Mythos présage-t-il de la généralisation d’un monde cyber à deux vitesses ?

Anthropic a marqué les esprits cette semaine en annonçant la disponibilité de Claude Fable 5, basé sur le modèle de dernière génération Mythos. Cela fait plusieurs mois que l’arrivée de cette technologie fait jazzer, du fait des mises en garde d’experts en cybersécurité (et d’Anthropic elle-même) concernant l’impact majeur que pourrait avoir la démocratisation de ces capacités sur la mise en danger des entreprises. Dans notre grand entretien de la semaine, Marc Tournier, Group CISO d’Eramet, le résume bien : « Le point clé est que Mythos ne va pas seulement chercher des « zero days » ou des vulnérabilités, comme nous le faisions avant […] c’est plutôt l’équivalent de faire travailler une équipe de red team senior sur des scénarios d’attaque spécialisés et très concrets. » Et d’en tirer directement une conséquence : « Nos KPI historiques de performance, basés sur le temps nécessaire pour corriger une vulnérabilité, ne vont plus vouloir dire grand-chose. » Avec, à la clé, une multiplication des compromissions. Face à la levée de boucliers, Anthropic a pris les devants et a indiqué que Fable 5 serait bridé. Les requêtes en matière de cybersécurité devraient être traitées par le précédent Claude Opus 4.8. Enfin, pas pour tout le monde, puisque l’accès à la puissance de Mythos 5 sera possible pour les membres « de confiance » du consortium Glasswing, puis pour de futurs clients triés sur le volet. Il faut donc espérer que l’organisation jouera vraiment le jeu du collectif pour ne pas laisser certaines entreprises et leurs défenseurs sur le bord de la route.

Éviter le scénario d’une cyberdéfense IA « America Only »

En effet, la course à l’armement des modèles d’IA ne va pas s’arrêter en si bon chemin. Avec Fable 5, Anthropic bat pour le moment ses concurrents dans tous les benchmarks. Mais la situation ne va pas se figer : il ne faudra que quelques mois, voire quelques semaines, pour que des capacités de déséquilibre cyber identiques à celles apportées par Mythos se retrouvent proposées par d’autres acteurs. On a du mal à croire au respect d’une discipline généralisée sur d’éventuels « gardes-fous », alors que la concurrence est à couteaux tirés, y compris avec des acteurs chinois. Autrement dit, les attaquants pourront accéder prochainement, d’une façon ou d’une autre, à cette puissance de déstabilisation. Si ce n’est d’ailleurs pas déjà le cas. Au-delà d’Anthropic, le consortium Glasswing, regroupe AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Microsoft, NVIDIA, Palo Alto Networks et la Fondation Linux. Charge à ces « leaders », donc, d’assurer que les impacts négatifs de l’IA appliquée à la cyber ne se feront pas ressentir, en bout de chaîne, sur les entreprises utilisatrices. Face à cet enjeu, les douze partenaires fondateurs ont embarqué ces dernières semaines quarante organisations construisant des infrastructures critiques ou assurant leur maintenance aux États-Unis. S’il est difficile d’éviter le sentiment d’une posture « America First », le consortium veut faire mentir l’accusation du « America Only » en élargissant l’accès à 150 organisations issues de 15 pays différents. De même, en soutenant les initiatives open source afin de les aider à s’adapter. Est-ce suffisant face à un scénario qui est décrit comme une potentielle « apocalypse cyber » beaucoup plus imminente que l’avènement de l’informatique quantique ? Le ruissellement protecteur aura-t-il bien lieu ? L’avenir (proche) le dira.