Data / IA
Claude Code Security fait trembler l’industrie cyber
Par Laurent Delattre, publié le 24 février 2026
Anthropic vient de lancer Claude Code Security, une extension de son outil star Claude Code dédiée à la détection de vulnérabilités logicielles. Résultat : les actions des géants de la cybersécurité ont plongé, le CEO de CrowdStrike est monté au créneau, et l’ensemble de l’écosystème cyber s’interroge sur l’avenir de la sécurité applicative.
Claude Code est devenu en moins d’un an le phénomène le plus marquant de l’écosystème développeur et de l’IA agentique. Lancé en preview début 2025 puis ouvert au grand public en mai, l’outil de codage agentique d’Anthropic génère aujourd’hui un revenu annualisé de 2,5 milliards de dollars. Les abonnements professionnels ont quadruplé depuis janvier 2026, et Anthropic estime que 4 % de l’ensemble des commits publics sur GitHub sont désormais produits par Claude Code. Un succès fulgurant, porté par une communauté de développeurs qui considèrent l’outil comme un véritable game-changer pour la productivité de toute l’ingénierie logicielle.
Cette semaine, Anthropic a pris tout le monde de court et plus particulièrement l’univers de la cybersécurité en annonçant une déclinaison « Cyber » de Claude Code ! Claude Code Security a provoqué une onde de choc bien au-delà de la sphère des développeurs et a fait l’effet d’une bombe dans tout l’écosystème cyber, déclenchant une chute brutale des valeurs boursières des éditeurs de sécurité et un débat passionné sur le rôle de l’IA dans la protection du code.
Ce que fait Claude Code Security (et ce qu’il ne fait pas)
Concrètement, Claude Code Security est une nouvelle capacité intégrée à Claude Code sur le web. Elle scanne des bases de code à la recherche de vulnérabilités et propose des correctifs ciblés soumis à la validation humaine. L’outil est actuellement disponible en « Research Preview » (preview pour recherche) limitée aux clients des abonnements Enterprise et Team, avec un accès prioritaire gratuit pour les mainteneurs de projets open source.
Ce qui distingue Claude Code Security des outils d’analyse statique traditionnels, c’est sa méthode. Les scanners classiques fonctionnent par reconnaissance de patterns connus : mots de passe exposés, chiffrement obsolète, failles répertoriées. Claude Code Security, lui, raisonne sur le code de la même manière qu’un chercheur en sécurité humain. Il comprend comment les composants interagissent, trace les flux de données à travers l’application et identifie des vulnérabilités complexes que les outils à base de règles ne détectent pas, comme les failles de logique métier ou les contrôles d’accès défaillants.
Chaque découverte passe ensuite par un processus de vérification en plusieurs étapes. Claude réexamine ses propres résultats, tente de les confirmer ou de les infirmer pour éliminer les faux positifs, puis attribue à chaque « découverte » un score de sévérité et un indice de confiance. Les résultats validés apparaissent dans un tableau de bord dédié où les équipes peuvent inspecter les correctifs suggérés et les approuver. Rien n’est appliqué sans validation humaine : l’humain reste maître de la décision finale.
En revanche, et c’est un point crucial, Claude Code Security ne teste pas le code en exécution ! C’est sa principale limite mais aussi la garantie de ne pas voir l’IA sortir des bornes ! Typiquement, l’outil ne peut pas envoyer de requêtes à travers une pile API, vérifier l’enchaînement des middlewares d’authentification, ni confirmer qu’une vulnérabilité est réellement exploitable en conditions réelles. Les failles de logique métier qui ne se manifestent qu’au runtime restent donc hors de son périmètre et reste la responsabilité des experts cyber humains.
Claude Code Security n’est pas non plus un remplacement des plateformes de sécurité complètes, mais un outil complémentaire, positionné très en amont dans le cycle de développement.
500 vulnérabilités zero-day : la démonstration de force
L’annonce de Claude Code Security s’appuie sur une démonstration spectaculaire. En utilisant l’outil et le modèle Claude Opus 4.6, l’équipe Frontier Red Team d’Anthropic a découvert et validé plus de 500 vulnérabilités de haute sévérité dans des bases de code open source en production, certaines présentes depuis des décennies malgré des années de revue par des experts et des millions d’heures de fuzzing automatisé !
Le cas le plus emblématique concerne la bibliothèque CGIF, dédiée au traitement des fichiers GIF. Claude a identifié un dépassement de tampon en raisonnant sur le fonctionnement interne de l’algorithme de compression LZW, une faille qu’un fuzzer traditionnel, même avec une couverture de code à 100 %, n’aurait pas détectée car elle nécessitait une compréhension conceptuelle de l’algorithme.
Autre exemple frappant : dans GhostScript, Claude a lu l’historique des commits Git pour identifier un correctif de sécurité, puis a cherché d’autres emplacements du code présentant la même vulnérabilité non corrigée. Un raisonnement typiquement humain, automatisé à l’échelle machine.
Anthropic précise travailler activement à la divulgation responsable de ces découvertes auprès des mainteneurs, et souligne que ces capacités défensives sont déployées en interne pour sécuriser ses propres systèmes.
La vision d’Anthropic : armer les défenseurs avant les attaquants
La philosophie d’Anthropic repose sur un constat limpide : si l’IA sait trouver des failles, les attaquants seront aussi intéressés et s’en serviront. Mieux vaut donc armer les défenseurs en premier. Pour y parvenir, la firme ne part pas de zéro. Elle capitalise sur plus d’un an de recherche en cybersécurité, entre participations à des compétitions de hacking Capture-the-Flag et partenariat avec le Pacific Northwest National Laboratory pour tester la défense d’infrastructures critiques par l’IA.
Reste une question épineuse : comment empêcher que l’outil lui-même ne serve des intentions malveillantes ? Anthropic a développé de nouvelles sondes internes capables de repérer les usages détournés de Claude dans le domaine cyber et, si nécessaire, de bloquer le trafic suspect en temps réel. Un dispositif qui, de l’aveu même de la firme, générera des frictions pour les chercheurs en sécurité légitimes. Anthropic promet de travailler avec la communauté pour trouver le bon équilibre.
Pourquoi l’écosystème cyber est en émoi
Entre les démos spectaculaires et les craintes évoquées par l’éditeur, l’annonce ne pouvait laisser sans réagir Wall Street. L’impact boursier a été immédiat et brutal. Le jour de l’annonce, CrowdStrike a perdu près de 8 % de sa valeur, Cloudflare a subi une chute comparable, et l’ensemble des valeurs cyber a enregistré un recul moyen supérieur à 5 %. La correction s’est poursuivie portant les pertes de CrowdStrike à près de 20 % en quelques jours.
George Kurtz, CEO et cofondateur de CrowdStrike, est monté au créneau peu après l’annonce. Avec un sens certain de la mise en scène, il a demandé directement à Claude de construire un remplaçant de la plateforme Falcon. La réponse de l’IA ne s’est pas fait attendre : impossible, CrowdStrike est une infrastructure massive construite par des milliers d’ingénieurs sur plus d’une décennie, avec des capacités de monitoring en temps réel au niveau kernel sur des millions de terminaux. Sur LinkedIn, George Kurtz a résumé sa position de manière percutante : « L’innovation IA est inspirante. Mais restons ancrés dans la réalité : une capacité IA qui scanne du code ne remplace pas la plateforme Falcon, ni votre programme de sécurité. La sécurité exige une plateforme indépendante, éprouvée au combat, conçue pour stopper les brèches. »
Nikesh Arora, CEO de Palo Alto Networks, s’est dit de son côté « confus » que le marché perçoive l’IA comme une menace pour la cybersécurité, estimant au contraire que ses clients demandent davantage d’IA pour renforcer leurs dispositifs.
Du côté des experts en sécurité applicative, le ton est plus nuancé. Isaac Evans, CEO de Semgrep, spécialiste de la sécurité orientée développeurs, se dit enthousiaste mais soulève un point important : aucun des acteurs des modèles fondationnels, que ce soit Anthropic, Google avec Big Sleep ou OpenAI avec Aardvark, n’a publié de statistiques détaillées sur le taux de faux positifs ni sur le coût réel de ces découvertes.
Finalement, c’est probablement Glenn Weinstein, CEO de Cloudsmith, spécialiste de la sécurité de la supply chain logicielle, qui résume la position majoritaire parmi les professionnels du secteur : Claude Code Security est un outil utile parmi d’autres dans un arsenal défensif beaucoup plus large.
Un signal fort, pas une révolution (pour l’instant)
En définitive, l’annonce de Claude Code Security valide une tendance de fond : l’IA s’impose dans les workflows de cybersécurité. Amazon, Microsoft et Google disposent déjà d’outils similaires en interne. Ce que fait Anthropic, c’est rendre accessibles à grande échelle des capacités de raisonnement sur le code jusqu’ici réservées aux meilleurs chercheurs en sécurité. Mais l’outil ne remplace ni l’EDR, ni le XDR, ni la détection en temps réel sur les endpoints, ni la gouvernance des identités, ni l’ensemble des briques qui composent une stratégie de cybersécurité d’entreprise.
Claude Code Security est, pour Anthropic, un premier pas vers l’élévation du niveau de sécurité de base de l’ensemble de l’industrie logicielle. L’outil doit permettre à l’écosystème cyber et l’écosystème de développeurs de repérer et corriger les failles dès la conception du code et bien avant que les cyberattaquants ne puissent en profiter. Un objectif ambitieux, dont la concrétisation dépendra de la capacité de l’outil à tenir ses promesses à l’échelle, en conditions réelles, avec des taux de faux positifs maîtrisés et un coût accessible. La partie ne fait que commencer.
À LIRE AUSSI :
À LIRE AUSSI :
