Geeek.org • Blog Geek & High Tech 100% Indépendant
Cybersécurité défensive assistée par l'IA générative : Claude Code et GitHub Copilot CLI en pratique
Mis en avant Sécurité informatique Developpement GenAI

Cybersécurité défensive assistée par l'IA générative : Claude Code et GitHub Copilot CLI en pratique

par Ludovic Toinel 12 minutes de lecture

Récemment, j'ai eu le plaisir d'intervenir lors d'un meetup co-organisé par Generative AI Nantes et Nantes@Hack. J'y ai présenté ma vision de l'utilisation des agents de codage (GitHub Copilot, Claude Code) appliqués à la cybersécurité défensive.

Passionné par cette thématique depuis de nombreuses années sans pour autant m'en revendiquer expert, je vous propose dans cet article une synthèse de mes réflexions et du contenu de cette présentation. Que vous soyez débutant ou professionnel aguerri de la Cyber, j'espère que ce retour d'expérience vous donnera des pistes concrètes pour intégrer les Coding Agents dans votre quotidien.

Le constat : pourquoi la cybersécurité défensive ne peut plus attendre

68 % des brèches impliquent un facteur humain non malveillant.[1] 194 jours en moyenne pour détecter une compromission.[2] 4,4 millions de dollars de coût moyen par incident.[3] Et une explosion de +180 % en glissement annuel de l'exploitation de vulnérabilités comme vecteur d'attaque initial.[4]

Ces chiffres issus des rapports Verizon DBIR 2024 et IBM Cost of a Data Breach (éditions 2024 et 2025) dressent un tableau brutal. Le site bonjourlafuite.eu.org que je vous avais présenté dans un précédent article recense par ailleurs les fuites de données françaises en temps réel. Pourtant, la majorité des organisations déploient régulièrement du code vulnérable en production sans même en avoir conscience. Ce n'est pas une question de mauvaise volonté. C'est une question de capacité de contrôle.

Le cycle de développement est devenu trop rapide avec les méthodes agiles. Les équipes souvent trop sollicitées ne possèdent pas tout le temps des compétences suffisantes en cybersécurité pour assurer un contôle continue de leurs assets.

Les outils de sécurité sont souvent cantonnés à des étapes finales de validation, déconnectées du quotidien des développeurs. L'enjeu n'est donc pas l'erreur individuelle du développeur, c'est l'absence de contrôle continu intégré au cycle de développement qu'il faut corriger.

L'IA générative aggrave la situation du côté offensif

En France, les affaires récentes le démontrent de façon spectaculaire. En octobre 2024, un lycéen de 17 ans a exfiltré les données de 19,2 millions d'abonnés Free, dont 5,11 millions incluant un IBAN.[5]

En avril 2026, un mineur de 15 ans a exploité une faille IDOR sur le portail de l'ANTS (Agence Nationale des Titres Sécurisés), exposant entre 12 et 19 millions de profils contenant l'état civil complet de citoyens français.[6]

Dans les deux cas, les techniques utilisées étaient d'une complexité relativement faible, accessibles à des profils sans formation avancée en sécurité. L'ANSSI confirme cette tendance dans son rapport de février 2026 : l'IA générative est désormais utilisée par un large spectre d'acteurs offensifs, des groupes étatiques aux script kiddies.[7]

Pour les attaquants les plus avancés, elle représente un outil de passage à l'échelle. Pour les moins expérimentés, elle sert d'outil d'apprentissage accéléré qui abaisse drastiquement la barrière d'entrée.

L'IA générative est donc déjà une arme offensive entre les mains d'attaquants de plus en plus jeunes et de moins en moins qualifiés. Elle doit aussi devenir une arme défensive. C'est précisément là qu'intervient cette présentation. Non pas pour remplacer les experts sécurité, mais pour instaurer une vigilance permanente dès la première ligne de code.

Six piliers pour une défense continue

Cet article est structurée autour de six domaines clés de la cybersécurité défensive. Chaque pilier est illustré avec des prompts directement utilisables en production, et une comparaison des forces respectives de Claude Code et GitHub Copilot CLI.

Les six piliers utilisés dans cet article sont :

  1. L'audit de code et SAST
  2. Le DevSecOps et les chaînes CI/CD
  3. La détection et le SIEM
  4. La réponse à incident et la forensique
  5. La Threat Intelligence
  6. Le durcissement et la conformité

Pilier 01 : Audit de code et SAST

L'audit de code statique est le premier rempart. L'objectif est d'analyser le code existant pour identifier vulnérabilités, secrets et CVE (failles de sécurité répertoriées publiquement) avant leur exploitation. Les domaines couverts incluent l'OWASP Top 10[8], la détection de secrets hardcodés (mots de passe ou clés API laissés en clair dans le code), les CVE sur les dépendances, la cryptographie obsolète et la génération de rapports SARIF.[9]

Avec Claude Code, un seul prompt peut déclencher un audit multi-fichiers avec correctif intégré :

$ claude "Trace le flux des entrées utilisateur depuis les contrôleurs Express
jusqu'aux requêtes SQL dans src/. Pour chaque injection potentielle,
génère le fix avec requête paramétrée et le test unitaire associé."

Claude Code analyse le contexte complet du projet : il suit le flux de données à travers plusieurs fichiers, identifie le point d'injection et produit à la fois le correctif et son test en une seule passe.

Avec GitHub Copilot CLI, la force est dans l'accès direct à l'écosystème GitHub :

$ copilot -p "Liste les CVE critiques (CVSS>=9) de mon package-lock.json,
vérifie si un exploit public existe pour chacune,
et ouvre une issue GitHub avec le plan de remédiation."

Copilot CLI bénéficie ici de son intégration native à GitHub : accès direct aux PR et aux issues via MCP GitHub (Model Context Protocol : standard qui permet à un agent IA de piloter des outils externes), avec le choix du modèle sous-jacent (Claude Sonnet 4.5 ou GPT-5).

Pilier 02 : DevSecOps et chaînes CI/CD

Le DevSecOps, c'est l'ambition d'intégrer la sécurité à chaque étape du cycle de développement. La revue de PR (Pull Request, c'est-à-dire la proposition de modification du code soumise à validation), le pipeline CI/CD (chaîne d'automatisation qui compile, teste et déploie le code), la gestion du registre de conteneurs et l'exécution en production sont tous concernés. Les domaines couverts incluent les gates CI/CD (points de blocage automatiques), les SBOM (Software Bill of Materials : inventaire exhaustif des composants d'une application), les hooks pre-commit et la signature des artefacts.

Avec Claude Code :

$ claude "Génère un workflow GitHub Actions complet : Semgrep sur le code,
Trivy sur l'image Docker, gate qui bloque le merge si CVSS>=7.
Ajoute un pre-commit hook gitleaks pour empêcher tout secret d'atteindre le repo."

La différence notable : Claude Code génère le YAML complet d'un pipeline agentique multi-étapes, avec une compréhension du contexte du repo entier. Plus besoin d'assembler les blocs manuellement.

Avec GitHub Copilot CLI :

$ copilot -p "Active Dependabot avec alertes auto-merge pour les patchs, configure CodeQL en mode security-extended, et active push protection sur ce repo pour bloquer les secrets."

L'avantage de Copilot CLI ici est son intégration GitHub native. Actions, Dependabot, CodeQL et push protection sont pilotés directement via le MCP Github, sans friction entre l'outil IA et la plateforme de développement.

Pilier 03 : Détection et SIEM

La détection en temps réel est le cœur de toute stratégie SOC (Security Operations Center : cellule chargée de surveiller et répondre aux incidents de sécurité). Ce pilier couvre l'analyse des journaux système, l'élaboration de règles de détection (YARA, Sigma, Snort) et la chasse aux menaces (threat hunting). Les plateformes visées vont de Splunk à ELK en passant par les outils open source.

Avec Claude Code :

$ claude "Analyse les 24 dernières heures de auth.log.
Identifie les patterns de bruteforce SSH (>10 tentatives/IP/min), génère une règle Sigma de détection et la requête Splunk SPL équivalente."

Claude Code se distingue par sa compréhension des TTP d'attaque (Tactics, Techniques and Procedures : la façon dont les attaquants opèrent concrètement). Il ne génère pas simplement des règles syntaxiquement correctes, il produit des règles de détection de qualité production, calibrées pour réduire les faux positifs.

Avec GitHub Copilot CLI :

$ copilot -p "Parse eve.json (Suricata), extrais les IPs avec plus de 50 alertes en 1h, enrichis-les via whois, et crée une issue GitHub avec la liste triée par sévérité." --allow-tool='shell(jq,whois)'

Copilot CLI opère ici dans un shell sandboxé via le paramètre --allow-tool. Il peut créer des issues GitHub directement depuis l'analyse de logs, ce qui accélère le workflow de qualification d'incident.

Pilier 04 : Réponse à incident et forensique

Quand l'incident survient malgré tout, la réactivité est critique. Ce pilier couvre le triage des alertes, l'analyse de mémoire, la rétro-ingénierie de code malveillant et la reconstitution de chronologie d'incident pour produire des rapports DFIR (Digital Forensics and Incident Response : investigation numérique et gestion de crise) exploitables.

Avec Claude Code :

$ claude "Ce PowerShell est obfusqué en base64 imbriqué sur 3 couches.
Décode chaque couche, explique l'intention de chaque étape, identifie le C2 contacté et génère les IOC (IP, domaine, hash) au format STIX 2.1."

C'est sur ce pilier que Claude Code brille particulièrement. Ses capacités de rétro-ingénierie, d'analyse comportementale et de narration claire d'un incident complexe en font un outil précieux, surtout pour les équipes qui ne sont pas entièrement spécialisées en forensique.

Avec GitHub Copilot CLI :

$ copilot -p "Lance volatility3 sur memdump.raw : pslist, netscan, malfind.
Corrèle les processus suspects avec les connexions réseau, et génère la timeline au format plaso." --allow-tool='shell(vol3,plaso)'

Copilot CLI excelle ici dans le pilotage des outils DFIR établis. La combinaison du paramètre --allow-tool avec volatility, tshark et plaso permet d'exécuter des analyses dans un environnement contrôlé, ce qui limite les risques lors de l'analyse de code potentiellement malveillant.

Pilier 05 : Threat Intelligence

La Cyber Threat Intelligence permet d'anticiper plutôt que de subir. Ce pilier couvre le mapping MITRE ATT&CK[10], l'enrichissement des IOC (Indicators of Compromise : traces laissées par une attaque, comme une adresse IP ou un hash de fichier malveillant), le profilage des groupes APT (Advanced Persistent Threat : groupes d'attaquants organisés, souvent étatiques) et l'évaluation de l'exploitabilité des CVE dans votre stack spécifique. Pour la reconnaissance passive, des outils comme Shodan ou le Certificate Transparency permettent d'identifier votre surface d'exposition sans envoyer un seul paquet.

Avec Claude Code :

$ claude "Analyse CVE-2024-3094 (backdoor xz-utils). Mappe les TTP
sur MITRE ATT&CK, évalue l'exploitabilité dans notre stack Debian 12, et rédige une note d'impact pour le RSSI avec les actions de remédiation."

Claude Code produit ici une synthèse CTI structurée avec mapping ATT&CK automatique et évaluation d'impact métier contextualisée. C'est particulièrement utile pour les équipes qui doivent justifier une priorité de remédiation auprès d'un RSSI ou d'une direction.

Avec GitHub Copilot CLI :

$ copilot -p "Interroge l'API NVD pour les CVE critiques publiées cette semaine sur openssl et nginx. Pour chaque CVE, vérifie sur Shodan si nous avons des instances exposées, et crée une issue GitHub par CVE avec le score EPSS." --allow-tool='shell(curl)'

La valeur ajoutée de Copilot CLI sur ce pilier est sa capacité à créer directement des issues et PR GitHub à partir des findings CTI. Le cycle entre la découverte d'une menace et son traitement dans le backlog de l'équipe de développement est considérablement réduit.

Concernant ce pilier, j'ai développé un outil open source pour automatiser le reporting IP sur AbuseIPDB via Cloudflare : github.com/ltoinel/Cloudflare-Ipabusedb-Report.

Pour vérifier votre propre exposition aux attaques via OSINT, des outils comme Epieos permettent de tester en quelques clics à partir d'un email ou d'un numéro de téléphone.

Pilier 06 : Durcissement et conformité

Ce pilier concerne le durcissement de l'infrastructure (IaC, Cloud, Kubernetes) et la démonstration de conformité réglementaire (CIS Benchmark[11], RGPD article 32[12], NIS2[13], SOC 2). L'IaC (Infrastructure as Code) désigne le fait de décrire et provisionner son infrastructure via des fichiers de configuration versionnés, comme Terraform ou Ansible. C'est ici que la policy-as-code prend tout son sens.

Avec Claude Code :

$ claude "Audite mes fichiers Terraform AWS contre CIS Benchmark v3.
Pour chaque non-conformité, génère la policy OPA Rego qui bloque le déploiement et un commentaire expliquant le risque métier en termes compréhensibles par un non-technicien."

Claude Code ne produit pas seulement des constats. Il génère des policies-as-code (OPA, Kyverno) et des matrices de conformité directement actionnables par les équipes DevOps. C'est un gain de temps considérable par rapport à une démarche manuelle.

Avec GitHub Copilot CLI :

$ copilot -p "Lance kube-bench sur le cluster staging.
Affiche les checks CIS en échec sur RBAC et NetworkPolicies, et propose le patch YAML pour chacun." --allow-tool='shell(kube-bench,kubectl)'

Copilot CLI pilote ici les scanners CIS et IaC établis (kube-bench, checkov, hadolint, trivy) depuis l'interface CLI, avec une exécution sandboxée et maîtrisée. Si vous travaillez avec Docker, ma check-list des 10 questions à se poser avant de démarrer un projet conteneurisé reste un bon complément à ces audits automatisés.

Les skills Claude Code à connaître pour la sécurité

Pour un usage avancé, Claude Code supporte des skills spécialisés : des packages de compétences préconfigurés pour des domaines précis.[14] Les plus pertinents en cybersécurité sont les suivants.

Skill Auteur Focus
claude-code-security-review Anthropic (officiel) Revue de sécurité automatique sur chaque PR, intégration GitHub Actions native
skills Trail of Bits Marketplace sécurité : SAST CodeQL/Semgrep, variant analysis, audit de code, smart contracts
skills-curated Trail of Bits Sous-ensemble vérifié et approuvé par Trail of Bits, point de départ recommandé
claude-cybersecurity AgriciDaniel 8 agents spécialisés en parallèle : vulnérabilités, secrets, IaC, threat intel, OWASP 2025, CWE Top 25, 11 langages, zéro configuration
security-skills-claude-code Phoenix Security CTI sur 595+ sources, génération de règles SAST (30+ langages), STRIDE, audit conformité
claude-code-owasp agamm OWASP Top 10:2025, ASVS 5.0, sécurité IA agentique (2026), 20+ langages
secskills trilwu Sécurité offensive : 16 skills pentest + 6 agents (web, cloud, mobile, Active Directory)
awesome-claude-skills-security Eyadkelleh SecLists intégré, payloads, CTF, bug bounty

Ces skills permettent de spécialiser Claude Code bien au-delà de son niveau de base. Le point de départ recommandé pour une équipe défensive est la combinaison claude-code-security-review (officiel Anthropic, sans configuration) + trailofbits/skills-curated (vérifié par des experts).

Limites et précautions d'usage

L'enthousiasme pour ces outils ne doit pas masquer leurs limites réelles. La mise en production d'une approche IA-augmentée en cybersécurité exige gouvernance, contrôles et formation continue, bien au-delà de la démonstration technique.

Les risques à éviter :

  • Accorder une confiance aveugle au code généré. L'IA peut se tromper, produire des faux positifs ou manquer des vulnérabilités contextuelles.
  • Substituer ces outils à un audit ou pentest expert.
  • Négliger l'analyse des faux positifs, sous peine de bloquer des déploiements légitimes.
  • Présumer que l'IA maîtrise le contexte métier, car la logique applicative spécifique à un domaine reste opaque pour le modèle.
  • Déployer un correctif sans revue humaine, surtout pour les composants critiques.
  • Transmettre des données sensibles aux agents sans anonymisation préalable.

Les bonnes pratiques à adopter :

  • Positionner l'IA comme premier niveau de contrôle, pas comme seul ni dernier filet.
  • La combiner avec des outils établis comme Semgrep, Trivy ou Snyk.
  • Former les équipes aux pratiques de prompting orientées sécurité, car la qualité du prompt détermine la qualité du résultat.
  • Si vous déployez Claude Code en entreprise, pensez aussi à maîtriser vos coûts de tokens.
  • Maintenir une revue humaine sur les correctifs critiques.
  • Définir un seuil de blocage CI/CD explicite, par exemple CVSS supérieur à 7.
  • Tracer les prompts pour la conformité réglementaire, surtout en contexte NIS2 ou RGPD.
  • Pour approfondir vos compétences en pentest et comprendre comment les attaquants opèrent, les 5 bibles du pentesting restent une référence incontournable.

Conclusion

L'IA générative ne révolutionne pas la cybersécurité défensive de façon spectaculaire du jour au lendemain. Ce qu'elle fait est plus fondamental : elle déplace la sécurité d'un contrôle final vers un accompagnement continu intégré au cycle de développement.

Au-delà de la revue de code, l'architecture doit intégrer les principes de Security by Design. La protection logicielle est vaine si l'infrastructure d'hébergement présente des vulnérabilités critiques : les attaquants privilégieront toujours le chemin de moindre résistance

Les six piliers présentés ici (SAST, DevSecOps, Détection, Forensique, Threat Intelligence, Durcissement) constituent ensemble un dispositif de défense en profondeur où l'IA joue le rôle d'assistant permanent. Disponible en continu, capable de traiter des volumes inaccessibles à une équipe humaine seule.

L'IA générative ne se substitue pas à l'expertise sécurité. Elle apporte aux équipes de développement une vigilance continue, à condition d'être déployée avec discernement, gouvernance et formation. Si vous débutez en cybersécurité, HackTheBox Academy propose 20 modules gratuits pour acquérir les fondamentaux avant de passer aux outils IA.

J'espère que cet article vous sera utile, n'hésitez pas à passer sur le serveur Discord Geeek pour discuter Cybersécurité. Ce serveur est ouvert à tous les lecteurs.

Sources

  1. Verizon Data Breach Investigations Report 2024. "68% of breaches involved the human element." verizon.com/business/resources/reports/dbir/ ↩︎

  2. IBM Cost of a Data Breach 2024. Délai moyen d'identification d'une compromission (Mean Time To Identify). ibm.com/reports/data-breach ↩︎

  3. IBM Cost of a Data Breach 2025. Coût moyen global d'un data breach, toutes industries confondues. ibm.com/reports/data-breach ↩︎

  4. Verizon Data Breach Investigations Report 2024. Augmentation de l'exploitation de vulnérabilités comme vecteur d'attaque initial. verizon.com/business/resources/reports/dbir/ ↩︎

  5. Piratage massif de Free. Un mineur de 17 ans mis en examen pour l'exfiltration des données de 19,2 millions d'abonnés Free, dont 5,11 millions incluant un IBAN, entre le 8 et le 21 octobre 2024. franceinfo.fr ↩︎

  6. Piratage de l'ANTS. Un mineur de 15 ans a exploité une faille IDOR sur le portail de l'Agence Nationale des Titres Sécurisés le 13 avril 2026, exposant entre 12 et 19 millions de profils. projetarcadie.com ↩︎

  7. ANSSI / CERT-FR. « L'IA générative face aux attaques informatiques, synthèse de la menace en 2025 ». Rapport publié le 4 février 2026. cert.ssi.gouv.fr ↩︎

  8. OWASP Top 10. Liste des dix risques de sécurité les plus critiques pour les applications web, mise à jour régulièrement. owasp.org/www-project-top-ten/ ↩︎

  9. SARIF (Static Analysis Results Interchange Format). Format standard Microsoft/OASIS pour l'échange de résultats d'analyse statique. sarifweb.azurewebsites.net ↩︎

  10. MITRE ATT&CK. Base de connaissance des tactiques, techniques et procédures (TTP) utilisées par les attaquants, maintenue par MITRE. attack.mitre.org ↩︎

  11. CIS Benchmarks. Référentiels de configuration sécurisée publiés par le Center for Internet Security. cisecurity.org/cis-benchmarks/ ↩︎

  12. RGPD Article 32. Obligation de mise en œuvre de mesures techniques et organisationnelles appropriées pour garantir la sécurité des données personnelles. eur-lex.europa.eu ↩︎

  13. Directive NIS2. Directive européenne 2022/2555 sur la sécurité des réseaux et des systèmes d'information, entrée en vigueur en octobre 2024. digital-strategy.ec.europa.eu ↩︎

  14. Claude Code Skills. Les skills sont des répertoires tiers publiés sur GitHub par des éditeurs spécialisés (Trail of Bits, Snyk, etc.) et référencés dans la documentation Claude Code. Chaque skill s'installe via claude install <url-du-repo>. docs.anthropic.com/claude-code ↩︎

Partager cet article
Ludovic Toinel

Ludovic Toinel

Geeek.org, c'est 21 ans de tech racontée par un praticien, pas un journaliste. Je teste, je démonte, j'écris ce que j'ai vraiment appris sur l'IA, la cybersécurité, le dev et les réseaux. 20 000 lecteurs RSS me font confiance.
Vous êtes correctement abonné à Geeek.org
Bienvenue ! Vous êtes correctement connecté.
Parfait ! Vous êtes correctement inscrit.
Votre lien a expiré
Vérifiez vos emails et utiliser le lien magique pour vous connecter à ce site