Les agences Five Eyes alertent sur les risques IA en cybersécurité : les dirigeants sommés d'agir maintenant

25/6/26
👈 les autres actualités

Les agences de cybersécurité du Five Eyes — États-Unis (CISA), Royaume-Uni (NCSC), Australie (ASD/ACSC), Canada (CCCS) et Nouvelle-Zélande (NCSC-NZ) — viennent de publier une déclaration conjointe inédite sur les mutations du paysage cyber induites par l'IA. Leur message aux dirigeants d'organisations est direct : agir maintenant, avant que les fenêtres d'anticipation ne se ferment.

Ce qui s'est passé

Le 24 juin 2026, les cinq agences nationales de cybersécurité du pacte Five Eyes ont publié une déclaration commune identifiant les modèles d'IA de frontier comme vecteur de transformation majeure du risque cyber. C'est la première fois que ces agences s'accordent collectivement pour adresser un message non pas aux équipes techniques, mais directement aux dirigeants et conseils d'administration.

La déclaration pointe plusieurs mutations structurelles : accélération des capacités offensives des attaquants grâce à l'IA, abaissement du seuil de compétences nécessaires pour mener des attaques sophistiquées, et émergence de nouvelles surfaces d'attaque spécifiques aux systèmes IA eux-mêmes (empoisonnement de données, injection de prompts, compromission de modèles).

Les agences soulignent que cette déclaration s'inscrit dans la continuité de leurs travaux précédents, notamment le guide conjoint CISA / Five Eyes sur la sécurité des systèmes d'IA agentique publié en mai 2026, qui identifiait déjà cinq catégories de risques propres à ces architectures.

Pourquoi c'est important — contexte réglementaire

Bien que la déclaration des agences Five Eyes soit formellement non contraignante en Europe, elle cristallise une évolution réglementaire qui, elle, s'impose directement aux organisations françaises.

L'article 32 du RGPD oblige les responsables de traitement à mettre en œuvre des mesures techniques « appropriées à l'état de l'art ». Lorsque l'état de l'art des attaquants progresse — et le développement des modèles frontier accélère précisément ce curseur — les mesures acceptables hier peuvent devenir insuffisantes demain. Le cas des capacités cyber-offensives de l'IA illustré par Claude Mythos a déjà démontré que cette réévaluation n'est plus théorique.

La directive NIS 2, en cours de transposition en France, impose quant à elle des obligations de gestion des risques cyber à l'ensemble des entités essentielles et importantes — et intègre explicitement la chaîne d'approvisionnement numérique. Les obligations NIS 2 de l'article 21 (mesures de gestion des risques) et l'article 20 (formation obligatoire des dirigeants à la cybersécurité) entrent directement en résonance avec l'appel Five Eyes.

Côté IA, l'AI Act impose pour les systèmes à haut risque une évaluation de robustesse incluant la résilience face aux attaques adversariales. Les agences Five Eyes ciblent précisément ce périmètre.

Ce que ça change pour les organisations — actions concrètes

La déclaration Five Eyes n'est pas un document technique : c'est un signal de gouvernance. Ce que les agences demandent aux dirigeants :

  • Réévaluer l'analyse de risque en intégrant l'hypothèse attaquant IA, c'est-à-dire supposer que des acteurs malveillants ont accès à des capacités offensives augmentées par des modèles frontier. Le rapport du Campus Cyber sur les modèles-frontière fournit un cadre pratique pour ce travail d'anticipation.
  • Accélérer le patching et renforcer la cartographie des actifs critiques, car les modèles IA permettent de découvrir et d'exploiter des vulnérabilités à une vitesse sans précédent.
  • Durcir la chaîne de sous-traitance numérique : les intégrations tierces sont devenues le vecteur d'attaque privilégié des acteurs sophistiqués.
  • Former les organes de direction — pas seulement déléguer la cyber aux équipes IT. NIS 2 article 20 l'impose ; les agences Five Eyes en font une priorité de gouvernance.
  • Sécuriser les systèmes IA eux-mêmes : données d'entraînement, flux de prompts, API d'inférence, pipelines MLOps.

Pour les DPO, la question n'est plus de savoir si les risques IA pèsent sur la conformité RGPD, mais de documenter comment les mesures de l'article 32 ont été réévaluées à la lumière de cette évolution — et de s'assurer que les AIPD en cours intègrent ce nouveau niveau de menace.

Ce que Leto pense de cette déclaration

Ce qui frappe dans la déclaration Five Eyes, c'est moins le contenu technique — déjà largement documenté — que sa cible : les dirigeants, pas les RSSI. Ce glissement révèle que les agences considèrent désormais que la cyber est un problème de gouvernance d'entreprise avant d'être un problème informatique.

Pour les organisations françaises, le message est clair : la conformité RGPD et NIS 2 ne peut plus être traitée comme un projet IT avec un budget séparé. Elle doit être portée par la direction, évaluée en CODIR et documentée dans les rapports de gouvernance. Les agences Five Eyes viennent de valider ce que les régulateurs européens demandent depuis des années.

Sources : Inside Privacy — Five Eyes Statement on AI Cybersecurity Risks

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026