30 M$, contrat fédéral, IA Wraithwatch déployée dans 10 agences US, ce que cette défense doit affronter face aux hackers

30 millions de dollars. C’est le chèque que Wraithwatch vient d’arracher pour déployer une défense cybernétique pilotée par intelligence artificielle dans plusieurs agences gouvernementales américaines. Pas un POC dans un coin, pas une démo pour faire joli. Un vrai déploiement, sur des environnements à mission critique, là où une panne ou une fuite ne se règle pas avec un communiqué.

Le produit vendu est clair sur le papier: une plateforme dite « agentic », avec des agents IA qui modélisent en continu les réseaux, calculent des chemins d’attaque en temps réel, puis proposent et déclenchent des mesures de mitigation à la vitesse machine. L’idée, c’est de repérer et neutraliser la menace avant qu’elle ne devienne un incident. Sur le terrain, le truc peut être redoutable. Sauf que dans l’État fédéral, rien n’est jamais simple.

Pourquoi Washington mise sur une cyberdéfense « agentic »

Les agences fédérales vivent avec une équation ingrate: des systèmes énormes, hétérogènes, parfois vieillissants, et des adversaires qui industrialisent l’attaque. Dans ce contexte, l’approche « agentic » vend un réflexe de survie. Tu ne demandes plus à une équipe de tout voir, tout corréler, tout prioriser. Tu délègues une partie du tri et de la réaction à des agents IA qui surveillent, chassent, recoupent et remontent des actions concrètes.

Wraithwatch met en avant une mécanique qui parle aux décideurs: modéliser l’environnement en continu, calculer les attack paths, puis produire des plans de remédiation actionnables. Ça ressemble à une cartographie vivante du risque, pas à un tableau de bord figé. Un ancien RSSI croisé dans un couloir, appelons-le Marc, résume le fantasme: « Si ton système te dit quelle chaîne d’attaque est la plus probable et quoi corriger d’abord, tu gagnes des jours. » Dans le public, des jours, c’est parfois trop tard.

Le point intéressant, c’est la promesse de vitesse. Les attaques « augmentées » par IA, c’est le nouveau bruit de fond: phishing plus crédible, reconnaissance accélérée, exploitation plus opportuniste. Du coup, la défense cherche la même chose en face: des boucles de détection et de réaction qui tournent sans attendre la réunion du matin. Wraithwatch parle d’agents qui « swarm », qui chassent en meute dans les données de sécurité. Dit comme ça, c’est presque militaire. Et ce n’est pas un hasard.

Le revers de la médaille, c’est le risque d’automatiser trop vite. Une défense qui agit « à la vitesse machine », c’est séduisant, sauf quand elle coupe un flux critique ou qu’elle bloque un service au mauvais moment. Dans une agence fédérale, tu n’as pas le droit à l’à-peu-près. Donc la vraie question n’est pas seulement « est-ce que ça détecte? », mais « est-ce que ça agit de façon contrôlable, traçable, et acceptable politiquement? ». Et là, les promesses marketing se frottent au réel.

Qui est Wraithwatch, et pourquoi ce pedigree compte

Wraithwatch est une boîte jeune, fondée en 2023, basée à Austin, Texas. Sur le papier, c’est un acteur de plus dans le grand embouteillage de la cybersécurité à base d’IA. Sauf que son récit de fondation est calibré pour le fédéral: des vétérans passés par JSOC, Palantir, SpaceX et Anduril. Tu peux trouver ça cliché. Mais dans les achats publics américains, ce genre de CV sert de passeport, surtout quand il faut convaincre que tu comprends les contraintes « national security ».

Ce pedigree raconte aussi une culture produit. JSOC, c’est l’obsession de l’opérationnel et du temps court. Palantir, c’est l’art de faire parler des systèmes de données hétérogènes sans s’écrouler. SpaceX, c’est l’ingénierie qui itère vite. Anduril, c’est l’autonomie appliquée à la défense. Mélange tout ça, tu obtiens une entreprise qui vend une cyberdéfense autonome, avec un discours de terrain. Marc, encore lui, me glisse: « Quand tu vois Anduril sur un CV, tu sais que la boîte va parler ‘capteurs’, ‘boucles’, ‘autonomie’. »

Wraithwatch explique utiliser des algorithmes évolutionnaires pour créer des défenses auto-adaptatives. Concrètement, l’idée est de faire évoluer les stratégies de défense au rythme des menaces, plutôt que de patcher à la main des règles statiques. Ça colle avec l’argument central: l’attaque bouge, donc la défense doit bouger aussi. Là où beaucoup d’outils se contentent d’alerter, eux veulent aller vers la recommandation, puis la mitigation.

Mais un bon pedigree ne remplace pas la preuve en production. Les environnements fédéraux, c’est des réseaux cloisonnés, des exigences de conformité, des chaînes de validation, des équipes internes qui n’aiment pas qu’un prestataire « pousse des boutons » à leur place. La boîte dit servir aussi des clients Fortune 500, ce qui rassure sur la capacité à gérer du gros. Sauf que le gouvernement, c’est un autre sport. Les plannings, les accès, les audits, la paperasse. Le contrat à 30 millions, c’est un ticket d’entrée, pas une ligne d’arrivée.

Ce que la plateforme promet de faire, concrètement

Le cur du dispositif, c’est un système autonome qui construit une sorte de jumeau numérique de l’environnement. Pas juste un inventaire d’actifs, mais une modélisation qui se met à jour, qui comprend les dépendances, les chemins possibles, les points faibles exploitables. À partir de là, la plateforme calcule des chemins d’attaque en temps réel. Dit autrement: elle essaie de penser comme l’attaquant, mais plus vite, et sans fatigue.

Ensuite, les agents IA « corrèlent » à travers les sources de données de sécurité. Dans une agence, ça veut dire jongler avec des logs, des alertes, des outils historiques, des silos qui ne se parlent pas. Le produit promet de faire la chasse, de relier les signaux faibles, puis d’identifier une menace avant exploitation. Le bénéfice attendu, c’est de réduire la fenêtre entre « quelque chose cloche » et « on sait quoi faire ». Dans le monde réel, cette fenêtre est souvent l’endroit où tout part en vrille.

La partie la plus sensible, c’est la mitigation « à la vitesse machine ». Par exemple, si le système voit un chemin d’attaque probable vers une ressource critique, il peut proposer de durcir une configuration, d’isoler un segment, de pousser une action défensive. Sur le papier, c’est de la prévention active. Dans la pratique, il faudra des garde-fous: qui valide, quels seuils, quels environnements, quelles exceptions. Tu ne traites pas un réseau bureautique et un système critique de la même façon.

Et puis il y a la promesse politique implicite: donner aux équipes sécurité, aux dirigeants et même aux boards une compréhension immédiate des menaces imminentes. C’est ambitieux. Parce que la cybersécurité fédérale, c’est aussi une bataille de communication interne. Si ton outil te sort une vérité incompréhensible, personne ne bouge. S’il te sort un plan d’action clair, priorisé, avec des impacts, tu peux agir. La valeur est là. Le danger aussi: si l’outil se trompe, il peut entraîner tout le monde dans la mauvaise direction.

Le contrat à 30 M$ face aux nouvelles règles IA

Ce contrat arrive dans un moment où Washington encadre plus explicitement l’usage de l’IA dans la sécurité nationale. La Maison-Blanche a posé un cadre pour permettre aux agences d’accéder à l’IA la plus récente tout en limitant les usages abusifs. Dans le même paquet, tu retrouves des préoccupations sur la surveillance de masse, les cyberattaques, et les dérives possibles de systèmes autonomes. Du coup, une cyberdéfense autonome par IA, c’est pile dans la zone où tout le monde regarde.

Le gouvernement veut le meilleur niveau technologique, mais il veut aussi des garanties. Traçabilité des décisions, contrôle humain, gestion des risques, sécurité de la chaîne d’approvisionnement. Même si Wraithwatch ne vend pas de la surveillance, son outil ingère des données de sécurité à grande échelle. Et dans le fédéral, la frontière entre « défense » et « collecte » peut devenir un champ de mines, surtout si des faux positifs déclenchent des actions intrusives sur des comptes ou des flux.

Il y a aussi le sujet très concret des puces et de la supply chain. Les nouvelles directives poussent à renforcer la sécurité de la chaîne d’approvisionnement en semi-conducteurs. Pourquoi ça compte ici? Parce qu’une plateforme IA, ça tourne sur du matériel, des accélérateurs, des environnements cloud ou on-prem, et chaque brique devient une surface de risque. Si la défense dépend d’une chaîne fragile, tu construis une forteresse sur du sable. Les agences vont demander des preuves, des audits, des certifications, et ça peut ralentir l’opérationnel.

Marc, toujours pragmatique, me dit: « Le contrat, c’est une victoire commerciale. Le déploiement, c’est une épreuve administrative. » Et c’est là que la nuance s’impose. Le message public parle d’autonomie et de vitesse machine. La réalité fédérale parle de gouvernance, de validation, de conformité. Si Wraithwatch réussit à concilier les deux, ils auront un cas d’école. S’ils échouent, ça deviendra un exemple de plus de l’IA qui promet tout, mais qui se heurte aux murs du secteur public.

Les concurrents, et la bataille du « tout autonome »

Ce contrat met un projecteur sur une tendance plus large: la cybersécurité veut passer de l’assistance à l’autonomie. Depuis des années, les outils empilent des alertes, des scores, des tickets. Les équipes, elles, croulent sous le bruit. Donc les vendeurs d’IA arrivent avec une promesse simple: moins d’alertes, plus d’actions. Wraithwatch se positionne clairement sur ce créneau, avec l’idée d’agents qui chassent et neutralisent avant exploitation.

La comparaison avec d’autres approches est intéressante. Beaucoup d’acteurs se contentent d’IA pour trier, résumer, suggérer. Wraithwatch pousse le curseur vers l’action. C’est plus risqué, mais plus différenciant. Dans des environnements à mission critique, tu peux gagner gros si tu prouves que tu réduis le temps de réaction sans casser la prod. Tu peux perdre très vite si une action automatisée provoque un incident. Et dans le public, l’échec laisse des traces, budgétaires et politiques.

Ce contrat à 30 millions n’est pas juste un chiffre. C’est un signal de marché: des agences sont prêtes à payer pour une défense IA qui modélise, calcule, et propose des mitigations à grande vitesse. Ça peut déclencher un effet d’entraînement, parce que les administrations se parlent, comparent, copient. Si un premier déploiement se passe bien, d’autres voudront la même chose. Si ça se passe mal, tout le monde se replie sur des outils plus classiques, moins « autonomes », plus faciles à justifier.

Dernier point, et pas le plus confortable: une défense IA face à une attaque IA, c’est une course. Les attaquants vont tester, contourner, saturer, tromper. Les défenseurs vont ajuster, renforcer, automatiser. Wraithwatch mise sur des défenses auto-adaptatives et des agents en meute. Très bien. Mais le truc c’est que l’adversaire lit les mêmes papiers, et il a parfois moins de contraintes légales. Le contrat fédéral donne des moyens. Il ne garantit pas la tranquillité.