Deepthix .
← Retour au blog
tech 11 mai 2026

La politique de divulgation de 90 jours est morte

La politique de divulgation responsable de 90 jours, jadis pilier de la sécurité informatique, est désormais obsolète. Avec des outils d'IA capables de réduire les délais de découverte et d'exploitation des failles à presque zéro, les entreprises doivent revoir leur stratégie de gestion des vulnérabilités.

Article inspiré de la source originale
the 90 day disclosure policy is dead ↗ blog.himanshuanand.com

Introduction

Le monde de la cybersécurité a longtemps fonctionné sur la base d'une politique de divulgation responsable de 90 jours. Cette norme, établie pour donner aux entreprises le temps de corriger les vulnérabilités avant qu'elles ne soient rendues publiques, semble aujourd'hui déconnectée de la réalité. Pourquoi ? Les avancées rapides de l'intelligence artificielle (IA) ont bouleversé l'équation, rendant obsolètes les hypothèses qui sous-tendaient cette approche.

L'ancienne norme

Imaginons que nous sommes en 2019. Lorsqu'un chercheur découvre un bug critique, il suit un processus bien rodé : rédiger un rapport, l'envoyer au fournisseur, et lui accorder un délai de 90 jours pour corriger le problème avant qu'il ne soit rendu public. Ce laps de temps supposait que le chercheur était probablement le seul à avoir trouvé le bug et que les attaquants prendraient des jours, voire des semaines, pour l'exploiter. Ces hypothèses appartiennent désormais au passé.

L'impact de l'IA sur la sécurité

Les modèles de langage de grande taille (LLM), comme ceux alimentés par l'IA, ont radicalement transformé le paysage. Prenons l'exemple classique : un bug est découvert, et en quelques heures, un modèle IA peut non seulement reproduire ce bug mais aussi proposer des moyens de le corriger ou de l'exploiter. Cette rapidité d'exécution réduit à néant le délai de grâce de 90 jours.

Exemple concret : une faille exploitée en 30 minutes

Récemment, une vulnérabilité a été découverte dans un logiciel populaire. En moins d'une heure après la publication du correctif, des attaquants avaient déjà inversé le patch pour créer un exploit fonctionnel. Ce phénomène, autrefois rare, devient de plus en plus courant, soulignant l'urgence d'une réaction immédiate face aux failles de sécurité.

Ce qui doit changer

Face à cette nouvelle réalité, les entreprises doivent adopter une approche plus proactive. Chaque vulnérabilité critique doit être traitée comme une priorité absolue (P0). Cela signifie : pas de retards, pas de mise en attente jusqu'au prochain sprint de développement. Les correctifs doivent être déployés dès que possible.

Stratégies pour s'adapter

  1. Automatisation des correctifs : Utiliser des outils automatisés pour déployer rapidement des correctifs dès leur disponibilité.
  2. Évaluation continue : Mettre en place des systèmes d'évaluation continue pour identifier et corriger les vulnérabilités en temps réel.
  3. Collaboration accrue : Encourager une collaboration étroite entre les équipes de développement et de sécurité pour assurer une réponse rapide et efficace.

Conclusion

La politique de divulgation de 90 jours est effectivement morte. Les entreprises doivent se préparer à agir rapidement et efficacement pour protéger leurs systèmes et leurs données. Ignorer cette nécessité pourrait avoir des conséquences désastreuses.

Discutons de ton projet en 15 minutes.

disclosure cybersecurity AI vulnerability automation
Newsletter Deepthix · 100% IA · chaque lundi 8h

Un agent IA lit la tech à ta place.

Notre agent IA scanne ~200 sources par semaine et te livre les meilleurs articles le lundi 8h. Gratuit. 1 clic pour se désinscrire.

Voir la page newsletter →

Tu veux automatiser tes opérations ?

Discutons de ton projet en 15 minutes.

Réserver un call