Comment les équipes de sécurité peuvent-elles se préparer à un avenir post-mythe ?

By Phil Muncaster • 7 mai 2026 • 6 min de lecture

Le secteur de la cybersécurité vient peut-être de vivre son « moment ChatGPT ». Dévoilée début avril, la nouvelle solution d'Anthropic Modèle d'aperçu Claude Mythos Anthropic aurait découvert des milliers de failles zero-day critiques et de haute gravité dans des logiciels libres et propriétaires, certaines datant de plus de 20 ans. Ce faisant, elle promet de réduire considérablement la fenêtre d'exploitation durant laquelle les équipes de défense des réseaux s'efforcent de corriger les vulnérabilités avant leurs adversaires. La décision d'Anthropic d'utiliser ce modèle dans Projet Glasswing – où les fournisseurs utiliseront cette technologie pour trouver et corriger de nouvelles vulnérabilités – provoquera encore plus de perturbations.

Il est difficile de surestimer l'impact que cela aura sur les équipes de sécurité. Mais elles ont un atout de taille : l'information est désormais parvenue jusqu'aux instances dirigeantes. Il pourrait s'agir d'une occasion en or d'obtenir les financements et les ressources nécessaires à une nouvelle ère de gestion des vulnérabilités pilotée par l'IA.

Quelles conséquences cela a-t-il pour les RSSI ?

Même si Mythos parvient à être protégé des pirates informatiques, ce ne sera pas le cas pour d'autres solutions proposées par d'autres fournisseurs. Les conséquences pour les RSSI sont majeures :

À court terme, les équipes seront probablement inondées de correctifs d'urgence provenant de fournisseurs inscrits au projet Glasswing.
Les acteurs étatiques pourraient chercher à utiliser assez rapidement les exploits zero-day accumulés, avant que leur découverte par l'IA ne les rende inutiles.
À plus long terme, les RSSI peuvent s'attendre à ce que des capacités similaires à celles de Mythos tombent entre les mains de cybercriminels et d'acteurs étatiques. Cela « augmentera considérablement » le nombre et la fréquence des attaques complexes et inédites, selon une nouvelle étude. rapport de l'industrie.

Mythos est-il un bon jeu ?

D’après le rapport – produit par la Cloud Security Alliance (CSA), l’OWASP, le SANS et d’autres organismes – Mythos représente une avancée majeure dans la découverte et l’exploitation des vulnérabilités grâce à l’IA. Le rapport affirme que les modèles de ce type se distinguent par les caractéristiques suivantes :

Plus autonomes et fiables, les exploits se développent de manière autonome sans avoir besoin d'« échafaudage » – le code externe et les garde-fous dont les LLM ont souvent besoin pour fonctionner.
Capable d'identifier des vulnérabilités complexes et enchaînées
Capable de tout faire avec une seule instruction

Cependant, après avoir testé Mythos, L'Institut britannique de sécurité de l'IA (AISI) L'utilisation de Mythos Preview comporte toutefois d'importantes réserves. Un nouveau rapport révèle que, pour les tâches de capture de drapeau de niveau expert, Mythos Preview réussit dans 73 % des cas. Cependant, les cyberattaques réelles sont bien plus complexes. C'est pourquoi l'AISI a développé « The Last Ones » (TLO) : une simulation d'attaque de réseau d'entreprise en 32 étapes, allant de la reconnaissance initiale à la prise de contrôle totale du réseau. Un humain mettrait environ 20 heures pour la mener à bien. Bien que Mythos ait été le premier modèle à résoudre TLO de bout en bout, il n'y est parvenu que trois fois sur dix. L'AISI précise qu'une puissance de calcul plus importante pourrait permettre d'obtenir des performances encore meilleures.

Plus important encore, l'institut affirme que cela prouve simplement que Mythos est capable d'« attaquer de manière autonome des systèmes d'entreprise de petite taille, faiblement défendus et vulnérables, après avoir obtenu l'accès au réseau ». Dans la réalité, la situation serait bien plus complexe grâce à la présence de « systèmes de défense actifs et d'outils de protection ».

Se préparer à une ère post-mythique

Dans l’intervalle, l’AISI a recommandé aux équipes de sécurité de se concentrer sur les fondamentaux : « l’application régulière des mises à jour de sécurité, des contrôles d’accès robustes, une configuration de sécurité adéquate et une journalisation complète ». Elle a également souligné que utilisation défensive de la frontière L'IA pour des choses comme :

Le renforcement du système passe par une analyse continue permettant de détecter les failles et les erreurs de configuration, de cartographier les vecteurs d'attaque et de tester l'exploitabilité.
Amélioration de la détection et de l'investigation des menaces par le tri, le repérage des schémas dans les journaux et la rédaction de synthèses de rapports.
Automatisation des actions de réponse telles que le blocage du trafic, la mise en quarantaine des processus et la révocation de l'accès utilisateur

Martin Riley, directeur technique de Bridewell, ajoute que les RSSI devraient commencer par la gestion continue de l'exposition aux menaces (CTEM) de toute urgence.

« Inventaire des actifs, priorisation de la surface d'attaque, validation des contrôles et mobilisation pour la remédiation : sans visibilité continue sur votre exposition, vous naviguez à vue », explique-t-il à IO (anciennement ISMS.online). « Deuxièmement, testez la robustesse de votre système de détection face à des menaces inédites. Investissez dans la détection d'anomalies et la télémétrie réseau approfondie. Les approches basées sur les signatures ne détectent pas les chaînes d'exploitation générées par l'IA. »

Les RSSI doivent également préparer leurs équipes à une période d’« intensité opérationnelle soutenue », prévient Riley.

« Le document de la CSA a, à juste titre, mis en lumière l'épuisement professionnel comme un risque opérationnel. Les RSSI doivent planifier leurs effectifs, augmenter leurs besoins en personnel et accélérer l'utilisation d'agents d'IA au sein de leurs équipes pour rester compétitifs », affirme-t-il. « Enfin, il est essentiel de renforcer les fondamentaux : segmentation, filtrage du trafic sortant, authentification multifacteur résistante au phishing et défense en profondeur. Ces contrôles augmentent le coût d'exploitation, quelle que soit la méthode de découverte de la vulnérabilité. La maturité ne s'acquiert pas du jour au lendemain. Il est temps d'investir. »

Les cadres existants comme fondement

Jeff Williams, fondateur d'OWASP et directeur technique de Contrast Security, soutient que les normes et cadres de bonnes pratiques existants, tels que l'ISO 27001 et le NIST CSF, peuvent jouer un rôle dans la transition vers un monde post-Mythe.

« Les cadres existants peuvent être utiles, mais surtout en tant que liste de résultats conceptuels souhaités. Ils exigent gouvernance, visibilité, contrôle, détection, réponse et amélioration continue », explique-t-il à IO. « Mais dans un monde post-Mythos où développeurs et attaquants sont hyper-accélérés par l'IA, presque chaque activité sous-jacente à ces cadres doit être repensée pour atteindre ces résultats grâce à des flux de travail optimisés par l'IA. »

Il ne s’agit pas de faire le même travail plus rapidement, mais plutôt de transformer une « sécurité périodique, manuelle et superficielle » en quelque chose de « plus continu, plus lisible par machine et plus défendable », poursuit-il.

« Le CTEM, la détection assistée par l'IA, la sécurité en temps réel et l'observation continue sont les moyens de transformer ces idées de cadre en une véritable garantie que la sécurité est effectivement correcte et efficace tout au long du développement et des opérations », affirme Williams.

Pukar Hamal, fondateur et PDG de SecurityPal AI, reconnaît également l'importance des normes ISO 27001, NIST CSF, SOC 2 et même Cyber Essentials. « Ce sont encore d'excellents points de départ, car elles imposent une discipline fondamentale qui fait souvent défaut aux organisations : un inventaire des actifs, une définition claire des personnes autorisées à y accéder et une procédure documentée pour réagir en cas d'incident », explique-t-il à IO. « Rien de tout cela ne disparaîtra après la fin de la crise de 2008. »

Toutefois, les RSSI devront bâtir leur stratégie de sécurité post-Mythe sur une assurance continue et non sur une attestation périodique.

« Les responsables de la sécurité les plus avisés avec lesquels je discute considèrent déjà la norme ISO 27001 comme un socle et construisent discrètement eux-mêmes la deuxième couche », conclut-il.

Élargissez vos connaissances

Podcast: Hameçonnage à des fins malveillantes - Épisode n° 08 : Logiciels sûrs, entreprises plus sûres

Guide: Sécuriser la surface d'attaque de l'IA

Blog: Pourquoi les organismes de réglementation et les investisseurs attendent des entreprises qu'elles s'attaquent à un triple risque

Comment les équipes de sécurité peuvent-elles se préparer à un avenir post-mythe ?

Quelles conséquences cela a-t-il pour les RSSI ?

Mythos est-il un bon jeu ?

Se préparer à une ère post-mythique

Les cadres existants comme fondement

Élargissez vos connaissances

Phil Muncaster

Articles connexes

Le déficit de gouvernance : pourquoi la loi européenne sur l’IA marque le moment où les conseils d’administration ne peuvent plus considérer la conformité comme le problème d’autrui.

Pourquoi la cyber-résilience reste un objectif lointain pour de nombreuses entreprises britanniques

IO rafle 11 badges dans le rapport G2 Grid Leader pour l'été 2026

Plus d'articles de Phil Muncaster

Pourquoi la cyber-résilience reste un objectif lointain pour de nombreuses entreprises britanniques

Le discours du roi 2026 : Comment les nouvelles lois impacteront la cybersécurité et la conformité

Pourquoi la mise à jour du NIS britannique pourrait entraîner un surcroît de travail pour les organisations concernées