Jusqu’à présent, la cybersécurité s’est largement construite, dans l’imaginaire collectif, autour d’une logique de résistance. Résister aux attaques, colmater les failles, construire des systèmes suffisamment robustes pour empêcher l’intrusion. Une approche presque physique, héritée du monde des forteresses : ériger des murs toujours plus solides face à des adversaires toujours plus ingénieux.

L’arrivée du modèle Claude Mythos d’Anthropic marque peut-être la fin de cette vision.

Non pas parce que les attaques deviennent soudainement impossibles à contenir, mais parce que la nature même du problème évolue. Mythos ne se contente pas d’améliorer la cybersécurité. Il en modifie profondément les fondements, en révélant une réalité que l’industrie pressentait sans jamais vraiment l’assumer : la vulnérabilité n’est pas une anomalie ponctuelle, c’est un état permanent.

Anthropic présente Mythos comme une avancée majeure, un modèle capable de dépasser presque tous les humains dans la détection de vulnérabilités. Mais ce qui marque véritablement une rupture, ce n’est pas seulement sa capacité à identifier des failles. C’est sa capacité à les exploiter. Le modèle a déjà permis de découvrir des milliers de vulnérabilités critiques, y compris dans tous les grands systèmes d’exploitation et navigateurs, certaines étant restées invisibles pendant des décennies malgré des audits intensifs. Plus troublant encore, il peut produire des exploits fonctionnels en quelques heures, parfois sans intervention humaine, et chaîner plusieurs vulnérabilités pour contourner des mécanismes de défense pourtant réputés robustes.

Anthropic va plus loin en reconnaissant explicitement que ces capacités ne resteront pas confinées longtemps. À mesure que les modèles progressent, ce type de compétence se diffusera inévitablement, y compris entre les mains d’acteurs malveillants. Les conséquences potentielles sont considérables, touchant directement les infrastructures critiques, les systèmes financiers, la sécurité des états et l’économie globale.

Pendant longtemps, la cybersécurité reposait sur un équilibre implicite. Les vulnérabilités existaient, mais leur découverte et leur exploitation nécessitaient du temps, des compétences rares et des ressources importantes. Ce délai créait une forme de tampon. Il donnait aux organisations le temps de corriger, de patcher, d’absorber le choc.

Mythos a supprimé ce délai.

Là où il fallait auparavant des jours ou des semaines pour transformer une vulnérabilité connue en exploit opérationnel, ce processus peut désormais être automatisé et compressé en quelques heures. Ce simple changement de temporalité suffit à bouleverser l’ensemble de l’écosystème. Car la cybersécurité n’est pas seulement une question de capacité, c’est une question de vitesse. Et sur ce terrain, l’IA bat tous les records.

Les conséquences commencent déjà à se faire sentir. Les régulateurs financiers s’inquiètent de la capacité de ces modèles à exploiter des failles dans les systèmes bancaires. Les agences de cybersécurité alertent sur une accélération des attaques, capables de combiner des vulnérabilités mineures en chaînes d’exploitation sophistiquées. Dans ce contexte, l’industrie s’organise.

C’est précisément l’objectif de Project Glasswing, l’initiative lancée par Anthropic avec les principaux acteurs technologiques mondiaux tels que Microsoft, AWS, Google, Apple, Cisco, CrowdStrike ou encore JPMorgan. 

L'objectif est clair : utiliser ces capacités offensives inédites à des fins défensives, en sécurisant en priorité les logiciels les plus critiques sur lesquels repose l’économie mondiale. Plus de quarante autres organisations, notamment issues de l’open source, ont également été intégrées à ce programme, investissant fortement pour accélérer la sécurisation des infrastructures numériques.

Mais derrière cette mobilisation, une réalité plus profonde se dessine.

Les systèmes qui soutiennent nos sociétés comme les banques, les hôpitaux, les réseaux énergétiques et les infrastructures publiques ont toujours contenu des failles. Certaines sont mineures, d’autres peuvent permettre des compromissions majeures. Jusqu’ici, une grande partie de ces vulnérabilités restaient invisibles, faute de moyens pour les détecter. Aujourd’hui, ce n’est plus le cas.

Les modèles comme Mythos changent l’équation en réduisant drastiquement le coût, le temps et l’expertise nécessaires pour découvrir et exploiter ces failles. Là où la recherche de vulnérabilités était autrefois un travail d’experts, elle devient progressivement automatisable et scalable.

Le problème n’est donc plus de savoir si un système est vulnérable, mais à quel point il l’est et surtout, à quelle vitesse ces vulnérabilités peuvent être découvertes et exploitées. C’est un changement de paradigmes pour la cybersécurité.

La cybersécurité telle que nous la connaissions reposait sur un objectif implicite : réduire les vulnérabilités à un niveau acceptable, voire les éliminer dans certains environnements critiques. Cette situation devient difficilement tenable dans un monde où des modèles peuvent explorer, tester et exploiter des systèmes à une échelle et une vitesse inédites.

Face à cette nouvelle donne, la logique de résistance atteint ses limites. On ne peut plus espérer construire des systèmes parfaitement sécurisés. Non pas parce que les équipes sont insuffisamment compétentes, mais parce que le champ des vulnérabilités est trop vaste et que les outils pour les explorer deviennent infiniment plus puissants.

La cybersécurité entre dans une nouvelle ère : celle de la résilience.

L'objectif n'est plus seulement de réduire la surface d’attaque, mais de concevoir des systèmes capables d’encaisser une compromission sans s’effondrer, de détecter rapidement les incidents, de contenir leur propagation et de restaurer les opérations.

Ce changement est déjà perceptible dans certaines stratégies industrielles. Des acteurs comme Zscaler en tirent une conclusion radicale : dans un monde où les vulnérabilités sont découvertes à vitesse grand V, la sécurité ne peut plus reposer uniquement sur le patching a posteriori. Elle doit devenir structurelle. Réduire la surface d’attaque à la source, repenser les architectures, limiter les dépendances, isoler les systèmes critiques. 

Autrement dit, déplacer la sécurité du correctif vers une approche où les systèmes sont architecturés dès leur conception pour être sécurisés, en intégrant les mécanismes de protection et de reconstruction directement dans leur architecture plutôt qu’en les ajoutant après coup. 

Cela implique également de renforcer des pratiques essentielles comme la mise en place de sauvegardes régulières, immuables, isolées et vérifiées, capables de garantir une restauration rapide des systèmes en cas de compromission. Dans un environnement où les attaques peuvent se propager et causer des dommages en quelques minutes, la capacité à revenir à un état sain rapidement devient un pilier fondamental de la résilience.

Le paradoxe de Mythos est qu’il renforce simultanément les défenseurs et les attaquants : Il permet de corriger plus vite, mais aussi d’exploiter plus vite. Il ouvre la voie à une cybersécurité plus efficace à long terme, tout en augmentant les risques à court terme. Nous entrons dans une phase de transition instable, où les équilibres traditionnels sont remis en question sans qu’un nouveau modèle stabilisé n’ait encore émergé. Ce n'est qu'une question de temps. 

Anthropic lui-même le reconnaît : Le Project Glasswing n’est qu’un point de départ. Aucun acteur ne peut répondre seul à ces enjeux. La sécurisation du cyberespace à l’ère de l’IA nécessitera une coordination étroite entre les entreprises, les universités, les chercheurs, l'open source et les états. Dans ce contexte, ce qui disparaît progressivement, ce n’est pas la cybersécurité. C’est l’illusion de contrôle.

Pendant longtemps, nous avons pensé pouvoir contenir le risque, le réduire, le maîtriser. Mythos nous rappelle que ce contrôle est relatif. Les systèmes sont complexes, les vulnérabilités nombreuses voir infinies et les outils pour les exploiter deviennent de plus en plus puissants et rapides. 

La cybersécurité de demain ne sera pas celle des systèmes inviolables. Elle sera celle des systèmes capables de se reconstruire rapidement pour survivre.

En ce sens, Mythos ne rebat pas seulement les cartes de la cybersécurité, il redéfinit les règles du jeu. Et dans cette nouvelle version, la résilience n’est plus une option, c'est la condition même de la sécurité.