L’avènement de l’IA chez Microsoft pourrait sonner le glas du Patch Tuesday
L’IA accélère le déploiement des correctifs de sécurité Windows et remet en question le modèle de mises à jour mensuelles en vigueur chez Microsoft depuis 2003…
« Le rythme de découverte des vulnérabilités est en train de changer », prévient Microsoft. Ce qui fait dire à certains experts en sécurité que cette tendance croissante pourrait annoncer la fin du Patch Tuesday. Ou, à tout le moins, modifier le fonctionnement du plus vaste programme de réponse aux vulnérabilités du secteur, en vigueur depuis vingt-trois ans.
Pas une surprise, mais une évolution logique. La recherche de vulnérabilités assistée par l’IA dans l’écosystème Windows ne fera qu’accélérer le rythme de leur découverte et de leur divulgation.
« À mesure que l’IA aide les équipes de sécurité à découvrir davantage de problèmes, les clients constateront une augmentation du nombre de mises à jour de sécurité incluses dans chaque version », a écrit Pavan Davuluri, Executive Vice President, Windows + Devices, dans un article de blog publié jeudi 9 juillet sur Windows Experience.
L’effet Mythos
« Notre objectif est d’utiliser efficacement ces outils d’IA pour offrir une protection plus rapide, des systèmes d’ingénierie plus robustes et des conseils plus pertinents aux clients », explique Pavan Davuluri.
En mai dernier, déjà, Microsoft évoquait un calendrier de correctifs révisé, coïncidant avec la sortie fracassante de Mythos, le modèle de sécurité avancé basé sur l’IA d’Anthropic, et celle de Fable 5, une version allégée.
« L’IA propulse aujourd’hui cette évolution vers une nouvelle ère où la détection des vulnérabilités, le développement, la validation et le déploiement des correctifs doivent s’effectuer beaucoup plus rapidement qu’auparavant », explique Pavan Davuluri. En quarante ans, on est passé d’un processus lent et manuel à une approche bien plus automatisée et réactive.
Le Patch Tuesday ne suffit plus
Comparant le Patch Tuesday traditionnel –qui proposait des mises à jour moins fréquentes, souvent regroupées dans d’importants Service Packs ou lors de fenêtres de maintenance planifiées–, nombre d’experts affirment que les menaces modernes exigent désormais une approche différente.
De son côté, Microsoft demande à ses clients entreprises de se préparer à une augmentation significative du nombre de correctifs mensuels, et ce… indéfiniment.
Ce mécanisme porte un nom. Pavan Davuluri décrit un outil interne appelé MDASH (Multi-Model Agentic Scanning Harness), un système d’analyse multi-modèles basé sur l’IA, qui utilise plusieurs modèles, dont des modèles tiers de pointe pour la détection des vulnérabilités par IA. Fonctionnant sur une infrastructure cloud dédiée, il a été spécifiquement conçu pour analyser Windows à grande échelle. Le principe est de recouper les résultats entre les différentes familles de modèles avant même qu’un ingénieur ne les examine, afin de limiter le taux de faux positifs malgré l’augmentation du volume de correctifs.
Ce schéma se retrouve chez plusieurs fournisseurs. Oracle a déclaré que la détection de bogues par IA justifie l’ajout d’un correctif critique mensuel à son cycle trimestriel existant. VMware, quant à lui, a lancé un système appelé « Express Patches », des correctifs distribués indépendamment des mises à jour de produits et pouvant être appliqués dans n’importe quel ordre, sans nécessiter de mise à niveau préalable. On l’a compris, les trois fournisseurs optimisent leur offre.



