OpenAI étend l’accès Daybreak à la France et à l’ENISA, et livre GPT-5.5-Cyber aux défenseurs vérifiés

OpenAI étend Daybreak, son initiative de cybersécurité lancée en mai, et livre la version complète de GPT-5.5-Cyber à un cercle restreint de défenseurs vérifiés. L’éditeur met à jour son plugin Codex Security, ouvre un programme de partenaires et lance avec Trail of Bits l’initiative open source Patch the Planet. Le fil directeur tient en une bascule, car la difficulté n’est plus de trouver les failles, mais de les corriger assez vite.

Pendant des années, débusquer une vulnérabilité sérieuse demandait une expertise rare et une connaissance intime de codes complexes. Les modèles de langage ont déplacé ce point d’équilibre. Ils parcourent de vastes bases de code, suivent des chemins d’attaque et signalent des failles qui seraient autrement restées invisibles. La conséquence est paradoxale, car les équipes de défense ne manquent plus de signalements, elles croulent dessous. Un rapport de vulnérabilité ne protège personne tant que le correctif n’est ni écrit, ni testé, ni déployé.

C’est ce déplacement que vise l’extension de Daybreak, annoncée ce 22 juin 2026. OpenAI assume désormais l’ensemble de la chaîne, de la découverte à la correction, plutôt que la seule détection. L’éditeur revendique des résultats sur des cibles très répandues, des navigateurs aux systèmes d’exploitation, dont le noyau Linux et FreeBSD. La promesse affichée est de rendre ces capacités accessibles aux défenseurs avant que les attaquants n’en tirent parti, sur un terrain où l’avance technique change de camp à chaque génération de modèle.

De la détection à la correction automatisée

Le cœur de l’annonce est la bascule vers la remédiation. OpenAI met à jour le plugin Codex Security, qui analyse une base de code, établit ou complète son modèle de menace, vérifie si le code vulnérable est atteignable, réunit les preuves, propose un correctif ciblé et teste le résultat. Depuis son lancement en préversion en mars, l’outil revendique plus de 30 millions de commits analysés sur plus de 30 000 bases de code, plus de 70 000 vulnérabilités marquées comme corrigées par des relecteurs humains et plus de 500 000 corrigées automatiquement. Cette logique prolonge la sécurisation de l’outillage du développeur, devenu une cible de chaîne logicielle.

Ces chiffres viennent de l’éditeur et décrivent un volume de traitement, pas une mesure indépendante d’efficacité. Ils donnent néanmoins l’échelle visée, celle d’amener la correction au rythme où la découverte se produit déjà. Le plugin peut aussi reprendre les signalements existants issus d’autres scanners, d’avis de sécurité ou de programmes de prime aux bogues, puis générer des correctifs en série pour résorber un arriéré. La décision finale, sur les failles à investiguer et les correctifs à appliquer, reste annoncée comme revenant à l’humain.

Un modèle plus capable, réservé aux défenseurs accrédités

OpenAI livre la version complète de GPT-5.5-Cyber, qu’il présente comme son modèle le plus performant pour trouver et corriger des vulnérabilités, et aussi comme plus permissif sur les tâches de sécurité autorisées. Sur le test CyberGym, qui mesure la capacité à reproduire des failles connues, le modèle atteint 85,6 %, contre 81,8 % pour GPT-5.5. Sur ExploitGym, qui évalue la transformation d’une faille en exploitation fonctionnelle, il passe à 39,5 %, contre 25,95 %.

L’accès est le point sensible. GPT-5.5-Cyber reste en diffusion limitée aux défenseurs vérifiés, assortie de contrôles renforcés, de surveillance et de revue. Pour la plupart des organisations, OpenAI renvoie à GPT-5.5 doté de son dispositif Trusted Access for Cyber. Un modèle qui aide à corriger les failles aide aussi à les exploiter, ce qui justifie l’accès conditionné. Cette réserve installe néanmoins une asymétrie, car la capacité défensive la plus avancée n’est pas distribuée également, et son périmètre d’accès dépend de critères que l’éditeur contrôle. La question rejoint celle posée par la coupure de Mythos 5, qui a privé l’Europe d’une capacité comparable.

L’open source et l’Europe dans le périmètre

Deux volets élargissent la portée de l’initiative. Le Daybreak Cyber Partner Program ouvre l’accès à GPT-5.5 avec Trusted Access for Cyber à des fournisseurs de sécurité, parmi lesquels Cisco, CrowdStrike, Palo Alto Networks, Wiz ou Zscaler, qui intègrent le modèle dans leurs produits sans que l’accès direct ne sorte de leurs mains. En parallèle, Patch the Planet, fondé avec le cabinet Trail of Bits et mené avec HackerOne et Calif, finance des chercheurs pour aider les mainteneurs de logiciels libres très diffusés, de cURL à Python en passant par la bibliothèque pyca/cryptography. Plus de trente projets se sont engagés.

L’ancrage européen mérite l’attention des décideurs français. OpenAI indique avoir établi, le mois précédent, des partenariats Trusted Access for Cyber avec plusieurs États, dont la France et l’Allemagne, ainsi qu’avec des institutions de l’Union, dont l’agence européenne de cybersécurité ENISA. Cette diffusion accompagne un rapprochement avec le gouvernement américain, autour d’un décret présidentiel de juin 2026 et de travaux d’évaluation préalable au déploiement des modèles. La dépendance à un fournisseur américain pour une capacité de cyberdéfense de premier plan devient un paramètre à intégrer dans la stratégie de souveraineté.

Pour le RSSI, l’extension de Daybreak pose une question d’arbitrage plus que d’adoption immédiate. La correction assistée par modèle promet de résorber l’arriéré de vulnérabilités, mais la revue humaine reste le filtre qui sépare le correctif valide du faux positif, comme le rappelle la place centrale qu’OpenAI et Trail of Bits accordent aux chercheurs dans Patch the Planet. Reste l’enjeu de fond, celui d’une capacité qui sert à défendre autant qu’à attaquer, et dont l’accès conditionné dessine une carte où tous les défenseurs ne sont pas logés à la même enseigne.