OpenAI lance GPT-5.4-Cyber, une variante spécialisée de GPT-5.4, et élargit son programme Trusted Access for Cyber à de nouveaux paliers d'authentification. La société américaine opère une inflexion stratégique en réduisant les restrictions imposées aux défenseurs vérifiés plutôt qu'en limitant l'accès à ses modèles les plus puissants. Pour les RSSI européens, cette ouverture s'accompagne d'une contrainte structurelle incontournable. Les données traitées transitent par des serveurs soumis aux dispositions extraterritoriales du droit américain.
La puissance croissante des modèles d'IA sur les tâches cyber crée un problème d'équilibre pour les éditeurs. Les mêmes capacités, découverte de vulnérabilités, analyse de code, identification de failles, servent aussi bien les défenseurs que les attaquants. Les restrictions générales sur les requêtes à double usage ont produit un effet collatéral avéré. Les chercheurs en sécurité légitimes se heurtent à des refus qui ralentissent leur travail défensif, tandis que les acteurs malveillants contournent ces garde-fous par d'autres moyens.
OpenAI répond à ce dilemme par une logique de vérification d'identité plutôt que de restriction capacitaire. Le programme Trusted Access for Cyber, lancé en février 2026, se structure désormais en paliers progressifs, chacun débloquant un niveau de capacité supplémentaire selon le degré de vérification fourni par l'utilisateur ou l'organisation.
GPT-5.4-Cyber, conçu pour les workflows de sécurité avancés
GPT-5.4-Cyber est une variante de GPT-5.4 entraînée spécifiquement pour les usages défensifs. Le modèle présente un seuil de refus abaissé sur les tâches cyber sensibles, recherche de vulnérabilités, analyse de binaires, raisonnement sur des configurations d'attaque, et ouvre de nouvelles capacités pour les workflows défensifs avancés. OpenAI qualifie GPT-5.3-Codex de premier modèle classé « haute capacité cybersécurité » sous son Preparedness Framework, un cadre interne d'évaluation des risques qui conditionne le déploiement des modèles les plus puissants.
Des mécanismes de surveillance automatisés complètent le dispositif. Des classifieurs analysent le trafic entrant et reroutent les requêtes à risque élevé vers GPT-5.2, modèle moins capable sur le plan cyber. OpenAI s'engage à affiner ses politiques et classifieurs en fonction des retours des premiers participants, avec pour objectif de maintenir aussi faible que possible le nombre d'utilisateurs devant rejoindre le programme Trusted Access for Cyber.
Une vérification d'identité par paliers comme clé d'accès
L'accès à GPT-5.4-Cyber repose sur un système de vérification d'identité opéré par Persona, un prestataire américain spécialisé, qui traite une photo de pièce d'identité officielle. Les utilisateurs individuels peuvent s'auto-vérifier sur chatgpt.com/cyber. Les entreprises accèdent à un palier par défaut pour leurs équipes via leur représentant commercial OpenAI. Un programme sur invitation, réservé aux chercheurs et équipes nécessitant des capacités encore plus permissives, constitue le niveau supérieur. « Nous devons nous assurer que chaque équipe dispose des outils pour sécuriser ses systèmes », affirme Fouad Matin, chercheur cyber chez OpenAI.
OpenAI annonce également 10 millions de dollars de crédits API destinés aux équipes de cybersécurité via son Cybersecurity Grant Program. L'accès aux agences gouvernementales américaines n'est pas prévu à ce stade. La société indique mener des discussions et évaluer les demandes au cas par cas via ses processus internes de gouvernance. L'accès reste pour l'instant limité aux vendeurs de sécurité, organisations et chercheurs vérifiés.
Une approche qui tranche avec celle d'Anthropic
L'annonce intervient une semaine après le lancement de Claude Mythos par Anthropic (Project Glasswing), positionné sur le même terrain de la cybersécurité défensive avancée. Les deux éditeurs adoptent des philosophies distinctes. Anthropic a restreint l'accès de Mythos à une quarantaine d'organisations soigneusement sélectionnées. OpenAI mise sur une diffusion large, conditionnée par la vérification d'identité plutôt que par la sélection éditoriale, et revendique une posture de neutralité vis-à-vis du choix des bénéficiaires.
Ce positionnement s'explique en partie par le contexte concurrentiel que traverse OpenAI depuis le déploiement de GPT-5.0. Le sur-alignement post-entraînement de la famille GPT-5, intensification du RLHF, durcissement des filtres de contenu, multiplication des refus sur des requêtes légitimes, a généré une vague de résiliations et de migrations vers des modèles concurrents, dont Claude d'Anthropic. La posture d'« accès élargi sous vérification » sur le terrain cyber est aussi une réponse à cette érosion commerciale : OpenAI cherche à reconquérir les équipes sécurité qui avaient basculé vers des alternatives jugées moins contraignantes.
Des experts tempèrent toutefois l'enthousiasme. Certains soulignent que les vulnérabilités identifiées par les outils IA ne sont pas nécessairement inédites ou directement exploitables. La vérification d'identité comme mécanisme de gouvernance de l'accès aux capacités avancées constitue un modèle inédit, dont la capacité à résister en cas de tentatives de contournement organisées reste à démontrer. Pour les organisations européennes, l'adoption de GPT-5.4-Cyber pour des travaux sur des infrastructures critiques ou des bases de code sensibles impose une analyse préalable de l'exposition réglementaire au regard du RGPD et des obligations de NIS2.
