Mythos d’Anthropic : 73% en cybersécurité, le réveil brutal

Temps de lecture : 7 min

Le test qui a tout changé : 73% là où personne ne passait

Concrètement, on vient d’assister à un saut quantique. L’AI Security Institute britannique a soumis une version « preview » de Claude Mythos à une batterie de tests de cybersécurité classés « expert », du type capture-the-flag. Résultat ? Un taux de réussite de 73%. Plus précisément, il y a encore quelques mois, en avril 2025, aucun modèle d’IA ne parvenait à boucler ces épreuves. On parle de tâches qui nécessitaient jusqu’ici l’intuition, la créativité et l’expérience d’un humain chevronné.

Je vois ça comme le moment où Neo dans Matrix commence à voir le code derrière le monde. Sauf qu’ici, le code, c’est celui de nos systèmes d’information, et Mythos le perce à jour. L’administration britannique, en publiant ces résultats, ne cache pas son inquiétude. C’est un signal fort : la barrière technique qui protégeait nos infrastructures les plus sensibles vient de perdre plusieurs mètres de hauteur.

Mythos n’est pas un outil, c’est un collègue (ou un adversaire) autonome

Ce qui distingue Mythos, ce n’est pas juste un score. C’est sa méthode. D’après les analyses, le modèle identifie de manière autonome les vulnérabilités dans des systèmes d’exploitation ou des applications. Il ne se contente pas de matcher des signatures connues comme un antivirus classique. Il raisonne, il teste des hypothèses, il enchaîne les actions pour exploiter une faille. Concrètement, il agit comme un pentester (testeur d’intrusion) surpuissant et infatigable.

Dans mes projets, comme l’audit de l’API backend de GymLog, je passe des heures à chercher des failles d’injection ou des problèmes de CORS. Un outil comme Mythos, intégré dans une pipeline CI/CD, pourrait scanner en continu le code et flaguer des vulnérabilités obscures que même OWASP ZAP pourrait manquer. La perspective est vertigineuse pour la DevSecOps. Mais c’est la même mécanique qui, entre de mauvaises mains, devient une arme redoutable.

L’ombre portée de Mythos sur l’Europe et la gouvernance de l’IA

Là où l’histoire devient politique, c’est que Anthropic n’a pas prévenu les législateurs européens de l’arrivée imminente de ce super-modèle. Pendant que des dizaines d’entreprises et d’organismes d’État à travers le monde (dont le Royaume-Uni) l’évaluaient, l’Europe découvre la nouvelle via un communiqué de test. Simple oubli dans la frénésie de la course à l’IA ? Ou indifférence stratégique ?

Cette omission jette une lumière crue sur les limites des cadres réglementaires comme l’AI Act. Ils sont conçus pour des modèles d’hier, pas pour des sauts de capacités aussi brutaux. C’est comme vouloir réguler une voiture à cheval avec le code de la route d’une fusée. Pour une entreprise européenne, le message est clair : votre retard technologique n’est plus un simple handicap concurrentiel, c’est un risque existentiel de sécurité. Si vous ne maîtrisez pas ces outils pour vous défendre, quelqu’un d’autre les utilisera pour vous attaquer.

Intégrer cette puissance : entre automatisation no-code et développement sur-mesure

Techniquement, comment apprivoiser une telle bête ? Je vois deux voies complémentaires. La première, c’est l’automatisation no-code/low-code. Imaginez un workflow n8n où Mythos, via son API, serait déclenché à chaque merge sur la branche main. Il recevrait le code, le build, lancerait ses tests de pénétration automatisés et renverrait un rapport dans un canal Slack. Plus précisément, on passerait d’une sécurité réactive à une sécurité « shift-left » et continue, intégrée dès la phase de conception.

La seconde voie, c’est le développement sur-mesure. Pour des besoins critiques (défense, finance), il faudra probablement des implémentations on-premise, fine-tunées sur des corpus de vulnérabilités sectorielles, et intégrées dans des architectures en microservices type Next.js avec des backends dédiés. Le défi sera la latence, le coût et la sécurisation de l’IA elle-même (comment empêcher qu’elle ne devienne la faille ultime ?).

La course est lancée : comment les entreprises doivent réagir en 2026

Nous sommes en avril 2026, et le paysage de la cybersécurité vient de basculer. Voici ce que je recommanderais, tiré de mon expérience en agence et sur mes produits :

• Auditer : Faites un audit réaliste de votre exposition. Quels sont vos actifs critiques ? Sont-ils à la portée d’une IA capable de raisonner sur des failles zero-day ?
• Expérimenter : N’attendez pas. Testez les API de sécurité des grands modèles (Anthropic, mais aussi OpenAI, Google) sur des environnements de test. Mesurez leur efficacité sur votre propre code.
• Former : Vos équipes de devs et d’ops doivent comprendre comment ces IA fonctionnent. Il ne s’agit pas de les remplacer, mais de les armer pour qu’ils collaborent avec ces nouveaux outils et en comprennent les limites.
• Architecturer : Pensez vos futures applications (web avec Next.js, mobile avec React Native) avec une couche « AI Security » native, tout comme on intègre aujourd’hui l’authentification.

Le test réussi par Mythos n’est pas une fin, c’est un début. C’est le coup de starter d’une nouvelle ère où l’intelligence artificielle devient l’arbitre ultime de la sécurité numérique. La question n’est plus de savoir si ces outils seront utilisés, mais qui les maîtrisera le premier, et à quelles fins. Pour les entreprises européennes, le réveil, s’il est brutal, doit être suivi d’une action tout aussi déterminée. L’alternative, c’est de se retrouver en terrain conquis, face à des adversaires qui, eux, n’ont pas dormi.