine et organisations vérifiées pourront y accéder via un programme baptisé Trusted Access for Cyber (TAC), qui fonctionne par niveaux d'accréditation progressifs. Sa capacité la plus remarquable est l'analyse de logiciels compilés sans accès au code source, l'IA peut examiner un programme inconnu, détecter des comportements suspects, identifier des vulnérabilités, ou disséquer des malwares et logiciels espions pour en comprendre les mécanismes internes. Des opérations que les versions grand public de ChatGPT refusent d'effectuer. OpenAI précise que GPT-5.4-Cyber servira également de socle pour de futures versions encore plus avancées, déjà en préparation. L'impact concret se joue d'abord pour les équipes de sécurité des entreprises et les professionnels chargés de protéger des infrastructures critiques. En automatisant l'analyse de binaires et la détection de failles, un tel outil peut réduire considérablement le temps nécessaire pour répondre à une menace ou auditer un système. Le programme TAC prévoit d'élargir progressivement l'accès à un large réseau de professionnels vérifiés, ce qui distingue l'approche d'OpenAI d'un outil purement centralisé. Pour le secteur de la cybersécurité, l'enjeu est double : d'un côté, un gain de productivité substantiel pour les défenseurs ; de l'autre, une question de gouvernance sur qui contrôle ces capacités et comment éviter les détournements offensifs. Cette annonce s'inscrit dans une bataille de positionnement directe avec Anthropic, qui venait de présenter Claude Mythos, son propre modèle orienté cybersécurité, capable d'identifier des vulnérabilités et d'explorer des scénarios d'exploitation. La différence stratégique est notable : là où Anthropic réserve Claude Mythos à un cercle fermé de grands acteurs tech comme Amazon, Google ou Microsoft, OpenAI opte pour une approche plus distribuée via le TAC, accessible à un plus grand nombre d'organisations à condition qu'elles prouvent leur légitimité. OpenAI a par ailleurs mis en pause certaines initiatives comme le projet Sora pour concentrer ses ressources sur les usages professionnels, notamment le développement logiciel et la sécurité informatique. La course aux modèles spécialisés pour la cybersécurité s'accélère, et les deux leaders du secteur ont désormais chacun une offre en lice, avec des philosophies d'accès sensiblement différentes.

Les capacités offensives de l'IA en cybersécurité doublent tous les six mois, selon des chercheurs

Les capacités offensives des modèles d'intelligence artificielle en matière de cybersécurité progressent à un rythme alarmant. Selon une étude publiée par des chercheurs en sécurité de l'IA, ces capacités doublent tous les 5,7 mois depuis 2024. Des modèles comme Opus 4.6 et GPT-5.3 Codex sont désormais capables de résoudre des tâches d'exploitation de vulnérabilités qui nécessitaient auparavant environ trois heures de travail à des experts humains chevronnés. Cette accélération représente un changement de paradigme pour l'ensemble de l'industrie de la cybersécurité. Des attaques qui exigeaient jusqu'ici des compétences pointues, du temps et des ressources humaines importantes pourraient bientôt être automatisées à grande échelle et à faible coût. Cela signifie que les organisations, des PME aux infrastructures critiques, font face à une surface d'attaque qui s'élargit plus vite que leur capacité à se défendre. La barrière d'entrée pour mener des cyberattaques sophistiquées s'effondre. Ce constat s'inscrit dans un débat plus large sur la double nature des modèles de langage avancés, à la fois outils de défense et vecteurs de menace potentiels. Depuis 2023, plusieurs laboratoires d'IA, dont Anthropic et OpenAI, ont mis en place des politiques d'évaluation des risques cybernétiques avant tout déploiement de nouveaux modèles. La progression exponentielle documentée ici renforce les arguments de ceux qui plaident pour un encadrement réglementaire strict des capacités offensives des IA, un sujet qui devrait peser lourd dans les prochaines discussions au niveau européen et américain.

💬 Doubler tous les 5,7 mois, c'est pas une métaphore, c'est une courbe qui va quelque part de précis. Ce qui me frappe, c'est pas que l'IA puisse faire ce que faisait un expert en 3 heures, c'est que la prochaine itération fera ce que faisait un expert en 3 jours. Les régulateurs ont les yeux rivés sur aujourd'hui pendant que le truc accélère sous leurs pieds.