
En juin 2026, vingt et une organisations ont signalé près de 1 500 vulnérabilités critiques ou de haute sévérité, soit 3,5 fois le précédent record mensuel. La courbe ne grimpe pas, elle bascule à la verticale au printemps, exactement quand les modèles d’IA se sont mis à traquer les failles logicielles à grande échelle.
D’où sort ce pic de 1 500 failles
Le chiffre vient d’Epoch AI, qui a reconstitué le volume mensuel de CVE (Common Vulnerabilities and Exposures, le référentiel public des failles de sécurité) déclarées de haute sévérité. Sur la courbe, l’inflexion est datée : elle démarre en avril 2026, le mois où Anthropic a annoncé que son modèle Claude Mythos Preview savait découvrir seul des vulnérabilités dans du code.
La coïncidence n’en est pas une. Selon Anthropic, des partenaires de confiance utilisaient déjà le modèle pour repérer et corriger des bugs avant même sa sortie, dans le cadre d’un programme baptisé Glasswing. En face, OpenAI pousse dans le même sens avec le sien, Daybreak. Pour saisir l’ampleur : le précédent record mensuel plafonnait autour de 400 signalements, et l’on est passé à 1 500 en quelques semaines, sans qu’aucune vague de logiciels neufs et bâclés vienne l’expliquer.
Ces 1 500 failles dormaient déjà là
Le pic recense des failles signalées, pas des failles créées. Ces 1 500 vulnérabilités ne sont pas apparues en juin. Elles dormaient déjà dans des bases de code parfois vieilles de dix ans, invisibles faute d’yeux pour les voir. L’IA n’a pas fabriqué le danger, elle l’a rendu lisible.
La nuance change tout dans la lecture du chiffre. Une hausse de 3,5 fois ne signale pas un logiciel soudain 3,5 fois plus vulnérable ; elle mesure un rendement de détection qui explose. Là où un chercheur humain épluchait un dépôt en semaines, un modèle avale des milliers de lignes en quelques minutes et recommence sans fatigue. Le stock de failles latentes, lui, était déjà là.
Juin ne montre d’ailleurs qu’une fraction du réel. Le seul programme Glasswing revendique plus de 10 000 failles remontées à ce jour, dont une part n’a pas encore été rendue publique. Autrement dit, le compteur visible est un plancher, pas un plafond : ce qui est déclaré traîne derrière ce qui est déjà trouvé.
Le maillon faible, désormais, c’est le correctif
Trouver une faille et la réparer ne jouent pas dans la même catégorie de temps. Un modèle peut isoler une vulnérabilité en quelques minutes. Écrire le correctif, le tester, s’assurer qu’il ne casse rien, puis le déployer sur tous les systèmes concernés se compte en jours, parfois en semaines : cette partie-là reste massivement humaine. OpenAI l’admet à sa manière : son programme Daybreak a déplacé son centre de gravité vers la réparation, avec un volet « Patch the Planet » qui aide les mainteneurs open source à corriger, pas seulement à détecter.
C’est l’asymétrie qui inquiète. Quand la machine industrialise l’entrée du tuyau et que la sortie reste calibrée sur des équipes de sécurité en effectif constant, la file d’attente enfle. Chaque faille non corrigée est une fenêtre ouverte : plus elle reste béante, plus elle intéresse ceux qui, eux aussi, savent lancer une IA sur du code.
Corriger au rythme des machines
Passé le vertige du nombre, tout se joue sur le décalage entre détection et correction. La détection n’est plus la ressource rare ; c’est en aval que le travail s’accumule. Trier 1 500 alertes par risque réel, distinguer la faille exploitable de la curiosité théorique, automatiser le déploiement des correctifs : voilà le chantier des prochains mois.
Deux réflexes s’imposent. D’abord, considérer que toute dépendance un peu ancienne de votre pile contient probablement des failles que personne n’avait encore vues, et qu’une IA finira par voir. Ensuite, muscler la chaîne de correction autant qu’on a musclé la détection, car un modèle qui trouve sans qu’on corrige ne fait que dresser l’inventaire de ce qui nous expose.
Le pic de juin n’est pas un accident statistique. C’est le premier relevé d’une ère où repérer une faille ne coûte presque plus rien, et où tout se rejoue sur la vitesse à laquelle on la referme. Les usines à découvertes ne dorment jamais ; nos ateliers de correctifs, eux, ont des horaires.
