Claude Mythos est devenue l’une des outils les plus convoités et sensibles dans la nouvelle ère de la cybersécurité assistée par intelligence artificielle. L’Union Européenne négocie avec Anthropic un accès potentiel pour l’ENISA, tandis que de grandes entreprises technologiques participent au projet Glasswing. Les acteurs principaux de la sécurité surveillent ce modèle comme une pièce pouvant faire la différence entre une correction précoce ou une exposition prolongée.

Ce regain d’intérêt n’est pas fortuit. Mythos ne se présente pas comme un assistant de programmation ordinaire ni comme un simple modèle pour résumer des rapports ou analyser du code. Anthropic le décrit comme un système aux capacités particulièrement avancées dans les domaines de la sécurité offensive et défensive, capable de détecter des vulnérabilités complexes, de raisonner sur des logiciels critiques et d’aider à élaborer des correctifs. En pratique, il devient une sorte d’« arme défensive » que personne ne souhaite voir entre de mauvaises mains, mais dont tout le monde veut disposer pour protéger ses propres systèmes.

La Commission Européenne a engagé des discussions avec Anthropic pour envisager un accès futur pour des organismes européens à Claude Mythos. Selon les informations publiées, l’objectif serait que l’ENISA, l’Agence de l’Union Européenne pour la Cybersécurité, puisse faire partie du cercle d’entités bénéficiant d’un accès contrôlé à ce modèle. Il ne s’agirait pas d’une ouverture publique ou d’une disponibilité commerciale généralisée, mais d’un accès limité à la défense institutionnelle.

Mythos déjà un standard de référence

La raison pour laquelle Mythos suscite autant d’intérêt réside dans l’ampleur de ses capacités. Anthropic a dévoilé Claude Mythos Preview dans le cadre du projet Glasswing, une initiative conçue pour aider à protéger les logiciels critiques avant que des modèles dotés de capacités similaires ne se généralisent. Selon la société, ce modèle a montré qu’il pouvait identifier et exploiter des vulnérabilités zero-day dans de grands systèmes d’exploitation et navigateurs lors de ses évaluations internes.

Noticias.ai suit de près cette évolution et souligne que Anthropic n’a pas choisi de rendre Mythos accessible en open source, mais de le réserver à un programme défensif avec des partenaires sélectionnés. Parmi les participants mentionnés dans divers rapports figurent AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, la Linux Foundation, Microsoft, NVIDIA et Palo Alto Networks. La liste illustre l’importance du modèle : il ne s’agit pas d’un simple outil expérimental pour les curieux, mais d’une capacité qui concerne ceux qui gèrent une part significative de l’infrastructure technologique mondiale.

Le message de fond peut être inconfortable. Si Mythos peut découvrir des failles passées inaperçues pendant des années, ceux qui y ont un accès anticipé pourront corriger leurs produits plus rapidement, renforcer leurs plateformes et gagner du temps face à d’éventuels attaquants futurs. Ceux qui n’y ont pas accès seront dépendants des rapports, des correctifs tiers ou de solutions moins avancées.

C’est pourquoi l’UE souhaite en faire partie. Bruxelles ne cherche pas seulement à tester un outil à la mode. Elle veut comprendre quelles avantages défensifs d’autres acteurs obtiennent et comment ces expérimentations peuvent être transférées aux banques, administrations, opérateurs critiques, entreprises technologiques et fournisseurs de services essentiels européens.

Le modèle que tout le monde veut, mais que personne ne souhaite libérer

La particularité de Mythos est que sa valeur défensive repose sur une capacité double. Un système capable de découvrir des vulnérabilités profondes pourrait également favoriser la création d’exploits, enchaîner des failles ou automatiser des phases d’attaque s’il était diffusé sans contrôles. C’est pourquoi Anthropic en limite l’accès.

En cybersécurité, cette dualité a toujours existé. Les mêmes techniques qui permettent d’auditer un système peuvent aussi être utilisées pour l’attaquer. La différence aujourd’hui réside dans l’échelle. Une équipe humaine spécialisée mettrait du temps à analyser un composant complexe, reproduire une faille, comprendre son impact et préparer une démonstration. Un modèle avancé peut accélérer cette étape et l’appliquer à de vastes bases de code ou binaires.

C’est là que se situe la révolution. L’IA ne supprime pas le besoin d’investigateurs humains, mais peut en étendre la portée. Elle peut évaluer plus de surfaces, suggérer des routes d’exploitation, aider à hiérarchiser les vulnérabilités et réduire le délai de correction. Si cette capacité reste confinée à un cercle restreint, cela crée une avantage asymétrique dans la défense du logiciel.

L’émergence de modèles concurrents témoigne du dynamisme du marché. OpenAI a lancé des programmes d’accès vérifié à des modèles spécialisés en cybersécurité, et d’autres fournisseurs développent des capacités similaires. Cependant, Mythos s’est déjà imposé comme une référence publique. Non pas forcément parce qu’il n’aura pas de rivaux, mais parce qu’il concentre actuellement l’attention des technologiques, banques, gouvernements et régulateurs.

Dans un secteur habitué aux terminologies EDR, SIEM, SOAR, pentesting, bug bounty et gestion des vulnérabilités, Mythos introduit une nouvelle catégorie : celle des modèles à la frontière, capables d’agir comme des chercheurs de sécurité augmentés. Et cette évolution pourrait modifier l’équilibre de l’avantage entre attaquants et défenseurs.

Le nouveau goulet d’étranglement : réparer avant qu’il ne soit trop tard

L’enjeu ne se limite pas à la détection des vulnérabilités. Au contraire, ce peut être le principal défi. Noticias.ai évoquait une idée essentielle en analysant le projet Glasswing : si des modèles comme Mythos multiplient la détection, le vrai défi sera de vérifier, communiquer et corriger rapidement.

C’est crucial. Un modèle peut identifier des milliers de failles potentielles, mais chaque détection doit être validée. Il faut tester si elles sont exploitables, déterminer les versions concernées, évaluer leur impact réel, corriger sans rompre la compatibilité et déployer le correctif en production. Dans les logiciels critique, cette chaîne peut être lente et complexe.

Le risque est que l’IA produise plus de vulnérabilités découvertes que la capacité de la industrie à les gérer. Sans processus adéquats, cet outil puissant pourrait engendrer une file d’attente ingérable. C’est pourquoi disposer de Mythos « à portée de main » ne suffit pas. Il faut une ingénierie rigoureuse, une gouvernance solide, une coordination avec les mainteneurs, des équipes de réponse et une capacité réelle de déploiement des correctifs.

Une leçon importante s’impose pour l’Europe. Accéder à Mythos peut aider, mais cela ne remplace pas une stratégie systématique de cybersécurité. ENISA peut analyser les capacités, promouvoir les bonnes pratiques et diffuser l’apprentissage, mais les secteurs critiques européens devront accélérer leurs processus de remédiation, établir des inventaires logiciels fiables et renforcer leurs mécanismes de mise à jour.

Pourquoi tout le monde veut participer au projet Glasswing

Le projet Glasswing est devenu plus qu’un simple programme technique. Il représente une position stratégique. En y participant, une organisation bénéficie d’un accès anticipé à une capacité permettant de détecter des failles avant que d’autres modèles, chercheurs ou attaquants n’y parviennent. Hors du programme, il faut attendre que les correctifs soient déployés par le canal habituel.

Pour les grandes entreprises technologiques, cette distinction peut faire la différence entre découvrir une vulnérabilité en propre ou la voir apparaître plus tard dans une campagne active. Pour les banques et opérateurs critiques, cela facilite l’évaluation des dépendances internes, bibliothèques, systèmes hérités ou composants souvent négligés. Pour les entités publiques, cela offre une meilleure visibilité sur les risques systémiques des infrastructures partagées.

La course ne concerne pas uniquement la possession du meilleur modèle, mais surtout l’accès au modèle adapté, avec les permissions nécessaires, avant que le danger ne se matérialise. En cybersécurité, le temps d’avance fait toute la différence. Corriger une semaine plus tôt ou détecter une chaîne d’exploitation à l’avance peut éviter une crise ou protéger des millions de systèmes.

Aujourd’hui, Mythos ne semble pas avoir de rival évident en termes d’impact. Il existe d’autres initiatives concurrentes ou en développement, mais aucune n’a suscité aussi rapidement un tel engouement institutionnel et industriel. La pression de l’UE pour en accéder confirme l’importance du modèle.

L’Europe doit s’émanciper des modèles étrangers

L’intégration potentielle de l’ENISA dans cet écosystème serait positive, mais soulève une question clé : l’Europe peut-elle se permettre de dépendre des modèles américains pour défendre ses logiciels critiques ? La réponse doit être nuancée. À court terme, il est impératif d’accéder à ces outils pour ne pas prendre de retard. Toutefois, à moyen et long terme, il faut développer ses propres capacités.

La souveraineté en cybersécurité ne se limitera plus à avoir des CERT nationaux, des réglementations comme NIS2 ou des fournisseurs locaux. Elle dépendra aussi de modèles, de jeux de données, d’environnements d’évaluation, de laboratoires d’analyse et d’équipes capables de déployer une IA défensive avancée sur des logiciels européens critiques. La réglementation pourra exiger la résilience, mais cette dernière s’établit avec des outils, des talents et des infrastructures internes.

Claude Mythos a incarné une nouvelle réalité. L’IA appliquée à la cybersécurité n’est plus seulement un copilote pour rédiger des rapports ou interpréter des alertes. Elle peut devenir une couche de recherche, de validation et de correction de vulnérabilités. Disposer de cette couche en avance, et savoir l’exploiter efficacement, donnera un avantage stratégique.

Cependant, cette même capacité peut aussi renforcer le niveau des attaquants. D’où l’importance d’un accès contrôlé, de programmes défensifs et d’une coopération étroite entre entreprises, gouvernements et développeurs logiciels. La fuite ou la réplique non supervisée des modèles les plus puissants maintenir une course désordonnée, risquant de faire basculer l’équilibre en faveur des malveillance.

L’UE a tiré une conclusion logique : si tous les acteurs majeurs souhaitent disposer de Mythos pour renforcer leur sécurité, alors l’Europe doit impérativement participer. En cybersécurité avec IA, l’accès à ces modèles sera aussi crucial que la capacité à transformer leurs découvertes en véritables correctifs. Mythos n’est pas qu’un outil, c’est une indication claire de la direction que prend la défense numérique.

Questions fréquentes

Qu’est-ce que Claude Mythos Preview ?
Un modèle avancé d’Anthropic dédié à la cybersécurité, spécialisé dans la détection de vulnérabilités, l’analyse de code, les tests contrôlés et le support au patching.

Pourquoi tout le monde veut accéder à Mythos ?
Parce qu’il permet de découvrir des failles avant les attaquants, de hiérarchiser les risques et d’accélérer la mise en place des correctifs sur des logiciels critiques.

Pourquoi Anthropic ne le met-il pas à disposition du public ?
Parce que ses capacités ont un double usage. Elles peuvent protéger des systèmes, mais également faciliter des attaques si elles sont utilisées sans contrôle approprié.

Quel rôle pourrait jouer l’ENISA ?
L’ENISA pourrait obtenir un accès contrôlé pour évaluer Mythos, partager les bonnes pratiques et renforcer la préparation européenne face aux menaces issues de l’IA.

Sources :

• Noticias.ai, “Anthropic présente Mythos et avertit : l’IA peut déjà transformer la cybersécurité”.
• Noticias.ai, “Project Glasswing révèle le nouveau goulet d’étranglement de la cybersécurité”.
• Noticias.ai, “Anthropic rapproche Mythos de Claude Code et amorce une nouvelle étape en cybersécurité”.
• Anthropic, “Project Glasswing : Sécuriser les logiciels critiques à l’ère de l’IA”.
• Anthropic, “Claude Mythos Preview”.
• ENISA, Agence de l’Union européenne pour la cybersécurité.