Le revirement de politique d'Anthropic sur son puissant modèle Mythos signale une nouvelle ère de défense collaborative, forçant un secteur de la cybersécurité fragile à faire face à des menaces pilotées par l'IA qui dépassent les réponses humaines.
Anthropic est revenu sur une politique clé pour son puissant modèle d'IA Mythos, autorisant désormais la cinquantaine d'entreprises de son programme exclusif « Project Glasswing » à partager des renseignements sur les menaces avec des entités extérieures. Cette décision, qui marque une rupture significative avec les accords de confidentialité initiaux, fait suite aux pressions des législateurs américains craignant que le cloisonnement des vulnérabilités découvertes par l'IA ne mette en péril les infrastructures critiques.
« Aucune entité ne devrait être contractuellement empêchée d'avertir les autres, de coordonner des mesures d'atténuation ou d'informer les parties prenantes concernées et de confiance des risques cyber urgents », a écrit le représentant Josh Gottheimer (D., N.J.) dans une lettre à Anthropic, selon le Wall Street Journal. Gottheimer copréside une commission démocrate de la Chambre sur l'IA.
La politique initiale exigeait que les grandes entreprises et les opérateurs d'infrastructures critiques utilisant Mythos gardent ses découvertes confidentielles. La semaine dernière, Anthropic a commencé à informer ces partenaires qu'ils pouvaient désormais partager de manière responsable des informations sur les cybermenaces et les découvertes de Mythos. Ce changement intervient alors que des entreprises comme Palo Alto Networks et Mozilla ont commencé à médiatiser l'efficacité du modèle, Mozilla notant que Mythos a trouvé 271 vulnérabilités dans son navigateur Firefox en une seule exécution.
Le débat sur la politique d'Anthropic souligne le défi central auquel est confronté l'ensemble du secteur technologique : comment gérer le déploiement d'outils d'IA capables à la fois de construire et de briser des systèmes numériques à une échelle sans précédent. Les capacités de modèles comme Mythos alimentent ce que certains experts en cybersécurité appellent un « Bugmageddon », un déluge de découvertes de vulnérabilités piloté par l'IA qui menace de submerger le processus humain de correction et de défense des réseaux.
L'industrialisation du piratage
L'idée selon laquelle l'exploitation de bogues logiciels complexes est une compétence rare s'effondre. Selon un récent rapport de Google, des chaînes d'attaque entières sont « de plus en plus définies par logiciel et exécutées plus rapidement et à moindre coût que jamais ». Cette tendance ne crée pas seulement plus de piratage ; elle conduit à l'industrialisation du piratage. CrowdStrike a documenté une augmentation de 89 % d'une année sur l'autre des opérations adverses activées par l'IA en 2025, un tempo qui serait impraticable sans l'assistance de l'IA.
La vitesse de ce changement est stupéfiante. Le projet Zero Day Clock, qui suit le temps écoulé entre la publication d'un correctif et l'apparition d'un exploit fonctionnel, a vu le temps moyen passer de 2,3 ans en 2018 à seulement 20 heures en 2026. Cette accélération, portée par la capacité de l'IA à effectuer du « patch-diff » et de l'ingénierie inverse sur les correctifs, laisse aux organisations une fenêtre incroyablement étroite pour remédier aux failles.
Fissures dans les fondations
Selon une analyse récente du Council on Foreign Relations, la diffusion de l'IA met à l'épreuve trois hypothèses fondamentales qui soutiennent la cybersécurité depuis 30 ans. La première est que les attaques sophistiquées sont coûteuses ; l'IA les a rendues bon marché. La seconde est que les systèmes d'identité conçus pour les humains pourraient gérer des agents non humains ; cela s'avère faux, car des agents automatisés commencent à agir avec des conséquences imprévues.
La dernière fissure, la plus subtile, est la suppression du jugement humain comme rempart. Là où un analyste aurait pu autrefois marquer une pause face à une anomalie, les organisations automatisent désormais les examens et les approbations pour opérer à la vitesse des machines. Cela supprime une couche de défense cruciale, bien qu'informelle, précisément au moment où elle est le plus nécessaire.
La décision d'Anthropic d'autoriser un partage plus large des menaces est une reconnaissance tacite de cette nouvelle réalité. Pour les investisseurs, ce geste signale un changement permanent dans le paysage de la cybersécurité. L'annonce initiale des capacités de Mythos avait provoqué une chute des actions de cybersécurité, reflétant les craintes que l'IA ne banalise le travail de sécurité. La réalité est plus complexe : alors que l'IA automatise l'offensive, le besoin d'une défense sophistiquée propulsée par l'IA et de cadres de gouvernance robustes crée un nouveau marché à enjeux élevés. Le changement de politique pourrait augmenter les coûts de conformité pour les leaders de l'IA comme Anthropic et OpenAI, mais il renforce également la valeur de l'ensemble du secteur de la cybersécurité, qui doit désormais s'adapter à un monde où attaquants et défenseurs opèrent à la vitesse des machines.
Cet article est à titre informatif uniquement et ne constitue pas un conseil en investissement.
