Claude Mythos : l’Allemagne considère déjà l’IA d’Anthropic comme une menace majeure pour les banques et la cybersécurité européenne

Cette IA capable de découvrir des failles invisibles inquiète l’Europe : pourquoi Mythos déclenche l’alerte en Allemagne

L’Allemagne a décidé de traiter Claude Mythos comme un sujet de sécurité nationale, pas comme une simple nouveauté tech. Le modèle d’Anthropic, présenté comme capable de repérer des failles que des experts et des outils automatisés n’avaient jamais vues, déclenche déjà des discussions dans les milieux bancaires et chez les autorités cyber. Le point marquant, c’est que l’Europe en parle beaucoup… sans forcément pouvoir le tester directement.

Dans ce contexte, la France a un choix à faire, attendre que le débat se règle à Bruxelles, ou construire vite un dispositif de contrôle et d’accès, au moins pour ses secteurs critiques. L’Allemagne, via ses institutions, envoie un message clair, ce type d’IA change la nature des menaces. Et quand la menace change, les délais “administratifs” deviennent un risque en eux-mêmes.

La BaFin alerte les banques allemandes sur Mythos

Le signal le plus concret vient du monde financier. En Allemagne, des acteurs bancaires et la BaFin, le superviseur du secteur, se penchent déjà sur les implications de Claude Mythos. L’idée n’est pas seulement de savoir si l’outil est impressionnant, mais de mesurer ce qu’il provoque dans la chaîne de sécurité, découverte accélérée de vulnérabilités, correction en urgence, et exposition accrue si des correctifs tardent.

Un responsable de la sécurité d’une banque allemande, interrogé dans la presse spécialisée, résume la situation de façon pragmatique, “si une IA trouve des failles plus vite que nos équipes ne peuvent patcher, notre fenêtre de risque s’élargit”. Derrière la formule, tu as un problème classique de cybersécurité, le temps entre la découverte et la correction. Sauf que là, la découverte peut devenir industrielle, et ça change l’équation.

La BaFin pousse les institutions à se préparer à l’apparition de nouvelles failles à réparer “dans un futur proche”. Dit autrement, le superviseur anticipe une hausse du volume de vulnérabilités identifiées, et donc une pression sur les équipes IT, les prestataires, et les calendriers de mise à jour. Dans une banque, une mise à jour, ce n’est pas un clic, c’est des tests, des validations, des contraintes réglementaires, et parfois des dépendances à des logiciels tiers.

Le paradoxe, c’est que Mythos peut aussi aider à mieux se défendre. Utilisé “de manière contrôlée” par des entreprises de sécurité, il sert à corriger plus vite des points faibles. Mais la question qui plane, c’est la symétrie offensive, si des acteurs malveillants obtiennent des capacités comparables, les banques et services en ligne prennent un risque systémique. Et là, l’Allemagne traite le sujet comme un exercice de préparation, pas comme une panique.

Claudia Plattner et le BSI parlent de “changement de paradigme”

La présidente du BSI, l’agence fédérale allemande de cybersécurité, Claudia Plattner, a employé une expression lourde de sens, “changement de paradigme” dans la nature des menaces. Le détail important, c’est que le BSI n’a pas obtenu d’accès direct à Mythos, mais a eu des échanges avec Anthropic, y compris lors de rencontres aux États-Unis. On est dans une situation où l’évaluation se fait en partie “à distance”.

Ce manque d’accès direct n’empêche pas l’Allemagne d’agir politiquement. Les autorités disent prendre ces annonces “très au sérieux” et anticiper une perturbation majeure, à la fois sur la manière dont les vulnérabilités sont gérées, et sur le paysage global des menaces. Concrètement, si la découverte de failles devient plus rapide et plus profonde, les cycles de patch management, les audits, et les politiques de divulgation responsable doivent évoluer.

Dans un scénario défensif, tu peux imaginer un grand éditeur logiciel qui utilise Mythos pour passer au crible des composants anciens, des bibliothèques open source, des briques réseau, et qui découvre des vulnérabilités “historiques”. C’est une bonne nouvelle si cela se traduit par des correctifs. Mais c’est aussi une mauvaise nouvelle si ces failles existent dans des infrastructures critiques, hôpitaux, énergie, transports, et que les mises à jour sont lentes ou impossibles.

Plattner pose aussi une question très directe, est-ce que des outils “d’une puissance extraordinaire” finiront sur le marché ouvert. Là, l’Allemagne met le doigt sur le vrai sujet, la diffusion. Tant que l’accès est limité, le risque est contenu. Si un modèle de ce niveau se banalise, tu n’es plus dans la cybersécurité classique, tu entres dans une course d’armement où la compétence rare, le “super expert”, est partiellement remplacée par une capacité logicielle réplicable.

Anthropic limite Mythos à Project Glasswing et 40 organisations

Anthropic a choisi une stratégie de diffusion restreinte. Mythos n’est pas lancé en accès large, il est réservé à un petit groupe de partenaires dans un programme nommé Project Glasswing. Parmi les organisations citées figurent Apple, Microsoft et Cisco, plus environ 40 entités qui “construisent ou maintiennent des infrastructures logicielles critiques”. Ce choix est salué par une partie des experts, mais il laisse les régulateurs européens dans une position inconfortable.

Anthropic explique vouloir “mettre les risques sur la table”. Son argument, c’est qu’on arrive à un niveau où le modèle commence à dépasser les capacités humaines dans le cyber, au moins pour certaines tâches. Guillaume Princen, en charge des relations avec l’écosystème en Europe, évoque une capacité à repérer des failles restées invisibles pendant des décennies, dans des systèmes déjà testés par des experts et des outils automatisés. Tu comprends le choc, si c’est vrai, la surface de vulnérabilités “dormantes” est potentiellement énorme.

Ce verrouillage de l’accès a une logique, limiter la prolifération, observer les usages, encadrer les tests. Mais il a aussi un effet secondaire, ceux qui ne sont pas dans la liste doivent se contenter d’informations partielles. Un régulateur ou une agence nationale peut difficilement produire une évaluation robuste sans accès technique. Et dans un climat de compétition internationale, les États n’aiment pas dépendre d’un acteur privé étranger pour comprendre un risque majeur.

Il y a aussi un angle économique, Anthropic réalise l’essentiel de son chiffre d’affaires en B2B, et se développe en Europe avec des bureaux à Dublin, Londres, Paris et Munich. Donc oui, l’entreprise veut travailler avec l’Europe. Mais entre “vouloir investir” et “partager l’accès à un modèle sensible”, il y a un fossé. Et ce fossé devient politique quand des secteurs critiques demandent, qui a le droit de tester, selon quelles garanties, et avec quelle capacité de contrôle public.

La Commission européenne discute Mythos sans accès direct au modèle

Le cas de la Commission européenne illustre la fragilité de la position européenne. Elle a rencontré Anthropic à plusieurs reprises depuis l’annonce de Mythos, mais sans obtenir l’accès au modèle, faute d’accord sur la manière de le partager. C’est un point clé, parce que l’Europe se présente souvent comme un “super régulateur” du numérique. Or réguler un système qu’on ne peut pas tester, c’est compliqué, même avec les meilleurs juristes.

Dans les échanges publics, un terme revient, le risque “systémique”. Dans le cadre de l’AI Act, l’idée est qu’un modèle peut poser un risque pour des secteurs critiques, ou produire des effets négatifs raisonnablement prévisibles sur la sécurité publique et économique. Mythos, par ses capacités cyber, entre naturellement dans ce débat. Mais pour qualifier et encadrer, il faut des preuves techniques, des scénarios, des métriques, et une capacité à vérifier.

Ce manque de coopération internationale est souvent comparé à ce qui n’existe pas, il n’y a pas d’équivalent à un traité de non-prolifération pour l’IA. Les gouvernements se regardent avec suspicion, les entreprises courent pour dépasser leurs rivales, et les règles communes avancent lentement. Résultat, les États se retrouvent à bricoler des réponses nationales, pendant que les modèles “frontière” évoluent à un rythme trimestriel, parfois mensuel.

Le Royaume-Uni, lui, a pu tester Mythos via son institut dédié à la sécurité de l’IA, et a même indiqué avoir “agi” sur la base de ses résultats. Ce contraste met la pression sur les pays de l’UE, Allemagne incluse, mais aussi France. Si certains partenaires ont des informations opérationnelles et d’autres non, tu crées une asymétrie de préparation. Et dans le cyber, l’asymétrie se paye cash, en incidents, en rançongiciels, en interruptions de service.

Pourquoi la France aurait intérêt à lancer un examen national

La France a déjà des acteurs publics et privés capables de travailler sur des menaces avancées, mais l’enjeu ici, c’est l’accès et la méthode. Si l’Allemagne mobilise superviseur financier et agence cyber, Paris pourrait articuler une réponse autour de ses autorités compétentes et de ses opérateurs d’importance vitale. L’objectif n’est pas d’obtenir Mythos pour “jouer avec”, c’est de bâtir une capacité d’évaluation, de définir des règles de test, et de préparer des plans de correction accélérée.

Un expert français en cybersécurité, “Marc R.”, me disait récemment, “le problème n’est pas que Mythos trouve des failles, le problème c’est le goulot d’étranglement derrière”. Il vise le patching, la gestion de crise, la communication, et la coordination entre éditeurs, prestataires et clients. Si une IA augmente brutalement le volume de failles exploitables, les équipes SOC, les CERT, et les RSSI vont devoir prioriser plus vite, automatiser davantage, et accepter une part de risque résiduel.

Il y a aussi une nuance à poser, Mythos est présenté comme très fort en cybersécurité, mais ses concepteurs indiquent que les risques actuels restent faibles sur d’autres dimensions, comme l’aide à la production d’armes chimiques ou biologiques, ou l’automatisation massive de la R&D. C’est important, parce que le débat public mélange souvent tout. Ici, le cur du sujet, c’est la sécurité des systèmes numériques, et la capacité à découvrir et potentiellement exploiter des vulnérabilités.

Si la France veut suivre, elle peut pousser deux leviers concrets, d’un côté, exiger une voie d’accès encadrée pour les régulateurs et agences nationales, de l’autre, renforcer l’obligation de correction rapide dans les secteurs critiques, avec des exercices de crise plus fréquents. Et il faut le dire, attendre une solution parfaite au niveau européen, c’est confortable sur le papier, mais dans le cyber, la fenêtre d’opportunité pour agir se referme vite, surtout quand les modèles avancent plus vite que les textes.