YesWeHack lance un pentest piloté par IA agentique, capable de tester des actifs exposés et de livrer des résultats dans la journée.

L’IA agentique désigne des systèmes capables d’agir par étapes, avec un objectif, des outils et une part d’autonomie opérationnelle. Dans le cas de YesWeHack, ces agents ne se contentent pas de signaler une faiblesse théorique. Ils examinent des actifs accessibles, cherchent des vulnérabilités, évaluent leur exploitabilité et reconstituent des chemins d’attaque. Cette approche traduit une évolution majeure de la sécurité offensive : le test d’intrusion devient plus continu, plus rapide et plus industrialisé. L’humain reste toutefois nécessaire pour valider les alertes, traiter les cas complexes et guider la remédiation.

Une sécurité offensive à vitesse machine

YesWeHack a annoncé, le 25 juin 2026, le lancement de son Pentest Agentique, une offre qui mobilise des agents d’intelligence artificielle autonomes à la demande. L’objectif affiché est clair : tester les actifs exposés d’une organisation et fournir des résultats le jour même, à mesure que les vérifications avancent dans la plateforme.

Le terme IA agentique mérite d’être clarifié, car il est central dans cette annonce. Il ne s’agit pas d’une intelligence artificielle argentique, liée à l’image ou à la photographie, mais d’une IA agentique, c’est-à-dire orientée vers l’action. Un agent reçoit un but, suit des consignes, utilise des outils, observe les résultats, ajuste sa démarche et poursuit ses tests dans un cadre défini. Dans un contexte cyber, cela signifie qu’il peut enchaîner reconnaissance, détection, vérification et qualification d’une faille, sans attendre une instruction humaine à chaque étape.

La plateforme française applique cette logique aux applications web et mobiles, aux API et aux autres actifs visibles depuis Internet. Les tests peuvent être menés en boîte noire, grise ou blanche. En boîte noire, l’agent agit sans information interne. En boîte grise, il dispose d’éléments partiels. En boîte blanche, il travaille avec une connaissance plus complète du système. Ces trois modes couvrent différents niveaux de réalisme et de profondeur, selon les objectifs de sécurité.

YesWeHack indique que son offre cible les vulnérabilités à fort impact, dont le Top 10 de l’OWASP, ainsi qu’un ensemble plus large de vecteurs d’attaque. Les agents s’appuient sur les modèles les plus avancés disponibles pour les tests offensifs, y compris des modèles à poids ouverts. Cette précision compte pour les organisations soumises à des contraintes de souveraineté, d’hébergement ou de gouvernance. L’éditeur évoque ainsi la possibilité de recourir à des modèles développés ou hébergés en Union européenne ou en Asie-Pacifique, selon les besoins.

Cette automatisation répond à une pression croissante. Les attaquants utilisent eux aussi l’intelligence artificielle pour accélérer leurs recherches, adapter leurs scénarios et réduire le délai entre la divulgation d’une faille et son exploitation. La sécurité offensive suit donc le même mouvement que la défense : passer d’un rythme humain, souvent périodique, à un rythme machine, plus proche de l’exposition réelle.

Un complément, pas un remplacement de l’expert

Le Pentest Agentique fonctionne dans un cadre de règles fixé par YesWeHack, afin de préserver la confidentialité, l’intégrité et la disponibilité des systèmes testés. Cette limite est essentielle. Un test offensif automatisé doit produire du renseignement exploitable sans déstabiliser les environnements visés. La promesse porte sur la vitesse, la couverture et la capacité de passage à l’échelle, pas sur une liberté totale d’action.

L’éditeur maintient d’ailleurs ses Pentests Continus en parallèle. Cette distinction éclaire le positionnement du produit. Les agents traitent le volume, accélèrent le criblage et priorisent les failles exploitables. Les experts humains conservent leur rôle sur les vulnérabilités difficiles, les logiques métier subtiles et les chaînes d’exploitation sophistiquées. Autrement dit, l’IA agentique peut élargir le champ de détection, sans absorber toute la finesse de l’analyse offensive.

Les résultats sont intégrés dans la plateforme YesWeHack, aux côtés des autres services de l’éditeur : programmes de prime aux bogues, Pentests Continus, politiques de divulgation des vulnérabilités et points de contrôle liés aux CVE activement exploitées. Les équipes de sécurité peuvent aussi solliciter le triage de YesWeHack, disponible en continu, pour vérifier, reproduire et enrichir les rapports. L’éditeur présente cette validation humaine comme le moyen d’éviter les faux positifs.

Guillaume Vassault-Houlière, PDG et cofondateur de YesWeHack, inscrit ce lancement dans une stratégie élargie. Selon lui, « Le Pentest Agentique est plus rapide et plus simple à mettre en place et à exécuter que les pentests traditionnels menés par des humains, tout en offrant une couverture plus large, la capacité de passer à l’échelle et des coûts réduits« . Il ajoute sur Linkedin qu’une stratégie offensive doit rester diversifiée, avec les programmes de prime aux bogues et l’expertise de la communauté comme piliers d’une posture proactive.

Pour un RSSI, l’enjeu dépasse l’ajout d’un outil. Un agent qui classe les vulnérabilités selon leur exploitabilité réelle participe à la priorisation du risque. Cette délégation change le pilotage opérationnel : la machine produit une lecture du danger, que l’équipe doit comprendre, contester ou transformer en plan d’action. Le responsable sécurité gagne en fréquence de contrôle, avec une visibilité plus rapide sur les actifs exposés, mais il doit aussi surveiller la dépendance à une plateforme et à ses modèles.

Le modèle économique évolue lui aussi. Le pentest n’est plus seulement une mission ponctuelle, encadrée dans le temps, facturée comme une prestation isolée. Il devient une fonction permanente de gestion de l’exposition. Cette continuité apporte une réponse aux équipes saturées par l’élargissement de leur surface d’attaque. Elle ne remplace toutefois pas l’audit indépendant, encore requis dans plusieurs démarches de conformité.