OpenAI a livré le 22 juin la version complète de GPT-5.5-Cyber, un modèle dédié à la détection et à la correction de vulnérabilités logicielles, intégré à sa plateforme Daybreak. Le chiffre avancé donne le ton : plus de 30 millions de commits scannés sur 30 000 bases de code en trois mois. Plus de 70 000 failles corrigées après validation humaine. 500 000 autres résolues automatiquement. On n’est plus dans la démonstration technique.
Le modèle atteint 85,6 % sur CyberGym, le benchmark de référence de l’UC Berkeley. Deux points devant Claude Mythos 5 d’Anthropic, dont l’accès reste restreint par les contrôles à l’exportation du Département du Commerce américain depuis début juin. Cette asymétrie réglementaire n’est pas un détail. Elle façonne déjà qui peut déployer quoi, et à quelle échelle, sur le marché de la cyberdéfense assistée par IA.
Sept gouvernements ont signé avec le programme partenaire Daybreak, la France parmi eux. Cisco, CrowdStrike, Palo Alto Networks et une vingtaine d’autres acteurs intègrent déjà le modèle dans leurs produits. L’initiative Patch the Planet, montée avec Trail of Bits et HackerOne, vise les bibliothèques open source critiques : cURL, Go, Python, Sigstore.
Une étude Linux Foundation citée par OpenAI rappelle pourquoi ça compte. 94 % des projets open source les plus utilisés reposent sur moins de dix mainteneurs pour l’essentiel du code. Une faille dans une dépendance réseau peut se propager à des milliers de systèmes en aval, sans que personne ne l’ait vue venir.
Pour les RSSI et DSI, l’enjeu dépasse la performance technique du modèle. Chaque correctif généré passe encore sous revue humaine avant merge, et cette boucle de contrôle reste la dernière barrière face à un agent capable de modifier du code d’infrastructure de façon quasi autonome. Maintenir cette supervision n’est pas un détail organisationnel, c’est ce qui distingue un outil d’accélération d’une nouvelle surface d’attaque potentielle si le modèle est compromis ou manipulé.
La question de la gouvernance se pose aussi en amont : qui, dans l’organisation, autorise l’usage d’un tel agent sur du code en production, avec quelle traçabilité des décisions de correction automatisée, et selon quels critères d’escalade vers une revue humaine. Ces arbitrages relèvent directement de l’accountability attendue par les cadres réglementaires européens sur la sécurité des systèmes d’information, à mesure que la frontière entre détection assistée et action autonome continue de se déplacer.
Source : Les Numériques