top of page
VEIA.AI-logo

Mythos révèle la seule faille que l'IA ne corrigera jamais

  • Photo du rédacteur: Christophe Picou
    Christophe Picou
  • 13 avr.
  • 5 min de lecture

Le 7 avril 2026, Anthropic a annoncé Claude Mythos Preview, un modèle d'intelligence artificielle capable de découvrir et d'exploiter de façon autonome des milliers de vulnérabilités zero-day dans chaque système d'exploitation et navigateur majeur. L'entreprise a jugé le modèle trop puissant pour être rendu public. Elle l'a réservé à un consortium défensif baptisé Project Glasswing : AWS, Apple, Microsoft, Google, CrowdStrike, NVIDIA, Cisco, JPMorgan, Palo Alto Networks. Cent millions de dollars en crédits d'utilisation pour soutenir l'initiative. Zéro acteur européen parmi les membres annoncés.


Le BSI allemand est le seul organisme européen à avoir réagi publiquement, évoquant des "implications profondes pour la souveraineté nationale et européenne". La Commission européenne "évalue les implications". L'ANSSI, la FINMA, l'AMF, l'ACPR, la BCE : silence. Les marchés, eux, ont répondu immédiatement : 2 000 milliards de dollars de capitalisation effacés sur le secteur logiciel. Le Trésor américain et la Fed ont convoqué les PDG des grandes banques. Les fournisseurs de cybersécurité préparent déjà leurs offres "post-Mythos".


Le cycle de la gouvernance par la peur est enclenché. C'est précisément ce cycle qu'il faut interrompre pour poser la bonne question : de quoi Mythos est-il réellement le révélateur ?


Mythos trouve les failles du code. Les brèches passent par les humains.


Mythos identifie des vulnérabilités dans le code. C'est un fait technique documenté, et c'est impressionnant. Mais les données consolidées sur les brèches de sécurité racontent une histoire que les directions générales sous-pondèrent systématiquement : entre 60 et 95 % des incidents de cybersécurité impliquent un facteur humain. Stanford estime que 88 % des cyberattaques sont directement ou indirectement liées à l'erreur humaine. Le rapport Verizon DBIR 2025 identifie le facteur humain dans 60 % des brèches confirmées. Mimecast chiffre le coût moyen d'un incident d'origine interne à 13,1 millions de dollars, avec une fréquence de six incidents par mois dans les organisations étudiées.


Le phishing initie 80 à 95 % des brèches liées à l'humain. Les credentials volés apparaissent dans 22 % des brèches. Les faiblesses d'identité sont présentes dans 90 % des investigations. Un MFA correctement déployé prévient plus de 99 % des attaques basées sur l'identité. Ce sont des fondamentaux organisationnels, accessibles à toute direction générale qui décide de s'en emparer.


Un exploit de classe Mythos qui rencontre une organisation où les accès sont mal cartographiés, où le shadow AI prolifère sans cadre, où les collaborateurs utilisent des outils IA sans gouvernance, où personne au COMEX ne sait quelles dépendances logicielles tournent en production - cet exploit traverse l'organisation comme un courant traverse un conducteur sans résistance. Le même exploit, face à une organisation qui gouverne ses usages, qui a acculturé ses équipes, qui a installé des réflexes de remontée et de décision - cet exploit rencontre de la friction à chaque couche. Détecté plus tôt, contenu plus vite, remédié à moindre coût.


La gouvernance est le multiplicateur de force de la cybersécurité technique. Sans elle, les meilleurs outils du monde protègent une maison dont les portes restent ouvertes.

La gouvernance par la peur coûte plus cher que la faille elle-même


Pour un COMEX européen, le risque immédiat porte un nom : la décision réactive.

Acheter des solutions de sécurité IA qui reposent elles-mêmes sur AWS, Google ou Microsoft pour accéder à des capacités de classe Mythos, c'est approfondir la dépendance que l'on prétend corriger.

DORA exige des institutions financières qu'elles évitent la surconcentration chez leurs fournisseurs tiers. Mais le chemin vers les capacités défensives les plus avancées passe exclusivement par les mêmes fournisseurs qui créent le risque de concentration. Le paradoxe est structurel. Il se résout par une décision de gouvernance, jamais par un achat supplémentaire.


Le timing de l'annonce Anthropic mérite d'être lu avec la même lucidité. L'entreprise prépare une introduction en bourse estimée à 380 milliards de dollars pour octobre 2026. Les 100 millions de crédits Glasswing créent une dépendance d'usage chez les partenaires. Bruce Schneier qualifie l'annonce de "mostly marketing hype". AISLE démontre que des modèles open-source à faible coût détectent les mêmes vulnérabilités phares. Ramez Naam montre que la progression de Mythos est incrémentale, cohérente avec la tendance. Gary Marcus parle de "doomsday marketing". Un dirigeant qui investit sans avoir pesé ces contre-arguments réagit. Il ne gouverne pas.


Un même pattern, trois échelles


Ce que Mythos met en lumière à l'échelle géopolitique, le shadow AI le révèle déjà à l'échelle de chaque organisation. Le mécanisme est identique.


  1. Dans l'entreprise : l'institution fonctionne sans cadre pour l'usage de l'IA. Les collaborateurs optimisent par des usages non déclarés. Le risque - données exposées, dépendances invisibles, décisions biaisées - est reporté sur le collectif.


  2. À l'école : l'institution fonctionne sans cadre pour l'usage de ChatGPT. Les élèves optimisent par un usage clandestin. Le coût - évaluation faussée, apprentissage dégradé - est reporté sur le système éducatif.


  3. Face à Mythos : l'Europe fonctionne sans cadre pour cette nouvelle donne. L'acteur dominant optimise pour ses propres intérêts. Le risque - dépendance structurelle, asymétrie défensive, perte de souveraineté décisionnelle - est reporté sur les organisations qui ont laissé d'autres décider à leur place.


Dans les trois cas, la réponse est la même. Gouverner : décider qui utilise quoi, dans quel cadre, avec quelles limites, sous quelle autorité. Décider avant de subir.


Ce qu'un COMEX doit traiter avant d'acheter quoi que ce soit


  • Cartographier ses dépendances logicielles réelles.

  • Identifier quels systèmes critiques sont couverts par Glasswing.

  • Évaluer si l'organisation bénéficiera des correctifs via ses éditeurs habituels - ce qui est probable - ou si elle a besoin d'un accès direct au modèle - ce qui est improbable pour la quasi-totalité des entreprises européennes.

  • Vérifier que les fondamentaux sont en place : gestion des identités, MFA déployé, sauvegardes immuables, patching accéléré.

  • Et surtout, s'assurer qu'un humain dans l'organisation porte la responsabilité de cette cartographie au niveau de la direction générale.


NIS2 impose la responsabilité personnelle des dirigeants, avec des sanctions allant jusqu'à 2 % du chiffre d'affaires mondial. DORA impose un délai de notification de quatre heures pour incident majeur. Le NACD 2026 montre que 62 % des administrateurs consacrent du temps aux discussions IA en séance plénière, mais que 66 % déclarent des connaissances limitées ou inexistantes sur le sujet. L'écart entre la responsabilité juridique et la compétence réelle est le vrai zero-day des conseils d'administration européens.


Mythos passera. Un autre modèle le remplacera. Puis un autre encore. Chaque génération trouvera ce que la précédente ignorait. La seule constante qui tient face à cette accélération, c'est la capacité d'une organisation à décider en connaissance de cause. La souveraineté décisionnelle face à l'IA se construit avant la crise. Après, elle se subit.

Christophe Picou - Fondateur, VEIA.AI Cadrer la décision IA avant qu'elle s'engage. Conseil stratégique indépendant auprès des COMEX et conseils d'administration. France et Suisse .








bottom of page