Visa rend open source un
Actualité

Visa rend open source un outil de cyberdéfense fondé sur l’IA

Partager
Partager
Pinterest Hidden

Cybersécurité : Visa Révolutionne la Défense avec son IA Open Source Contre les Vulnérabilités Éclair

Dans un paysage numérique où les menaces évoluent à une vitesse fulgurante, Visa, géant mondial des paiements, prend les devants en dévoilant une initiative majeure : la mise en open source de son Visa Vulnerability Agentic Harness (VVAH)

. Cet outil de cyberdéfense, propulsé par l’intelligence artificielle, est conçu pour transformer radicalement la manière dont les organisations détectent, hiérarchisent, corrigent et valident les vulnérabilités à grande échelle.

Présenté dans un livre blanc percutant publié en juin 2026 par Visa Cybersecurity, le VVAH n’est pas qu’une simple innovation technologique. Il représente une architecture de référence, un cadre réutilisable offert à la communauté de la sécurité. Les équipes de cyberdéfense sont ainsi invitées à examiner son code, à l’adapter à leurs environnements spécifiques et, surtout, à contribuer activement à son amélioration continue.

Une Course Contre la Montre : L’Urgence de l’IA

Cette démarche audacieuse s’inscrit dans le cadre du Project Glasswing

, une collaboration stratégique avec Anthropic. L’objectif est clair : tester et exploiter les capacités des modèles d’IA avancés, à l’image de Claude Mythos, sur des systèmes informatiques critiques. Pour Visa, l’émergence de ces intelligences artificielles redéfinit la nature même du risque cyber.

L’ère des scans périodiques et des tests d’intrusion aux cycles de correction longs semble révolue. L’IA a la capacité d’identifier des failles, d’analyser leur exploitabilité et même de tisser des chaînes d’attaque complexes à partir de vulnérabilités mineures. Le rapport de Visa est sans appel : « L’IA identifie des vulnérabilités en quelques minutes ; l’exploitation peut suivre en quelques heures »

. Face à cette rapidité inédite, le modèle traditionnel de gestion des vulnérabilités – « scanner selon un calendrier, corriger selon un SLA » – est jugé obsolète. L’enjeu n’est plus seulement de dénicher les failles, mais de discerner celles qui sont réellement exploitables et d’y remédier avec une célérité sans précédent.

Le « VVAH » : Un Orchestre d’Agents Intelligents Sous Contrôle Humain

Le Visa Vulnerability Agentic Harness se matérialise comme un pipeline de sécurité sophistiqué, caractérisé par sa gouvernance, son versionnement et son contrôle rigoureux. Au cœur de ce système, des agents d’IA opèrent à chaque étape cruciale du processus de cyberdéfense :

  • Cartographie de la surface d’attaque : Identification exhaustive des points d’entrée potentiels.
  • Modélisation des menaces : Analyse proactive des scénarios d’attaque.
  • Recherche de vulnérabilités : Détection rapide et précise des failles.
  • Vérification adversariale : Simulation d’attaques pour confirmer l’exploitabilité.
  • Synthèse des chaînes d’exploitation : Compréhension des enchaînements de vulnérabilités.
  • Génération de correctifs : Proposition de solutions de remédiation.
  • Validation finale : Vérification de l’efficacité des correctifs.

Toutefois, Visa insiste sur un principe fondamental : la gouvernance humaine. « Le raisonnement de l’IA est un composant dans un pipeline gouverné, pas le pipeline lui-même », souligne le rapport. Le système est ainsi doté de garde-fous déterministes, de seuils de décision clairs, de contrôles de politique stricts et d’une supervision humaine constante, garantissant que toutes les décisions restent auditables et sous contrôle.

De l’Analyse à la Remédiation : Un Cycle Sécurisé

Concrètement, le VVAH ingère une multitude de données : dépôts de code, métadonnées GitHub Enterprise, informations issues des bases de gestion de configuration (CMDB), données sur les CVE (Common Vulnerabilities and Exposures) et règles de contrôle internes. En retour, il génère des rapports structurés, des fichiers SARIF (Static Analysis Results Interchange Format) et des correctifs candidats. Ces propositions sont ensuite transmises aux équipes de développement et intégrées aux chaînes de déploiement.

Le processus se décompose en onze étapes, réparties en quatre phases distinctes :

  1. Découverte et modélisation : Identification initiale des risques.
  2. Analyse approfondie et vérification : Examen détaillé des vulnérabilités.
  3. Synthèse et reporting : Consolidation des informations et génération de rapports.
  4. Remédiation et validation : Proposition et vérification des correctifs.

Il est crucial de noter que les correctifs suggérés ne sont jamais appliqués automatiquement. Ils sont d’abord isolés dans un environnement dédié et soumis à une série de contrôles rigoureux : compilation, tests unitaires et d’intégration, nouveau scan de sécurité, revue adversariale et vérification de régression, assurant ainsi une intégration sécurisée et sans impact négatif.

Prioriser l’Exploitabilité : La Nouvelle Stratégie de Visa

L’un des piliers de cette nouvelle approche est le passage d’une logique de volume à une logique d’exploitabilité. Visa rappelle une statistique éloquente : « moins de 1% des CVE sont activement exploitées ». Cette réalité souligne l’importance capitale de la priorisation, bien au-delà du simple décompte des vulnérabilités corrigées.

Pour mesurer l’efficacité de cette stratégie, Visa introduit un indicateur novateur : le Mean Time to Adapt (MTTA). Il est défini comme le laps de temps entre la détection d’une faiblesse par l’IA et la validation d’un correctif en production, étayée par des preuves concrètes. Ce MTTA permet de suivre précisément la fraîcheur de l’inventaire des vulnérabilités, le nombre de chemins d’attaque exploitables résiduels après chaque nouvelle version logicielle et la durée globale du cycle de validation.

Les premiers déploiements de Mythos sur des applications critiques, des services exposés à internet et des plateformes fondamentales ont déjà porté leurs fruits. Visa rapporte l’identification d’opportunités de durcissement significatives dans des applications et bibliothèques anciennes, ainsi que dans des interactions complexes entre modules. Grâce à ses contrôles de type zero trust, sa segmentation réseau et ses défenses en profondeur, le groupe a pu empêcher que les vulnérabilités signalées comme critiques ne se traduisent par une exploitabilité matérielle en production.

Vers un Standard de Sécurité pour l’Écosystème

Au-delà de ses propres infrastructures, Visa ambitionne d’ériger cette approche en un standard pour l’ensemble de son écosystème. Le groupe exhorte ainsi les entreprises à adopter des programmes de gestion de l’exploitabilité des vulnérabilités, à déployer des plans de contrôle agentiques sous une supervision humaine attentive, et à exiger de leurs fournisseurs une posture de sécurité résolument adaptée à l’IA, incluant une validation continue et l’intégration d’indicateurs clés comme le MTTA.

En ouvrant les portes de son innovation en matière de cyberdéfense, Visa ne se contente pas de renforcer sa propre sécurité ; il trace la voie vers une résilience collective accrue face aux défis croissants de l’ère numérique.


Pour plus de détails, visitez notre site.

Source: Lien externe

Partager

Laisser un commentaire

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *