Le logo d’Anthropic est visible sur cette illustration prise le 1er mars 2026. Photo d’archive Dado Ruvic / Reuters
Claude Mythos (ou simplement Mythos), un outil d’IA en cybersécurité lancé en avril par Anthropic, une société américaine fondée par d’anciens membres d’un autre grand nom du secteur, OpenAI (qui a lancé ChatGPT), tient en haleine le secteur bancaire et financier mondial.
Conçu pour des tâches défensives en cybersécurité, les capacités étendues de Mythos — qui n’est pas un chatbot grand public comme ChatGPT, Gemini ou DeepSeek — ont suscité des craintes sur la sécurité des logiciels traditionnels, après qu’Anthropic a indiqué dans la presse qu’une version test avait permis de découvrir « des milliers » de vulnérabilités majeures dans « tous les principaux systèmes d’exploitation et navigateurs web », grâce à ses puissantes capacités de calcul.
« Au-delà du danger que cela fait courir à la protection des données bancaires et financières si cet outil tombait entre de mauvaises mains, chaque vulnérabilité représente a minima plusieurs heures, voire plusieurs jours de travail pour les équipes de cybersécurité et les ingénieurs chargés de les corriger. Il y a un risque majeur d’étranglement », explique Hadi Khoury, expert indépendant en cybersécurité.
« Mais je pense que le battage actuel fait oublier certains problèmes techniques qui risquent de ralentir la commercialisation de l’outil, notamment sa forte consommation en jetons et donc en énergie, ce qui affecte considérablement son rapport coût-bénéfice », ajoute-t-il.
Marketing de la peur
Concrètement, un jeton (ou token, en anglais) est une unité de texte utilisée pour traiter une requête par l’IA. C’est ce qu’elle lit pour générer sa réponse. Une phrase est donc un assemblage de jetons, que le modèle analyse avant de produire sa réponse. Plus il y a de jetons, plus il y a de calculs, et donc de ressources mobilisées par les serveurs et les puces — même si l’architecture de l’IA peut en limiter l’impact. Une IA spécialisée en cybersécurité effectue en outre des calculs plus complexes, ce qui accroît encore la charge énergétique par rapport à un chatbot classique.
« À ce stade, les investissements pour déployer Mythos sont théoriquement très lourds », conclut Hadi Khoury. Il souligne que n’importe quelle IA programmée pour lire du code est potentiellement capable de poser un risque en matière de cybersécurité, même si Mythos est, contrairement aux autres IA d’Anthropic — les Claude — le seul réellement paramétré pour la cybersécurité.
L’autre limite de Mythos est qu’il se limite à l’identification des vulnérabilités, qui n’est qu’une des étapes d’un processus qui consiste ensuite à analyser la vulnérabilité, vérifier si elle est exploitable, la corriger, la valider et assurer le suivi afin d’éviter sa réapparition.
« La communication d’Anthropic (...) présume qu’il suffit de trouver une vulnérabilité pour être davantage en sécurité. Dans la vraie vie, il n’en est rien », a ainsi écrit Rayna Stamboliyska, experte en cybersécurité et stratégie numérique, dans un long article publié le 17 avril sur LinkedIn. Reprochant à la société américaine de « faire du marketing de la peur », elle lui reconnaît de ne pas être aveugle à ces limites et d’avoir orienté sa communication de façon à « positionner Mythos comme un outil de remédiation assistée autant que de découverte ».
Selon l’AFP et Reuters, l’accès à Mythos est pour l’heure réservé à un cercle restreint d’entreprises dans le cadre d’un programme très contrôlé appelé « Project Glasswing ». Amazon, Microsoft, Nvidia et Apple, ainsi que certaines grandes banques américaines dont JPMorgan, Bank of America, Morgan Stanley, Goldman Sachs et Citigroup — même si Anthropic n’a publiquement confirmé que le premier de ces cinq noms de banques pour l’instant.
« En associant dès la prévisualisation des acteurs en position d’oligopole (...), Anthropic orchestre une rareté artificielle autour d’un outil conditionné au partenariat. Ce n’est pas de la cybersécurité, c’est de la construction de barrières à l’entrée d’un segment de marché », a critiqué Rayna Stamboliyska dans un article publié sur LinkedIn. Elle souligne également qu’Anthropic a reconnu dans son rapport que les vulnérabilités « découvertes » n’ont pas pu être exploitées en raison des mesures de sécurité déjà en place.
Le débat autour de Mythos s’est enrichi d’un nouveau volet après qu’Anthropic a annoncé mardi enquêter sur un accès non autorisé à l’outil, troisième incident de sécurité interne pour la société en un mois. L’accès se serait produit dans un environnement informatique utilisé par un sous-traitant pour le développement du modèle, et non via les systèmes destinés aux clients commerciaux, ce qui limite le périmètre potentiel de l’incident, selon des précisions obtenues par l’AFP.
Fièvre aux quatre coins du monde
Même sans ces incidents, la fièvre provoquée par les prouesses de Mythos est palpable dans le secteur bancaire, où des systèmes complexes, interconnectés et souvent anciens de plusieurs décennies restent courants. L’outil a été un sujet important en marge des réunions du printemps du FMI et de la Banque mondiale la semaine dernière.
Aux États-Unis, le PDG de Barclays, C. S. Venkatakrishnan, a déclaré vendredi dernier à Washington que Mythos représentait une menace sérieuse pour le système bancaire mondial et certaines banques n’ayant pas accès au modèle s’interrogent sur l’opportunité d’un accès plus large et sur un éventuel avantage accordé à ceux qui ont pu y accéder, selon une source proche du dossier contactée par Reuters. Le Trésor américain ne s'est pas encore prononcé sur le sujet.
En Europe, le président de l’association bancaire allemande et directeur général de Deutsche Bank, Christian Sewing, a indiqué lundi que les banques sont en contact étroit avec leurs régulateurs européens pour anticiper la mise en service de cet outil, alors que trois sources ont confirmé à Reuters mardi qu’Anthropic prévoit de donner prochainement accès à Mythos aux banques européennes.
Le gouvernement britannique a adressé une lettre ouverte aux dirigeants d’Anthropic le 15 avril, indiquant que les tests de son AI Security Institute avaient montré que Mythos était « substantiellement plus capable en matière de cyberattaque que tout autre modèle que nous avons évalué auparavant ». Certains régulateurs asiatiques ont indiqué lundi qu’ils surveillaient également l’évolution de la situation, tandis que les banques centrales d’Australie et de Nouvelle-Zélande ont déclaré mercredi qu’elles surveillaient le lancement de Mythos et les risques qu’il pourrait présenter. Jeudi, un porte-parole du ministère de l’Intérieur australien a déclaré que l’Australie travaillait avec des fournisseurs de logiciels, dont Anthropic, sur d’éventuelles vulnérabilités en matière de cybersécurité.
La Banque du Liban n'a pas encore répondu à nos sollicitations. Une grande banque opérant au Liban et dans la région nous a assuré disposer des meilleures capacités en cybersécurité, et que ses équipes internes comme ses partenaires externes suivent ces développements de près. Un important prestataire de solutions de paiement au Moyen-Orient et dans le Golfe a indiqué, lui aussi sous anonymat, que ses équipes étaient en train d’élaborer leur propre stratégie d’utilisation de l’IA dans le domaine de la cybersécurité, en s’appuyant sur différents modèles.
Netanyahu : l'Iran et le Hezbollah « plus faibles que jamais », mais la guerre n'est « pas encore terminée »
