Un laboratoire public a testé les modèles ouverts sur un champ cyber
L'institut britannique de sécurité de l'IA a mesuré à quel point les modèles d'IA librement téléchargeables se sont approchés des meilleurs systèmes fermés sur le travail cyber offensif, et la réponse est inconfortablement proche. Dans un rapport publié le 17 juillet 2026, l'institut a testé deux modèles ouverts, GLM-5.2 et DeepSeek V4-Pro, sur 70 tâches cyber réparties en quatre niveaux de compétence, du profane technique à l'expert, plus un scénario d'attaque plus long de 32 étapes sur son champ d'essai.
GLM-5.2, sorti en juin, a égalé l'Opus 4.6 d'Anthropic de février sur les tâches ponctuelles et l'Opus 4.5 de novembre sur les épreuves plus longues. DeepSeek V4-Pro s'est situé au niveau d'Opus 4.5. En clair, le modèle ouvert que l'on peut télécharger aujourd'hui et faire tourner sur son propre matériel rend comme un système de pointe qui était à la pointe il y a quatre à sept mois.
Le prix d'une attaque compétente s'est effondré
L'écart qui compte le plus, ce ne sont pas les mois, c'est l'argent. Faire tourner le champ d'essai de l'institut avec un modèle fermé de premier plan a coûté environ 85 dollars pour un passage de 100 millions de jetons; GLM-5.2 a fait de même pour environ 46 dollars, et DeepSeek V4-Pro pour à peu près 1 dollar et 19 cents. Par tâche à pleine fiabilité, Opus 4.6 a coûté 15 dollars et 17 cents, GLM-5.2 6 dollars et 12 cents, et DeepSeek V4-Pro 28 cents.
Ce n'est pas une différence d'arrondi. La même capacité offensive qui, il y a un an, se trouvait derrière l'interface payante d'un laboratoire de pointe, avec sa journalisation d'usage et sa surveillance des abus, tourne désormais sur un modèle hébergé chez soi à environ un cinquantième du coût et sans personne pour regarder. Pour quiconque dirige une entreprise européenne, le calcul de qui peut se permettre de sonder vos systèmes vient de changer.
Les sécurités n'ont pas tenu
Les poids ouverts n'arrivent pas avec un interrupteur d'arrêt qui fonctionne. L'institut a rapporté que ses évaluations de ces modèles n'ont guère été gênées par les garde-fous. DeepSeek V4-Pro refusait parfois une demande de rétro-ingénierie, mais il suffisait de redemander pour contourner le refus.
C'est le point structurel de la diffusion à poids ouverts. Une fois que les poids d'un modèle sont publics, ses garde-fous ne sont plus qu'un conseil, car chacun peut les entraîner pour les retirer ou les contourner. Un modèle fermé peut être bridé, audité et coupé; un modèle téléchargé, non. La question de sécurité de ces systèmes porte donc sur la capacité, pas sur les refus polis qu'un agent conversationnel oppose à un utilisateur occasionnel.
Ce qu'un exploitant européen devrait en retenir
La leçon n'est pas la panique, c'est le calendrier. La fenêtre où l'outillage offensif de pointe restait cher et surveillé se referme, et votre planification de sécurité devrait supposer qu'un attaquant compétent dispose maintenant d'un accès bon marché et non journalisé à des capacités qui étaient de premier plan l'hiver dernier. Sous NIS2 et DORA, le devoir de gérer ce risque incombe à l'exploitant, pas au fabricant du modèle.
Concrètement, cela renforce la valeur des fondamentaux qui se moquent de la façon dont l'attaque a été produite: des délais de correctifs courts, la segmentation du réseau, des sauvegardes testées et une détection qui surveille le comportement plutôt que les signatures connues. Cela signifie aussi que la question à poser à un fournisseur de sécurité n'est plus s'il défend contre des attaquants humains, mais si ses hypothèses tiennent encore quand l'outil de l'attaquant coûte quelques centimes et ne dort jamais.
À lire ensuite: Les États-Unis étudient une surveillance de l'IA que paieraient les laboratoires | Washington décide désormais quand l'IA de frontière arrive



