« Pour le secteur financier en particulier, la question n’est plus de savoir si ces modèles existent, mais à quelle vitesse les banques vont adapter leurs pratiques, leurs outils et leur gouvernance pour rester résilientes », déclare-t-elle.

Claude Mythos, un modèle d’intelligence artificielle (IA) développé par la société américaine Anthropique (Claude.ai) est capable de repérer et d’enchaîner automatiquement rapidement des failles informatiques pour construire des cyberattaques plus rapides, plus complexes et plus difficiles à contenir. Selon Anthropic, le modèle aurait permis de repérer des milliers de failles dans les systèmes et de résoudre en quelques heures des scénarios d’attaque qui auraient exigé de longues analyses par des experts.

Les capacités offensives de Mythos dépassent les défenses actuelles de nombreuses organisations, qui n’auront pas le choix de revoir leurs pratiques pour assurer la sécurité de leurs systèmes, indique Sarine Bedrossian. « À moyen terme, elles vont devoir intégrer l’IA offensive dans leurs exercices de crise : simuler des attaques augmentées par l’IA, tester la capacité des équipes à repérer des signaux faibles et à réagir vite, et pas seulement vérifier que les pare‑feu sont bien configurés. »

Effectuer des mises à jour de sécurité régulières, renforcer les contrôles d’accès, notamment par l’authentification multifactorielle, déployer des correctifs de sécurité robustes, surveiller les anomalies en temps réel, intensifier la formation des employés : la facture risque de s’alourdir pour l’ensemble du secteur, prévient-elle.

L’experte signale que les organisations devront intégrer l’IA offensive dans leurs exercices de crise, en simulant des attaques augmentées par l’IA et en testant la capacité de leurs équipes à repérer des signaux faibles et à réagir rapidement — et pas seulement en vérifiant que leurs pare-feux sont correctement configurés.

« On va aussi voir se développer l’IA défensive : des outils capables de repérer des comportements anormaux, de corréler des signaux faibles et d’automatiser une partie de la réponse à incident. L’enjeu, c’est de ne pas laisser l’avantage aux attaquants. »

La Banque du Canada a réuni récemment les principales institutions financières du pays afin d’évaluer leur niveau de préparation. Le ministre fédéral responsable de l’IA a pour sa part demandé à rencontrer les dirigeants d’Anthropic pour obtenir des précisions sur les risques associés au modèle. Plusieurs scénarios sont envisagés, allant d’incidents ponctuels maîtrisés à des perturbations majeures nécessitant une intervention réglementaire d’urgence.

Dans ce contexte, l’entreprise a décidé de limiter l’accès à Mythos à un cercle restreint de partenaires dans le cadre du projet Glasswing. Objectif : corriger les vulnérabilités repérées avant qu’elles ne puissent être exploitées à grande échelle.

Le modèle s’inscrit dans une nouvelle génération d’IA dont les capacités défensives peuvent aussi être utilisées à des fins offensives. D’autres entreprises technologiques s’inscrivent dans cette dynamique. OpenAI, créateur de ChatGPT, a ainsi annoncé dernièrement le lancement de GPT-5.4-Cyber, un modèle orienté cybersécurité, destiné aux professionnels du secteur.

Au-delà des enjeux de cybersécurité, ces nouveaux modèles obligent les investisseurs à revoir leur lecture du risque : ils devront désormais distinguer les entreprises capables de s’adapter à l’ère de l’IA de celles dont les solutions de sécurité risquent d’être rapidement dépassées. Selon France Épargne, ces avancées pourraient fragiliser certains actifs et influencer l’allocation de portefeuille.

Selon des informations rapportées par Bloomberg, une première faille de sécurité a été détectée : un groupe d’utilisateurs aurait réussi à accéder à Mythos via un sous-traitant impliqué dans son développement. Anthropic a indiqué avoir ouvert une enquête sur cet accès non autorisé. Malgré des préoccupations de sécurité, plusieurs institutions financières s’intéressent à ces technologies. Selon Reuters, Anthropic envisagerait un déploiement auprès des banques européennes d’ici « quelques jours à quelques semaines », une fois des vérifications de sécurité préalables effectuées.

L’article Mythos : « L’enjeu, c’est de ne pas laisser l’avantage aux attaquants » est apparu en premier sur Finance et Investissement.