Mythos, le modèle d'intelligence artificielle d'Anthropic, est capable de détecter en quelques heures ce que les meilleurs experts mettent des années à trouver.
La Tribune avec ChatGPT
En Allemagne, l’autorité fédérale de cybersécurité, le BSI, vient de lancer une alerte sur Mythos, la nouvelle IA d’Anthropic capable de repérer des failles logicielles à très grande vitesse. Elle recommande des « mesures immédiates » pour limiter le risque d’attaques en chaîne.
Mythos est présenté comme un modèle d’IA spécialisé dans l’analyse de code et la détection de vulnérabilités, avec une capacité à identifier des failles à une échelle qui change le rythme habituel de la cybersécurité. Le cœur de l’alerte allemande tient à ce basculement de vitesse : le temps entre découverte d’une faille et tentative d’exploitation pourrait se réduire brutalement.
C’est précisément ce que redoute la présidente du BSI, Claudia Plattner, qui explique publiquement que des modèles comme Mythos annoncent des conséquences « profondes » pour la souveraineté numérique et pour la protection des infrastructures critiques. L’idée n’est pas que l’IA crée une menace entièrement nouvelle, mais qu’elle rende les méthodes existantes plus rapides, moins coûteuses et plus faciles à industrialiser.
La France formule un diagnostic proche dans la note officielle du CERT‑FR sur l’IA générative face aux attaques informatiques : les modèles actuels servent déjà au profilage des victimes, à l’ingénierie sociale ou au développement de programmes malveillants, mais pas encore d'attaquant autonome.
Le BSI pousse cinq axes de réponse immédiate : créer une capacité nationale d’évaluation des modèles les plus puissants, garantir à l’État un accès direct aux meilleurs outils, construire des capacités européennes, durcir massivement les systèmes d’information et utiliser l’IA pour trouver les failles avant les attaquants. Même si ces propositions visent d’abord la puissance publique, elles se déclinent pour l'entreprise.
Chaque jour à 13h, l’essentiel de l’actualité tech.
Désigner en interne des responsables capables de suivre à la fois les sujets IA et cybersécurité, au lieu de traiter ces deux mondes séparément. Ne plus dépendre uniquement d’outils opaques, mais tester des solutions de confiance capables d’auditer son propre code, ses dépendances et ses configurations. Réduire les dépendances trop fortes aux seuls fournisseurs extra‑européens, dans un contexte où les débats sur la souveraineté numérique montent d’un cran. Accélérer les mises à jour, généraliser l’authentification renforcée, segmenter les réseaux. S’aider de l’IA pour détecter plus tôt les défauts dans les logiciels internes comme dans l’open source critique.
Le cadrage français est disponible dans la publication CERTFR‑2026‑CTI‑001, qui insiste sur un point simple : l’IA générative agit aujourd’hui surtout comme un accélérateur de campagnes existantes, pas comme un pirate entièrement autonome. Pour les acteurs les plus avancés, elle apporte un gain de performance et de passage à l’échelle ; pour les moins expérimentés, elle sert d’outil d’apprentissage.
Côté européen, la Commission rappelle dans sa fiche sur les obligations des modèles d’IA à usage général dans l’AI Act que tous les fournisseurs de GPAI doivent produire une documentation technique, appliquer une politique de droit d’auteur et publier un résumé du contenu d’entraînement. Pour les modèles présentant un risque systémique, des obligations supplémentaires s’appliquent : notification à la Commission, évaluation et réduction des risques, remontée d’incidents et protections de cybersécurité.
La même fiche précise qu’un modèle est présumé présenter un risque systémique au‑delà de 10 25 10 25 FLOPs d’entraînement, un seuil actuellement en révision. Elle rappelle aussi que les obligations pour les GPAI sont entrées en application le 2 août 2025.
Ce cadre s’ajoute à la directive NIS2, qui renforce déjà les obligations de gouvernance, de gestion des risques, de continuité d’activité et de notification d’incidents pour de nombreuses organisations essentielles et importantes en Europe. Pour les entreprises, cela veut dire que la question IA + cyber sort du seul service informatique et remonte au niveau direction générale.
Appliquer vite les correctifs de sécurité, vérifier que les systèmes exposés sont à jour, supprimer les comptes inutiles et imposer l’authentification à plusieurs facteurs sur les accès sensibles. Ce sont aussi les recommandations que l’on retrouve en filigrane dans les publications françaises sur la menace IA, parce qu’une attaque accélérée par l’IA profite d’abord des faiblesses déjà connues. Mieux cloisonner le système d’information. Segmenter le réseau, c’est éviter qu’une intrusion sur un poste, un serveur ou un outil métier n’ouvre immédiatement l’accès à tout le reste ; cette logique de « compartiments étanches » devient plus importante encore si la recherche de failles se fait à l’échelle industrielle.
Utiliser des outils d’IA, mais dans un cadre maîtrisé. Une organisation peut se servir d’outils d’analyse pour inspecter son code et ses composants, tout en fixant une règle simple pour tous les salariés : ne jamais coller de données sensibles dans un chatbot grand public non validé par l’entreprise.
Préparer la réponse humaine. Il faut un point de contact clair pour remonter une alerte, un circuit de décision court si une faille critique apparaît, et des exercices réguliers pour tester la réaction face à un compte compromis, une fuite de données ou un rançongiciel.
Combien de temps faut‑il aujourd’hui pour corriger une faille critique ? Si la réponse est « plusieurs semaines », l’alerte du BSI signifie que ce délai devient dangereux dans un contexte où la découverte et l’exploitation peuvent s’accélérer fortement. L’entreprise utilise‑t‑elle déjà des outils pour auditer son code, surveiller ses journaux et détecter plus vite les signaux faibles d’attaque ? Le CERT‑FR rappelle que l’IA sert déjà de multiplicateur d’efficacité aux attaquants ; l’ignorer côté défense crée un décalage croissant. Qui pilote, dans l’entreprise, le sujet IA + cybersécurité + conformité européenne ?
Le signal envoyé par Berlin est limpide : l’enjeu n’est pas de fantasmer une IA qui piraterait seule la planète, mais de reconnaître qu’une nouvelle course de vitesse commence. Dans cette course, les entreprises qui tardent à corriger leurs failles, à structurer leur gouvernance et à encadrer leurs usages de l’IA se mettent elles‑mêmes en risque.
