Les réactions oscillent entre alarme et minimisation depuis l’annonce par Anthropic de son modèle Claude Mythos Preview, capable d’identifier et d’exploiter des vulnérabilités logicielles avec une efficacité inédite. Le Conseil de l’IA et du numérique publie une note mesurée qui rappelle l’urgence d’une mise à niveau collective sans céder à la panique. Au cœur du sujet : l’IA ne choisit pas son camp, elle accélère simultanément l’attaque et la défense.
Les faits
Anthropic a décidé de ne pas rendre public son modèle Mythos, jugé trop puissant, et l’a partagé uniquement avec une quarantaine d’acteurs majeurs, principalement américains (J.P. Morgan, Nvidia, Amazon, Apple…). Quelques jours plus tard, OpenAI répliquait avec GPT-5.4-Cyber, une version fine-tunée pour des usages défensifs légitimes. Ces annonces confirment une tendance lourde : les modèles d’IA frontier franchissent rapidement le seuil où ils peuvent découvrir des failles zero-day et générer des exploits de manière autonome.
L’AI Security Institute britannique a évalué Mythos et confirmé qu’il représentait un progrès significatif, notamment dans la réalisation d’attaques multi-étapes sur des réseaux simulés. Le rythme de découverte et de correction des vulnérabilités s’accélère, au risque de saturer les équipes de sécurité déjà sous pression.
Analyse stratégique
L’équilibre historique entre attaque et défense, stable depuis plus de trente ans, entre dans une phase de turbulences. L’IA automatise les deux côtés : elle permet aux défenseurs de traiter des volumes massifs de données pour détecter des anomalies, mais elle donne aussi aux attaquants la capacité d’orchestrer des campagnes à grande échelle avec une rapidité inédite.
Le Conseil de l’IA et du numérique formule trois observations de bon sens :
Ce qu’il faut retenir
- Les acteurs qui n’investiront pas dans la compréhension et l’intégration de ces outils seront rapidement déclassés.
- Se passer totalement de l’expertise humaine au profit de l’IA agentique en DevSecOps comporte des risques élevés.
- Le volume croissant de correctifs publiés crée une nouvelle fenêtre d’opportunité pour les attaquants : ceux qui ne patchent pas assez vite deviennent des cibles prioritaires.
Derrière les effets d’annonce marketing, une réalité plus profonde émerge : l’IA renforce la dépendance technologique et élargit la surface d’attaque. Pour les entreprises comme pour les acteurs souverains, le dilemme est clair : rester à la pointe implique d’accepter un risque cyber accru, tandis que le retard technologique fragilise la compétitivité.
Impact sectoriel
Pour les entreprises européennes, l’asymétrie est évidente. Les évaluations indépendantes des modèles frontier se concentrent majoritairement aux États-Unis et au Royaume-Uni. La France et l’Europe souffrent d’un retard en capacité d’évaluation, ce qui limite leur capacité à anticiper et à réguler. À moyen terme, cela risque d’affecter non seulement la sécurité des systèmes mais aussi l’attractivité de l’écosystème européen en matière de talents et d’innovation.
Le secteur bancaire, particulièrement exposé, a déjà exprimé ses inquiétudes. Plus largement, tous les domaines critiques (industrie, énergie, santé, transports) doivent repenser leur gouvernance de l’IA dès la phase d’adoption. La directive NIS2 et les bonnes pratiques fondamentales (mises à jour régulières, contrôle d’accès rigoureux) restent plus que jamais d’actualité.
L’IA est agnostique : elle amplifie à la fois la menace et les moyens de s’en protéger. Le vrai risque n’est pas tant la puissance d’un modèle isolé que la capacité collective à absorber ce choc technologique sans déséquilibre majeur. Anticiper aujourd’hui – par la formation, l’évaluation indépendante et une gouvernance robuste – reste la seule voie pour maîtriser demain.