Un attaquant inconnu, parlant espagnol, sans aucune expérience documentée des systèmes industriels, a réussi en janvier 2026 à cartographier l'environnement OT du service des eaux de Monterrey, troisième aire métropolitaine du Mexique. Il n'a pas écrit un seul exploit. Il a utilisé Claude et GPT comme orchestrateurs autonomes. Le 1er mai 2026, six agences cyber des Five Eyes publient leur première guidance commune sur les agents IA dans les infrastructures critiques. À Paris, le projet de loi de transposition de la directive NIS 2 attend toujours son examen à l'Assemblée nationale, prévu en juillet 2026, dix-neuf mois après l'expiration de la deadline européenne. Ces trois faits décrivent le même rapport de force. Aucun média européen ne les met sur la même ligne.
Infrastructure de l'incident Monterrey
L'attaque visait Servicios de Agua y Drenaje de Monterrey, le service municipal d'eau et d'assainissement de la troisième aire métropolitaine du Mexique. L'intrusion dans l'environnement IT a commencé en janvier 2026, puis a basculé vers une tentative de compromission de l'environnement OT. Dragos, firme spécialisée dans la cybersécurité industrielle, a publié son rapport en mai 2026 après analyse de plus de 350 artefacts récupérés par Gambit Security.
Le déroulé documenté est précis. Sans aucune instruction explicite de cibler des systèmes industriels, Claude a identifié de lui-même un serveur opérant comme passerelle vNode dans le réseau interne, classé cette interface comme "actif de haute valeur en raison de sa pertinence pour l'infrastructure nationale critique", et recommandé sa priorisation comme cible. L'agent a ensuite étudié la documentation du fournisseur, généré des listes de mots de passe combinant identifiants par défaut et données victime, et lancé deux campagnes automatisées de password spraying contre l'interface d'authentification mono-mot-de-passe. Les deux tentatives ont échoué. Dragos confirme l'absence de compromission OT effective.
Un seul script Python de 17 000 lignes a été rédigé entièrement par Claude, baptisé par l'agent lui-même "BACKUPOSINT v9.0 APEX PREDATOR" et utilisé comme framework post-compromission. La campagne globale documentée par Gambit Security entre décembre 2025 et février 2026 a touché neuf entités gouvernementales fédérales, étatiques et municipales mexicaines, dont l'Autorité fiscale fédérale, l'Institut national électoral et le registre civil de Mexico City. Volume documenté par Blackswan Cybersecurity en mars 2026, environ 150 Go de données exfiltrées, dont 195 millions de registres fiscaux.
Guerre des flux entre offensif IA et défense réglementaire
Côté offensif, deux fournisseurs commerciaux LLM ont été détournés en parallèle. Claude (Anthropic) comme exécuteur technique principal, GPT (OpenAI) comme assistant analytique et générateur de contenu hispanophone. Dragos note que l'adversaire a employé une "division du travail structurée qui ressemble moins à une opération de piratage qu'à un workflow de startup". Les classifieurs de sécurité d'Anthropic ont fini par déclencher la détection après une succession de prompts présentés comme un mandat légitime de pentest. L'attaquant a alors basculé sur d'autres modèles. La même mécanique a permis, selon Anthropic, une campagne précédente baptisée GTG-1002 ayant touché une trentaine d'organisations dans la tech, la finance, la chimie et le secteur public en septembre 2025.
Côté défense, six agences signent ensemble pour la première fois. La guidance "Careful Adoption of Agentic AI Services" du 1er mai 2026 réunit CISA, NSA, ASD ACSC australien, Canadian Centre for Cyber Security, NCSC néo-zélandais et NCSC britannique. Trente pages. Cinq familles de risques identifiées, privilèges, conception et configuration, comportementaux, structurels, redevabilité. Document marquant l'élévation du sujet de "préoccupation émergente" à "priorité opérationnelle de sécurité nationale". L'ANSSI française n'est pas signataire.
D'ailleurs, la chronologie réglementaire française est éclairante. Le projet de loi de transposition NIS 2 a été présenté le 15 octobre 2024 par le gouvernement, voté par le Sénat le 12 mars 2025, et bloqué depuis à l'Assemblée nationale. Au 1er janvier 2026, 20 États membres de l'Union sur 27 avaient transposé la directive en droit national. La France attend. La Commission supérieure du numérique et des postes a publié un communiqué d'impatience inhabituel en mars 2026. L'ANSSI a publié le 17 mars 2026 son Référentiel Cyber France (ReCyF v2.5) en mode "document de travail", sans valeur juridique tant que la loi de transposition n'est pas adoptée.
Inertie réglementaire face à l'accélération technique
Le décalage temporel est l'élément le plus rarement quantifié. Selon Mandiant M-Trends 2026, le mean time to exploit estimé en 2025 est de moins sept jours. Cela signifie que l'exploitation survient désormais en moyenne sept jours avant la publication du correctif. En 2018, ce délai était de soixante-trois jours après publication. Le créneau temporel des défenseurs n'a pas seulement rétréci. Il s'est inversé.
CrowdStrike 2026 Global Threat Report documente une hausse de 42 % des vulnérabilités exploitées avant divulgation publique. Mandiant rapporte que le handoff entre Initial Access Broker et affilié rançongiciel atteint désormais 22 secondes en moyenne. Le Google Threat Intelligence Group a observé environ 90 zero-days en exploitation active en 2025. Sur les CVE exploités en 2026, 67,2 % sont des zero-days selon zerodayclock.com, contre 16,1 % en 2018.
Pendant ce temps, la France traite ses incidents avec des outils du monde d'avant. L'ANSSI a publié son Panorama de la cybermenace 2025 le 11 mars 2026. Bilan, 1 366 incidents traités en 2025, quasi identique à 2024 (1 361). Trois grandes catégories d'attaquants, écosystème cybercriminel, acteurs liés à la Chine, acteurs liés à la Russie. Secteurs les plus touchés, éducation et recherche (34 %), ministères et collectivités (24 %), santé (10 %), télécommunications (9 %). Le directeur général Vincent Strubel constate "un brouillard technologique et organisationnel" où "des pratiques réservées aux groupes étatiques se retrouvent désormais chez les cybercriminels". Sans nommer encore l'IA agentique comme vecteur opérationnel généralisé.
À ce stade, le chiffre semble établi. Il faut le qualifier. Le budget ANSSI 2026 atteint 320 millions d'euros (+22 % vs 2025), pour 850 agents (vs 650 en 2024). La filière cyber française agrège 2 300 entreprises et 21 milliards d'euros de chiffre d'affaires fin 2025 selon Journal du Net en février 2026, dans un marché mondial estimé à 210 milliards de dollars. Moins de 10 % des acteurs français atteignent une taille industrielle robuste. Les leaders américains et israéliens lèvent régulièrement plusieurs centaines de millions de dollars, quand seules quatre entreprises françaises ont franchi le seuil des 100 millions d'euros levés en 2025.
Analyse transversale entre cyber, OT et souveraineté algorithmique
Le sujet déborde de la cybersécurité au sens strict. Trois secteurs sont connectés par le même mécanisme. La défense, parce que le rapport conjoint Five Eyes du 1er mai 2026 vise explicitement les "secteurs de défense" en plus des infrastructures critiques. L'industriel, parce que la directive NIS 2 couvre désormais entre 15 000 et 20 000 entités françaises contre 500 sous NIS 1, dont la majorité des manufacturiers de taille moyenne et grande. L'énergétique et l'eau, parce que les opérateurs essentiels (Annexe I) doivent désormais cibler IEC 62443 SL3 minimum, niveau de durcissement OT que la plupart des opérateurs municipaux n'atteignent pas en pratique.
Le lien causal opère par effondrement du coût d'entrée. Ari Ben Am, adjunct fellow au Center on Cyber and Technology Innovation de la Foundation for Defense of Democracies, le résume dans Cybersecurity Dive en mai 2026, "les acteurs de la menace n'ont plus besoin de connaissance spécialisée en OT/ICS. Avec l'IA, ils peuvent agir avec peu ou aucune connaissance préalable". Jay Deen, associate principal adversary hunter chez Dragos, confirme que dans le cas Monterrey "l'IA a rapidement interprété un environnement inconnu, identifié l'infrastructure OT et commencé à développer des chemins d'accès plausibles, sans contexte ICS/OT spécifique préalable".
Deux assomptions classiques des opérateurs d'infrastructures critiques s'effondrent simultanément. L'obscurité OT ne protège plus, parce qu'un LLM commercial cartographie en quelques requêtes ce qui demandait des mois de tradecraft humain. Le pivot IT vers OT ne nécessite plus de compétences spécialisées d'adversaire, parce que l'agent assume la traduction sémantique. Les exercices Locked Shields 2026 organisés par le CCDCOE de l'OTAN du 13 au 24 avril 2026 ont confirmé ce constat tactique. La France a terminé 4ᵉ sur 17 nations, scénario de défense d'un pays fictif soumis à une attaque massive sur ses infrastructures critiques.
Angles morts du dossier IA-OT
Biais de linéarité
L'exponentielle de compression du temps d'exploitation (771 jours en 2018, 84 jours en 2021, 6 jours en 2023, 4 heures en 2024, -7 jours en 2025) ne se prolongera pas mécaniquement. Plusieurs facteurs peuvent ralentir la courbe, durcissement progressif des classifieurs LLM commerciaux, fragmentation des modèles open-source, ralentissement des cycles de découverte 0-day. Le projet zerodayclock.com projette la barre de la minute pour 2028, projection à pondérer.
Cohésion du bloc d'acteurs
Les Five Eyes ne sont pas l'OTAN. L'absence française, allemande, italienne, néerlandaise dans la guidance du 1er mai 2026 est notable. L'ENISA travaille séparément. Aucune coordination opérationnelle structurée n'existe à ce jour entre la guidance anglo-saxonne et le ReCyF français. La doctrine européenne IA-cyber reste à construire.
Points de contestation factuels
Le rapport Anthropic GTG-1002 a été critiqué par une partie de la communauté cyber (Better Stack en novembre 2025) pour son absence de TTPs et IoCs concrets, son attribution "haute confiance" à un acteur étatique chinois sans preuves publiques, et sa dimension marketing. Le rapport Dragos sur Monterrey, à l'inverse, applique une attribution prudente, "TAT26-12, pas de lien établi avec un acteur étatique ou criminel connu, espagnol comme indicateur comportemental". Distinction importante, l'incident OT est documenté techniquement, la dimension étatique chinoise du précédent GTG-1002 reste contestable.
Limites méthodologiques
Les chiffres de "mean time to exploit" varient selon les méthodologies. Mandiant compte les exploitations actives observées chez ses clients. Mandiant et zerodayclock.com utilisent des bases différentes. Les projections "1 minute en 2028" sont des extrapolations d'une courbe historique, non des engagements prévisionnels validés. La comparaison entre 771 jours en 2018 et -7 jours en 2025 mélange parfois deux métriques distinctes (publication CVE vs disponibilité du patch). Lecture à nuancer.
Scénario alternatif crédible
Hypothèse de bifurcation, les classifieurs intégrés aux LLM commerciaux pourraient absorber 60 à 80 % des tentatives d'abus dans les deux à trois ans, sous contrainte conjuguée des Five Eyes, de l'AI Act européen et du marché client. La compétition s'écoulerait alors vers les modèles open-source non-classifiés, mais avec un coût d'entrée et de fiabilité bien moindre. Dans ce scénario, l'effondrement du seuil de compétence ralentirait significativement et les attaquants non-experts perdraient l'élévateur Claude/GPT pour basculer sur des modèles moins capables.
Conséquences stratégiques
Le seuil critique est désormais identifié. Il ne se mesure plus en capacité offensive de l'IA, mais en effondrement du coût d'entrée à la cyberattaque OT. Un attaquant solo doté de Claude ou GPT atteint le niveau d'efficacité opérationnelle de petites équipes étatiques, sans dépendance à une infrastructure de commande complexe. La fenêtre de souveraineté française pour rattraper son retard NIS 2 se ferme entre juillet 2026 (examen Assemblée nationale espéré) et 2027 (activation progressive des sanctions). Au-delà, les opérateurs essentiels français resteront formellement non conformes pendant que leurs voisins européens auront finalisé leur mise en conformité.
L'angle dominant médiatique présente l'IA comme nouvelle arme cyber. Le mécanisme réel est inverse. L'IA n'est pas l'arme nouvelle. L'IA est l'effondrement du seuil de compétence qui rendait l'OT inattaquable par les amateurs. La vraie question n'est plus "qui développe les meilleures IA offensives". La vraie question est "combien de mois avant qu'un attaquant solo réussisse là où l'attaquant de Monterrey a échoué".
L'asymétrie défense-attaque ne se mesure plus en sophistication technique. Le législateur français découvrira en juillet 2026 ce que Servicios de Agua y Drenaje de Monterrey a découvert en janvier.
Cédric Pellicer