← AI War Room
Cybersécurité

Anthropic déploie Mythos dans 15 pays : signal d'alarme pour les RSSI

Tech4B2B · · 4 min (mis à jour le )
Illustration : Anthropic déploie Mythos dans 15 pays : signal d'alarme pour les RSSI
  • Sujet: Anthropic déploie Mythos dans 15 pays : signal d'alarme pour les RSSI
  • Date:
Anthropic a annoncé l'extension de l'accès à son modèle Mythos - un LLM spécifiquement conçu pour identifier et exploiter des vulnérabilités informatiques - à environ 150 organisations dans plus de 15 pays, dont plusieurs États membres de l'Union européenne. Initialement limité au territoire américain, ce déploiement élargit considérablement la surface d'exposition à ce que certains experts qualifient de "la première arme cyber IA à diffusion quasi-publique". Pour les RSSI et les décideurs IT, c'est une alerte rouge.

Anthropic a annoncé l'extension de l'accès à son modèle Mythos - un LLM spécifiquement conçu pour identifier et exploiter des vulnérabilités informatiques - à environ 150 organisations dans plus de 15 pays, dont plusieurs États membres de l'Union européenne. Initialement limité au territoire américain, ce déploiement élargit considérablement la surface d'exposition à ce que certains experts qualifient de "la première arme cyber IA à diffusion quasi-publique". Pour les RSSI et les décideurs IT, c'est une alerte rouge.

Le projet Glasswing d'Anthropic, dont Mythos est la pièce centrale, avait été lancé dans un cadre très contrôlé, destiné aux chercheurs en sécurité offensive accrédités et aux agences gouvernementales américaines. L'extension à 150 organisations dans 15 pays constitue une rupture de doctrine. Simultanément, des articles issus du corpus (notamment de Microsoft et Nvidia sur les agents IA non fiables) et les travaux du New York Times sur la supercharge des vers informatiques par IA dessinent un tableau préoccupant : les capacités offensives IA se democratisent plus vite que les capacités défensives.

Ce que fait Mythos concrètement

Mythos est décrit comme un modèle entraîné sur des corpus de vulnérabilités connues et capable de raisonner sur des chaînes d'exploitation complexes (multi-step attack chains). Il peut suggérer, et dans certaines configurations exécuter, des séquences d'attaque ciblées. C'est une capacité qualitativement différente des outils de pentest classiques.

Le cadre de contrôle d'Anthropic : suffisant ? Anthropic indique que l'accès est réservé à des organisations vérifiées, dans un cadre de "responsible use" avec des accords contractuels

Mais 150 organisations dans 15 pays représentent une surface de fuite potentielle très significative. La question du contrôle des sous-traitants, des données d'entraînement issues des tests et de la réutilisation des outputs reste ouverte.

L'impact sur la posture défensive des entreprises

Pour les RSSI, l'existence et la diffusion de Mythos signifie que les attaquants - étatiques ou privés - vont tenter d'accéder à des capacités équivalentes. Le délai entre la disponibilité d'un outil offensif "légal" et l'émergence de sa version pirate s'est historiquement révélé très court (cf. Cobalt Strike, Metasploit). Les équipes de sécurité doivent anticiper un niveau de sophistication des attaques IA-augmentées dans les 12 prochains mois.

Implications réglementaires en Europe

Plusieurs États membres de l'UE sont dans la liste des nouveaux pays couverts. L'AI Act européen classe les systèmes d'IA à usage dual (civil et militaire/offensif) dans les catégories à haut risque. La Commission européenne et les autorités nationales de protection des données (dont la CNIL) pourraient ouvrir des enquêtes sur la conformité de Mythos au cadre européen.

La course aux armements IA entre acteurs privés

Anthropic n'est pas seul : OpenAI, Google DeepMind et des acteurs moins connus développent des capacités similaires. Le fait qu'Anthropic soit le premier à mondialiser un tel déploiement crée un précédent qui va accélérer la publication par les concurrents de leurs propres modèles offensifs, sous couvert de "sécurité offensive responsable".

Implications

Business : Les entreprises dans les secteurs critiques (finance, énergie, santé, défense) doivent revoir leur matrice de risque cyber en intégrant l'hypothèse d'attaques IA-augmentées dès maintenant, pas dans deux ans. Concurrentiel : Les éditeurs de solutions de sécurité (Palo Alto Networks, CrowdStrike, Microsoft Sentinel) vont accélérer le développement de capacités défensives IA pour répondre à la menace Mythos-like. Géopolitique : Le déploiement de Mythos dans des États membres de l'UE sans cadre réglementaire clair crée une zone de tension entre Anthropic (entreprise américaine) et les régulateurs européens, potentiellement porteuse d'un nouveau front dans la guerre commerciale tech US-UE.


L'expansion de Mythos est un moment charnière pour la cybersécurité d'entreprise. Ce n'est pas un problème futur : c'est un risque présent qui exige une révision immédiate des postures défensives, une mise à jour des plans de réponse aux incidents et un dialogue urgent avec les fournisseurs de sécurité sur leurs capacités à détecter et contrer des attaques orchestrées par des modèles de type Mythos. Les DSI et RSSI qui n'ont pas encore intégré l'IA offensive dans leur modèle de menace ont pris du retard.

TL;DR

Anthropic mondialise l'accès à Mythos, un modèle IA conçu pour exploiter des vulnérabilités informatiques, dans 150 organisations et 15 pays dont des États membres de l'UE.

  • Mythos est qualitativement différent des outils de pentest classiques : il raisonne sur des chaînes d'attaque complexes et peut les exécuter dans certaines configurations.
  • L'expansion rapide crée un risque de fuite vers des acteurs malveillants dans un délai de 12 mois, selon les précédents historiques (Cobalt Strike, Metasploit).
  • Les RSSI doivent intégrer l'hypothèse d'attaques IA-augmentées dans leur modèle de menace immédiatement et revoir leur matrice de risque en conséquence.

Questions fréquentes

Quelle est la différence entre Mythos et un outil de pentest classique comme Metasploit ?

Metasploit est une boîte à outils d'exploitation de vulnérabilités connues. Mythos est un modèle de raisonnement IA capable de chaîner des étapes d'attaque de manière autonome, d'adapter sa stratégie en fonction des défenses rencontrées et potentiellement de découvrir de nouvelles combinaisons d'exploitation. La différence est qualitative, pas seulement quantitative.

Comment les organisations non incluses dans le programme Mythos peuvent-elles se préparer à des attaques utilisant des capacités similaires ?

En priorité : renforcer la détection comportementale (EDR/XDR) plutôt que la détection par signature, qui sera contournée par des attaques IA-générées inédites. Investir dans le red teaming IA-augmenté en interne ou via des prestataires certifiés. Mettre à jour les plans de réponse aux incidents pour inclure des scénarios d'attaque à progression rapide et automatisée.

L'AI Act européen s'applique-t-il à Mythos ?

L'AI Act classe les systèmes IA à usage dual dans les catégories à haut risque ou interdits selon les cas. Mythos, en tant que système capable d'exploitation offensive, pourrait tomber sous plusieurs dispositions de l'AI Act, notamment les articles relatifs aux systèmes constituant une menace pour la sécurité publique. Les autorités européennes n'ont pas encore statué publiquement sur ce point.

Article rédigé par Hamadi Lanouar
Le brief tech qui compte
Chaque matin à 7h, les 5 signaux tech B2B à ne pas manquer.