Mythos cristallise et précipite plusieurs évolutions préoccupantes quoique prévisibles de la cyber
La médiatisation des performances du nouveau modèle Mythos d’Anthropic donne à la communauté cyber une fenêtre d’opportunité décisive pour prendre rapidement et collectivement la mesure des implications majeures de l’IA dans le domaine de la cybersécurité
« S’il est important de ne pas céder à l’angoisse déclenchée par Mythos, il est essentiel de ne pas non plus sous-estimer la trajectoire de l’IA », commente le Campus Cyber dans une note intitulée « Mythos et autres modèles-frontière : implications des progrès de l’IA pour la cybersécurité en Europe ».
Certains ont vu en « l’opération Mythos » une campagne de communication visant à montrer la suprématie d’Anthropic dans la bataille de l’IA. Ce modèle, capable de détecter des failles logicielles à la pelle -et de les exploiter- est si puissant qu’il a été restreint à quelques initiés. Las, il a fuité trois semaines après.
Rarement un modèle n’a soulevé autant d’enthousiasme que de crainte. « Mythos cristallise et précipite plusieurs évolutions préoccupantes en créant notamment un risque systémique pour tous les systèmes de cyberdéfense », prévient le Campus Cyber. Ce dernier prend d’ailleurs acte d’un « changement irréversible tant au niveau de la sécurité des systèmes d’information que du paysage industriel de la cybersécurité en Europe. »
Jusqu’où ?
D’emblée, Mythos fait peur. Les premiers tests, essentiellement aux Etats-Unis, confirment une amélioration significative dans les capacités cyber du modèle : détection de vulnérabilités, exploitation, chaînage d’informations pour construire des chemins d’attaque, passage du test ponctuel à la découverte automatisée à grande échelle. A lire la note du Campus Cyber, c’est l’envolée qui inquiète. Jusqu’où, en effet ?
Les modèles précédents détectaient déjà des vulnérabilités. Mythos, c’est détection + exploitation + raisonnement + priorisation + passage à l’échelle, avec une accélération de la timeline. L’IA n’est plus une menace théorique en cybersécurité : elle devient un paramètre opérationnel structurant. La question n’est plus « si », mais « quand » et « à quelle vitesse ».
Mythos montre nos failles
Pour le Campus Cyber, qui regroupe plus de 200 acteurs de la cybersécurité et représente 60 % des entreprises du CAC 40, l’heure est à l’urgence face à une possible catastrophe si rien n’est fait. « Tout comme l’IA menace d’enfermer le client européen dans un arbitrage impossible entre souveraineté et sécurité, elle pourrait bien aussi menacer la viabilité économique de la filière cyber européenne, déjà obligée de composer avec la domination des environnements numériques américains… »
Mythos montre nos failles. Et nous met, nous Européens, face à un terrible dilemme : les organisations qui voudront la meilleure protection possible n’auront d’autre choix que de recourir à l’IA américaine. Celles qui privilégieront l’autonomie technologique prendront un risque opérationnel réel. Sans alternative européenne performante, nous sommes pris en tenaille.
« Comment, en effet, sécuriser à long terme une industrie indépendante et prospère du pentesting, de l’audit cyber ou de la réponse à incident, si ces métiers sont assurés demain par l’IA dans des conditions de performance égales ou supérieures, s’interroge le Campus Cyber. Si les entreprises cyber européennes décident, comme le reste de l’économie, de booster leurs produits et services avec l’IA, comment pourra-t-on encore les considérer comme indépendantes, dès lors que leur valeur résidera dans l’utilisation de technologies étrangères ? »
Par-delà la surprise
La médiatisation des performances du nouveau modèle d’Anthropic donne à la communauté cyber une fenêtre d’opportunité décisive pour prendre rapidement et collectivement la mesure des implications majeures de l’IA dans le domaine de la cybersécurité, assure le Campus Cyber. « Après Mythos, personne n’a et n’aura plus le droit d’être surpris. »
Il s’agit donc d’analyser posément la situation. Si l’irruption de l’IA dans la cyber n’est pas nouvelle, la menace de l’IA offensive est restée jusqu’à présent essentiellement virtuelle, en raison :
- du caractère encore marginal des attaques attribuées à l’intelligence artificielle rapportées à l’incidentologie observée ;
- d’une trajectoire de progrès des grands LLM qui, bien que prévisible, est restée relativement en marge du champ de vision opérationnel ;
- de la priorité donnée à l’IA avant tout comme un objet métier à déployer en entreprise.
Mythos cristallise et précipite plusieurs évolutions préoccupantes quoique prévisibles. Un : l’IA avale les paliers de performance en cyber à un rythme très soutenu, au point d’approcher du seuil de l’avantage (supériorité des modèles par rapport aux experts humains). Deux : le niveau atteint par l’IA est tel que le débordement des modèles, du laboratoire vers le marché, crée un risque systémique pour tous les systèmes de cyberdéfense. Trois : au-delà du moment Mythos, la donne en sera profondément et irréversiblement modifiée, tant du point de vue de la sécurité des systèmes d’information que de celui du paysage industriel de la cybersécurité en Europe.
Mythos ouvre un espace
« S’il est important de ne pas céder à l’angoisse déclenchée par Mythos, il est essentiel de ne pas non plus sous-estimer la trajectoire de l’IA », conclut le Campus Cyber. L’enjeu le plus immédiat est la transformation rapide de la cyberdéfense : détection massive de vulnérabilités ; test automatisé de chemins d’attaque ; génération ou évaluation de correctifs ; analyse de dépendances ; durcissement logiciel ; réduction des cycles de remédiation ; rapprochement entre sécurité et développement logiciel.
En ce sens, « Mythos a le mérite d’ouvrir un espace pour préparer et accompagner les mutations stratégiques de l’offre européenne de cybersécurité, autour de business models pérennes, en gardant à l’esprit que les clefs de la souveraineté sont toujours entre les mains des acheteurs, publics comme privés, qui par leurs arbitrages quotidiens, façonnent l’avenir de notre industrie de la cybersécurité. »
Saisirons-nous l’opportunité ? Ouvrirons-nous cet espace ?
