Claude Mythos et GPT-5.4-Cyber : la course a l IA cybersecurite lancee par Anthropic et OpenAI

Claude Mythos et GPT-5.4-Cyber : la course aux IA hackeuses démarre en club fermé

|
ParGrégoire Sillard Heures le

Une faille de sécurité passée sous les radars pendant 27 ans dans OpenBSD, un système d’exploitation dont la réputation est précisément d’être l’un des plus audités au monde. Des milliers d’autres vulnérabilités critiques repérées en quelques semaines, dans chaque système d’exploitation majeur et chaque navigateur web. C’est ce qu’a annoncé Anthropic le 14 avril en dévoilant Claude Mythos Preview, son nouveau modèle de pointe. Le lendemain, OpenAI répondait avec GPT-5.4-Cyber, présenté comme son propre modèle spécialisé en cybersécurité défensive. En quarante-huit heures, les deux plus gros laboratoires d’IA générative ont basculé d’un positionnement « outil généraliste » à « arme de cyberdéfense industrielle ». Les PME ne sont invitées dans aucun des deux camps.

Claude Mythos trouve en cybersécurité ce que 27 ans de relecture humaine n’avaient pas vu

Anthropic communique prudemment sur Mythos. Pas de sortie publique, pas de version accessible via l’interface de programmation habituelle : le modèle reste confiné à un groupe fermé de partenaires. La raison officielle tient en une ligne — Mythos a démontré des capacités offensives suffisantes pour que son usage dans la nature expose massivement les infrastructures critiques.

Les chiffres rendus publics par le laboratoire dessinent le tableau : Mythos Preview a identifié des milliers de vulnérabilités de sévérité haute dans des logiciels open source majeurs. L’exemple le plus commenté est une faille OpenBSD patchée après la découverte par Mythos, alors qu’elle avait échappé à 27 années d’audit communautaire. Pour un système d’exploitation dont la sécurité est le cœur de l’argumentaire, le signal est lourd.

Anthropic a informé la Cybersecurity and Infrastructure Security Agency américaine (CISA, l’équivalent américain de l’ANSSI) et le Center for AI Standards and Innovation avant toute communication publique. Le cheminement ressemble moins à un lancement produit qu’à une déclassification contrôlée.

Project Glasswing, ou le club fermé des défenseurs

Le lancement de Project Glasswing organise l’accès à Mythos. Anthropic a réuni autour de la table les géants susceptibles d’absorber le choc : Microsoft, Amazon, Google, Apple, Cisco, NVIDIA, la Linux Foundation, et du côté financier JPMorganChase. L’idée assumée par Anthropic est de donner aux défenseurs un temps d’antériorité sur les capacités équivalentes, avant qu’elles ne se retrouvent chez des acteurs malveillants — ou dans des modèles open source mal contrôlés.

Aucun intégrateur informatique régional, aucune ESN (Entreprise de Services du Numérique) moyenne, aucun prestataire de sécurité spécialisé dans les PME et les ETI ne figure dans la liste. Les PME accèdent à la sécurité de leurs outils à travers des correctifs poussés par les membres du consortium, pas à travers des outils qu’elles pourraient elles-mêmes manier.

Bruce Schneier a signalé la contradiction inhérente au dispositif : plus le consortium trouve de vulnérabilités, plus le volume de correctifs à déployer explose côté utilisateur final. Or le goulot d’étranglement historique de la cybersécurité n’a jamais été la découverte de failles, il a toujours été leur correction effective sur le terrain.

OpenAI répond le lendemain, mais garde la porte étroite

Vingt-quatre heures après l’annonce Glasswing, OpenAI a dévoilé GPT-5.4-Cyber, version spécialisée de son modèle de pointe pour la cybersécurité défensive. L’angle commercial est frontalement opposé à celui d’Anthropic : là où Mythos reste fermé, GPT-5.4-Cyber est distribué via le programme Trusted Access for Cyber, étendu de quelques centaines à « plusieurs milliers de défenseurs vérifiés et des centaines d’équipes responsables de la défense de logiciels critiques » selon la page officielle OpenAI.

Les capacités annoncées incluent la rétro-ingénierie binaire — examiner un logiciel malveillant ou une application pour en comprendre le fonctionnement et repérer des failles sans disposer du code source. C’est un pas opérationnel significatif pour les équipes de sécurité et les chercheurs spécialisés. L’accès reste filtré par une procédure de vérification d’identité approfondie, comparable à celles exigées par les banques pour ouvrir un compte professionnel. Un consultant indépendant spécialisé en sécurité peut candidater. Un dirigeant de PME qui voudrait tester le modèle pour auditer ses propres applications internes n’y parviendra pas.

Trouver, tout le monde sait faire. Patcher, personne ne suit

Un vétéran de la cybersécurité cité par Fortune pointe le véritable goulot : trouver des failles est désormais automatisable, les corriger ne l’est pas. Chaque vulnérabilité détectée par Mythos ou GPT-5.4-Cyber déclenche une chaîne de correctifs côté éditeur, puis côté distributeur, puis côté administrateur système de la PME finale. À chaque étape, le délai se dilate.

Pour les PME, ce délai est structurellement problématique. Les mises à jour Windows sont souvent retardées de plusieurs semaines par les équipes informatiques internes pour éviter les régressions. Les correctifs des socles applicatifs web traînent encore plus, quand l’application métier n’a pas été touchée depuis deux ans. Si les attaquants développent dans les dix-huit prochains mois des capacités comparables à Mythos — scénario jugé probable par Anthropic dans son communiqué Glasswing — les PME qui auront laissé filer leurs cycles de correctifs seront exposées en première ligne.

Trois réflexes pour absorber la vague qui s’annonce

L’annonce ne donne pas aux dirigeants de PME d’outil nouveau. Elle leur donne des raisons de revoir trois pratiques existantes :

  • Accélérer la cadence d’installation des correctifs, spécifiquement sur les systèmes d’exploitation, navigateurs et moteurs applicatifs exposés à Internet. Passer d’un cycle mensuel à un cycle hebdomadaire pour les correctifs critiques est faisable et devient nécessaire.
  • Segmenter les environnements. Une PME qui héberge son CRM, sa bureautique et ses postes utilisateurs sur le même compte Microsoft 365 subit l’ensemble des failles non corrigées au même moment. Séparer les environnements sensibles (compta, RH) des usages de travail courants limite le rayon d’impact.
  • Vérifier la posture de son prestataire sécurité. Les prestataires informatiques qui ne sont pas au courant de Project Glasswing et de l’annonce OpenAI ne sont pas forcément mauvais, mais ils ne pilotent pas leur veille à la bonne vitesse. Demander au prestataire comment il intègre ces annonces dans sa doctrine de correctifs est un test utile.

Cette semaine marque un moment charnière dans la manière dont l’industrie conçoit la cybersécurité assistée par IA. Les dix-huit prochains mois diront si le pari d’Anthropic et d’OpenAI — confiner les capacités offensives à un cercle vertueux de défenseurs — tient face à la diffusion inévitable des modèles similaires en open source. Les PME n’ont ni la taille, ni l’accès, ni les équipes pour peser dans cette course. Elles ont en revanche tout intérêt à ajuster leur posture défensive avant d’en subir les répercussions.

BGT Consult
Avatar photo
Grégoire Sillard

Directeur de production

Grégoire Sillard, directeur de production chez BGT, conjugue 15 ans d'expertise en projets digitaux avec sa passion pour l'IA. Animé par une curiosité insatiable pour la technologie, il s'attache à réinventer la créativité et l'efficacité en entreprise à travers l'intelligence artificielle.

À lire en ce moment