Posted by Mythos: Modèle d’IA capable de détecter et exploiter les failles de sécurité
Eléonore Scaramozzino, Avocate Constellation Avocats
« Mythos » est le nouveau modèle d’intelligence artificielle développé par Anthropic visant à détecter et exploiter des failles de sécurité dans les logiciels, navigateurs et systèmes d’exploitation informatiques. Sa puissance est impressionnante selon les 40 acteurs américains qui l’ont testé. Si cet outil représente un progrès pour détecter les vulnérabilités des briques logicielles et y remédier, les risques de son utilisation malveillante inquiètent l’écosystème numérique et notamment les secteurs de données sensibles et stratégiques, dont la finance et la santé. Si Open AI a répliqué avec GPT 5.4 Cyber, la concurrence va apparaître dans les prochains mois. Considérée comme un progrès pour améliorer la sécurité des systèmes d’information qui seront de plus en plus exempts de failles, ces modèles d’IA peuvent également être utilisés pour mener des attaques. Comme le souligne le CIANum, « l’IA est agnostique en matière de cybersécurité, au sens où elle aide à la fois les attaquants et les défenseurs. » Le contrôle d’accès aux données est crucial pour garantir une IA de confiance. Les entreprises du numérique sont contraintes de redoubler leurs efforts sur l’analyse des cyber risques, et éviter la violations de données, le sabotage industriel, les coûts de remédiation élevés pour restaurer des systèmes compromis.
Pour comprendre et limiter des risques cyber, des recommandations pour les utilisateurs, les fournisseurs et les développeurs de systèmes d’IA d’une part, et pour les décideurs d’autre part, ont été formulées, sous l’égide de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), dans la publication « Développer la confiance dans l’IA à travers une approche par les risques cyber« -février 2025 : Document_Analyse_de_risques_FR.pdf
voir ci-dessous
Le Conseil de l’IA et du numérique a réagi par l’adoption de trois recommandations générale à destination des acteurs publics et privés.
- Création by design de cadres de gouvernance et de sécurité de l’IA. Le CIANum recommande la création d’une fonction permanente dédiée à découvrir-qualifier-remédier de manière autonome aux vulnérabilités dans le prolongement de la méthode DevOps
- Implémentation de référentiel de cybersécurité (non spécifique à l’IA). Bien que la directive NIS 2 (Network and Information Security), ne soit pas encore transposée en France, depuis le 17 mars 2026, l’ANSSI met à disposition le Référentiel Cyber France (ReCyF), qui liste les mesures recommandées par l’ANSSI pour atteindre les objectifs de sécurité fixés par NIS 2. 20260317_NIS_V2_ReCyF_v2.5.pdf voir ci-dessous.
- Structurer dans les meilleurs délais un écosystème public-privé européen d’évaluation des modèles d’IA. Le Conseil a souligné l’importance de renforcer les capacités d’évaluation des modèles d’IA en France et en Europe, autour de l’Institut national pour l’évaluation et la sécurité de l’IA (INESIA) et de laboratoires IA de pointe en Europe. Cet institut a pour mission de fédérer les acteurs nationaux de l’évaluation et de la sécurité, et tout particulièrement : l’ANSSI, l’Institut National de Recherche en Sciences et Technologies du Numérique (Inria), le laboratoire national de métrologie et d’essais (LNE), et le Pôle d’expertise de la régulation numérique (PEReN). Les missions de l’INESIA sont : l’analyse des risques systémiques dans le champ de la sécurité nationale, le soutien à la mise en œuvre de la régulation de l’IA, et l’évaluation de la performance et de la fiabilité des modèles d’IA.