Podcast

Écoutez cet article en audio

L’automatisation à outrance n’a pas encore gagné la guerre du pentest. Selon le dernier état des lieux relayé par Cobalt, l’enthousiasme pour les tests d’intrusion entièrement autonomes s’est nettement refroidi : seuls 9 % des professionnels interrogés s’y disent encore favorables, contre 29 % un an plus tôt.

La raison tient en un mot : confiance. Les outils automatisés restent performants pour repérer des vulnérabilités connues, répétitives ou fondées sur des signatures. Mais dès qu’il s’agit de chaînes d’attaque plus fines, de logique applicative, de prompt injection ou d’abus de privilèges dans des environnements LLM, leurs angles morts deviennent coûteux. Cobalt indique ainsi que 78 % des répondants ont constaté des faux négatifs critiques avec des outils de scan automatisés.

Plus inquiétant encore, la part de vulnérabilités jugées élevées ou critiques grimpe fortement dans les environnements IA et LLM. Elle atteint 32 %, contre environ 12 % dans des environnements plus traditionnels. En clair, l’IA augmente la surface de risque au moment même où certains outils censés protéger les systèmes peinent à lire les nouveaux schémas d’attaque.

La conclusion qui s’impose dans le secteur est donc moins spectaculaire, mais plus crédible : l’avenir immédiat du pentest sera hybride. L’automate peut absorber le volume, cartographier l’existant et accélérer les vérifications de base ; l’humain reste indispensable pour interpréter, contextualiser et débusquer les failles créatives que les modèles ratent encore.

 

Source

Média : The Register

Titre d’origine : Infosec professionals sour on automated pentesting tools

https://www.theregister.com/security/2026/06/30/infosec-professionals-sour-on-automated-pentesting-tools/5264571