"La dernière fenêtre cyber” pour éviter le cataclysme Mythos, alerte le Campus Cyber 

Des dizaines de failles détectées dans des infrastructures estimées fiables, une vague de cyberattaques, des systèmes de protection informatique dépassés… L’arrivée du modèle Claude Mythos Preview il y a quelques semaines a déclenché une alarme dans le monde de la cybersécurité. Dans ce brouhaha médiatique, une voix européenne s’élève et se fait guide. C’est le Campus Cyber qui a choisi de revêtir ce rôle de phare dans une période noire d’inquiétude. L’affolement se justifie. Le dernier modèle dévoilé par Anthropic progresse à grande vitesse dans les standards de performance cyber, au point de s’approcher du point critique : celui où une IA deviendrait plus performante que des experts humains pour identifier des vulnérabilités. La supériorité des modèles, bien qu’inévitable, interroge néanmoins sur un facteur essentiel. Si la connaissance est transfrontalière, les technologies d’IA, elles, ont souvent des propriétaires. Américains en l’occurrence.  

En possession d’une IA capable d’exposer des dizaines de faille, jusque-là inconnues, sur des infrastructures qu’on croyait solides, un cercle restreint d’acteurs américains a choisi de ne pas encore diffuser publiquement la technologie. Loin de vouloir épargner l’humanité d’un choc cyber, les onze membres du projet Glasswing se réservent l’usage de Claude Mythos pendant au moins trois mois afin de tester et de renforcer la robustesse de leur système de protection informatique face au modèle. Une mesure de prévention donc, pour rester debout quand le déluge s’abattra. « L’Europe est dans une situation d’infériorité et de marginalisation extrêmement forte », reconnaît Joffrey Célestin-Urbain, président du Campus Cyber.  

Un déluge dans maximum 10 mois   

S’il apparaît essentiel que les Européens puissent, eux aussi, disposer de tels outils pour renforcer et auditer leurs systèmes de défense, l’ouverture de ces modèles soulève une autre inquiétude, bien plus difficile à contenir. Dans le monde de la cybersécurité, l’IA est souvent décrite comme à la fois un bouclier et un marteau : un outil capable de protéger autant que de frapper. Entre de mauvaises mains, ces capacités pourraient accélérer massivement la découverte, certes, mais surtout l’exploitation de failles. Or, pour les experts du Campus Cyber, l’accès généralisé à ce type de modèle n’est plus qu’une question de temps. Ils estiment qu’une version ouverte -probablement issue d’acteurs chinois - pourrait émerger dans un délai de six à dix mois. Avec, à la clé, le risque d’une vague de cyberattaques d’une ampleur inédite. « La probabilité d’un déluge de vulnérabilités est très élevée », alerte Joffrey Célestin-Urbain. 

Le scénario esquissé dans la note d’analyse provoque quelques frissons. Une campagne mondiale massive de détection et de révélation de nouvelles vulnérabilités répandues dans une multitude de systèmes d’information, parfois critiques. Le problème n’est pas tant la découverte des failles que l’absence, au même rythme, de solutions pour les corriger. L’IA sait pointer les vulnérabilités, mais pas encore fournir instantanément les correctifs adaptés. Cette asymétrie pourrait créer un déséquilibre inédit en faveur des attaquants. Les acteurs qui auront eu un accès précoce à ces modèles disposeront d’une avance stratégique pour renforcer leurs défenses avant les autres. Face au déluge annoncé, ils formeront une sorte d’« arche de Noé » numérique : suffisamment solides pour traverser la tempête cyber, ils deviendront des refuges vers lesquels se tourneront entreprises et clients en quête de stabilité. Même si, au sommet du mât, flotte un drapeau américain.  

Durcir la posture de gestion des risques cyber, sans attendre 

Pour autant, l’Europe n’est pas démunie. Le Campus Cyber appelle dès aujourd’hui les DSI et les RSSI à se préparer à ce basculement, même sans bénéficier d’un accès privilégié à ces modèles.  "Le jour où la vague arrivera, l’agenda opérationnel des équipes informatiques sera bouleversé », prévient la note analytique. Le document recommande ainsi aux organisations de durcir leur posture de gestion des risques cyber, sans attendre, ce mois-ci. Le document souligne néanmoins un obstacle bien connu dans les stratégies de cybersécurité européennes : la difficulté à réagir avant qu’une crise ne devienne visible et concrète. Un obstacle compréhensible, les DSI et RSSI peinent à accorder une bande passante déjà sous-tension sans comprendre l’ampleur des dégâts possibles. Une inertie qui pourrait pourtant se révéler particulièrement coûteuse dans le contexte actuel. « C’est comme si on nous avait prévenus de l’arrivée de la pandémie du Covid plusieurs mois à l’avance », illustre Tom David, PDG de GPAI Policy Lab.  

Si l’arrivée de Claude Mythos a eu le mérite de tirer la sonnette d’alarme, elle ne doit pas faire oublier la forêt derrière l’arbre. Mythos est d’abord un phénomène illustrant les dangers de l’IA pour la cybersécurité. Longtemps discutés de manière théorique, ils sont désormais saisissables. « Se focaliser uniquement sur Mythos, ce serait prendre l’ombre pour la proie », précise encore Tom David. Dans cette perspective, les organisations sont invitées à rehausser immédiatement leur niveau de préparation. Cela implique de vérifier leur hygiène cyber, de cartographier précisément leurs dépendances et leurs actifs critiques, mais aussi de s’entraîner à des simulations de crise à grande échelle, capables de reproduire une vague massive de vulnérabilités - par exemple 20 à 30 failles à traiter en deux à trois heures dans un scénario de type “Perfect Storm”. Enfin, les organisations doivent créer un plan de défense augmenté par l’IA pour automatiser le triage des vulnérabilités, à condition toutefois d'utiliser une IA européenne ou open source. 

Une rupture structurelle pour les entreprises cyber

Ce travail est d’autant plus essentiel pour les TPE et les PME, qui comptent parmi les acteurs les plus exposés, avec des marges de manœuvre bien plus limitées que des organisations déjà avancées dans l’intégration de l’IA. Le secteur industriel, fréquemment confronté à des systèmes d’information vieillissants, devrait lui aussi engager rapidement ce type de réflexion. Mais l’enjeu ne s’arrête pas là. Il touche aussi directement l’industrie de la cybersécurité elle-même, dont le modèle économique pourrait être profondément remis en cause. « On est face à une perspective de reconfiguration de la cybersécurité : aujourd’hui, c’est presque une industrie de l’épuration, du nettoyage de failles logicielles introduites dès la conception. L’IA va percuter ce modèle, parce que si l’on développe un logiciel avec une IA intégrée dès le départ pour corriger les bugs en amont, la pression sur la cybersécurité classique diminue », explique-t-il. « Si tout est propre dès la conception, il n’y a plus autant de correctifs à apporter ensuite », poursuit-il. Dans cette logique, l’IA pourrait progressivement bousculer la cybersécurité traditionnelle, obligeant tout un pan de l’industrie à se réinventer. « La trajectoire globale de la cybersécurité s’annonce donc surdéterminée par celle de l’IA, ce qui crée une nouvelle forme de dépendance trans-sectorielle : lorsqu’un secteur entier doit intégrer en son sein un environnement technologique, stratégique, opérationnel, culturel et humain façonné ailleurs. Il s’agit d’une rupture structurelle, encore plus immédiate et prégnante que celle du quantique », peut-on lire dans la note d’analyse. 

Reste une question centrale : les entreprises de cybersécurité sont-elles aujourd’hui capables d’absorber le déluge massif annoncé, au point de devoir traiter simultanément plusieurs dizaines de failles critiques en un temps record ? Au-delà de cette capacité de réaction, une réalité s’impose déjà : la domination américaine apparaît largement installée. Les entreprises européennes dépendent aujourd’hui à plus de 70 % de solutions de cybersécurité non européennes, tandis que l’avance des acteurs américains sur l’IA pourrait encore accentuer ce déséquilibre. « La cybersécurité ne repose déjà pas sur une véritable souveraineté. Avec l’ajout de l’IA, le problème est démultiplié », résume Joffrey Célestin-Urbain. Dès lors, l’arbitrage devient particulièrement délicat, pour ne pas dire impossible, entre souveraineté technologique et impératifs de sécurité. À défaut de disposer de grands acteurs européens capables de rivaliser avec Anthropic ou OpenAI, l’Europe pourrait être contrainte d’investir massivement dans les modèles d’IA étrangers pour renforcer ses capacités de défense en cybersécurité. 

Agir offensivement à l’échelle européenne

Joffrey Célestin-Urbain alerte sur ce point :. « Si l’on ne fait rien, la souveraineté risque d’être impossible à assumer. » Dans ce contexte, l’Europe est invitée à adopter une approche plus offensive, en positionnant des acteurs comme Mistral AI en priorité sur les cas d’usage liés à la cybersécurité, tout en accélérant la mise à disposition de capacités de calcul pour entraîner des modèles européens de nouvelle génération. Une stratégie d’innovation et d’industrialisation qui suppose un changement d’échelle rapide. Dans le même esprit, la mise en place d’un espace européen unifié, sécurisé et mutualisé de données cyber apparaît comme une urgence stratégique, notamment pour l’entraînement des modèles d’IA. « Nous n’avons pas un an devant nous, il faut le faire très rapidement. C’est la dernière fenêtre disponible pour la cyber », insiste le président du Campus Cyber. 

Un verrou majeur subsiste : celui des puces et de la puissance de calcul. Les délais d’accès aux GPU peuvent atteindre plusieurs années, tandis qu’environ 80 % de ces ressources sont aujourd’hui détenues par des entreprises américaines. Le paradoxe est alors évident : sans capacité de calcul, pas d’IA compétitive ; sans IA compétitive, une souveraineté numérique difficilement atteignable. Pour autant, cette situation n’est pas propre à l’Europe. Pour Tom David, l’intégralité des pays, à l’exception des États-Unis et de la Chine, font face aux mêmes contraintes structurelles. D’où la nécessité de jouer sur la coordination internationale et l’effet de masse. Mais, surtout, de cartographier nos dépendances. Pas seulement celles que nous subissons comme les GPU, mais aussi celles que nous imposons au reste du monde. L’Europe conserve des atouts industriels stratégiques, avec ASML aux Pays-Bas, par exemple, ou Zeiss en Allemagne. Encore faut-il les transformer en leviers d’influence, à travers une politique économique plus offensive, capable de s’appuyer sur ces “points d’appui” technologiques pour réduire les dépendances plutôt que les subir.