YesWeHack lance des agents IA pour des pentests éclairs

Résumé

YesWeHack lance le Pentest Agentique, un test d’intrusion automatisé par agents IA autonomes, activables à la demande, avec résultats livrés le jour même.

Les faits

YesWeHack, plateforme française de sécurité offensive et de gestion de l’exposition, a annoncé le 25 juin 2026 le lancement de son Pentest Agentique. Cette nouvelle offre mobilise des agents d’intelligence artificielle autonomes, activables à la demande, pour tester les actifs exposés d’une organisation et fournir des résultats le jour même, accessibles au fil de l’avancement des tests. Les agents IA sont déployés pour identifier les vulnérabilités d’une organisation, tester leur exploitabilité en conditions réelles et cartographier les chemins d’attaque sur l’ensemble des actifs concernés. Le Pentest Agentique prend en charge les tests en boîte noire, grise et blanche des applications web et mobiles, des API et des autres actifs accessibles depuis Internet, avec une couverture des vulnérabilités à fort impact, dont le Top 10 de l’OWASP, ainsi qu’un éventail de vecteurs d’attaque. YesWeHack précise que ses agents s’appuient sur les modèles les plus avancés disponibles pour les tests offensifs, y compris des modèles à poids ouverts. Cette approche permet de recourir à des modèles développés ou hébergés en Union européenne ou en Asie-Pacifique, selon les contraintes de l’organisation. Les agents opèrent dans un cadre de règles défini par l’éditeur afin de préserver la confidentialité, l’intégrité et la disponibilité des systèmes testés. L’offre s’intègre à la plateforme YesWeHack : les résultats du Pentest Agentique se gèrent aux côtés des autres services, notamment les programmes de prime aux bogues, les Pentests Continus, les politiques de divulgation des vulnérabilités et les points de contrôle qui identifient les CVE activement exploitées. Les équipes de sécurité peuvent solliciter en continu l’équipe de triage de l’éditeur pour valider, reproduire et enrichir les rapports, YesWeHack présentant ce tri humain comme une garantie d’absence de faux positifs. Guillaume Vassault-Houlière, PDG et cofondateur, affirme que « le Pentest Agentique est plus rapide et plus simple à mettre en place et à exécuter que les pentests traditionnels menés par des humains, tout en offrant une couverture plus large, la capacité de passer à l’échelle et des coûts réduits », tout en rappelant que les programmes de prime aux bogues et l’expertise de la communauté demeurent des piliers de la stratégie de sécurité offensive de l’éditeur.

Pourquoi c’est important

Le lancement du Pentest Agentique illustre une bascule majeure de la sécurité offensive vers des dispositifs automatisés et continus. Historiquement mené comme une prestation ponctuelle confiée à des experts humains, le test d’intrusion devient une fonction permanente, opérant à la vitesse de la machine. Cette évolution répond à la montée en puissance des attaquants qui s’appuient eux aussi sur l’intelligence artificielle, alors que les délais entre la divulgation d’une faille et son exploitation se réduisent. Pour les responsables de la sécurité, l’arrivée d’un criblage agentique continu modifie plusieurs arbitrages. L’agent classe les vulnérabilités selon leur exploitabilité réelle, ce qui implique de déléguer à la machine une part du jugement sur le risque, dans un contexte où le périmètre de responsabilité du RSSI ne cesse de s’élargir. Le modèle économique glisse d’un engagement ponctuel facturé à la prestation vers une fonction de sécurité permanente, avec l’avantage de la fréquence et de la rapidité du criblage, mais aussi une dépendance accrue à une plateforme et à ses agents. YesWeHack positionne toutefois cette automatisation comme un complément à la sécurité humaine, maintenant ses Pentests Continus pour traiter les vulnérabilités complexes et les chaînes d’exploitation élaborées, et misant sur le tri humain pour éliminer les faux positifs.

Questions fréquentes

Qu’est-ce que le Pentest Agentique de YesWeHack ?

C’est une offre de test d’intrusion qui mobilise des agents IA autonomes à la demande pour tester les actifs exposés et livrer des résultats le jour même.

Quels types d’actifs le Pentest Agentique couvre-t-il ?

Il couvre les applications web et mobiles, les API et les autres actifs accessibles depuis Internet, en tests boîte noire, grise et blanche.

Quelles vulnérabilités sont visées par cette offre ?

Le Pentest Agentique cible les vulnérabilités à fort impact, dont le Top 10 de l’OWASP, ainsi qu’un éventail de vecteurs d’attaque.

Comment les résultats sont-ils traités sur la plateforme YesWeHack ?

Les résultats sont intégrés aux autres services et peuvent être validés, reproduits et enrichis par l’équipe de triage, pour éviter les faux positifs.

L’automatisation remplace-t-elle les pentests humains chez YesWeHack ?

Non, l’éditeur maintient ses Pentests Continus pour les vulnérabilités complexes et présente l’automatisation comme un complément à l’expertise humaine.

Source

Auteur

Rédaction spécialisée dans la veille et l'analyse de l'actualité de l'intelligence artificielle, des puces IA, des robots, des agents IA et de la recherche.