Accueil

Avant que la tempête ne frappe : Élaborer un programme de sécurité prêt pour Mythos

Claude Mythos ne devrait pas déclencher une refonte cérémoniale du programme de sécurité. Les principes de base, la défense en profondeur, la segmentation du réseau, le contrôle rigoureux des changements et une architecture résiliente demeurent essentiels.
7 min de lecture
Prikshit Goel
Prikshit Goel
Vice-président et chef mondial de la pratique, cybersécurité, HCLTech
7 min de lecture
Avant que la tempête frappe : Élaboration d’un programme de sécurité prêt pour Mythos

Résumé exécutif

Claude Mythos Preview d’Anthropic représente un véritable point d’inflexion en — non pas un simple modèle d’IA supplémentaire, mais le premier système capable de découvrir et d’exploiter de façon autonome des vulnérabilités zero-day à grande échelle sur tous les principaux systèmes d’exploitation et navigateurs. Les responsables de la sécurité ne peuvent pas se permettre de traiter cela comme une routine.

Ce point de vue de HCLTech expose pourquoi les organisations doivent agir maintenant — non pas pour reconstruire leurs programmes de sécurité à partir de zéro, mais pour les recalibrer dans un monde où l’économie de l’attaque a fondamentalement changé. L’avantage de l’attaquant n’est plus le temps ni l’expertise. C’est l’automatisation.

qute-color

Claude Mythos et les modèles similaires introduisent une échelle, une autonomie et une adaptabilité auxquelles les contrôles traditionnels n’étaient pas préparés. La plupart des organisations ne sont pas prêtes à faire face à une surface de menace qui apprend et s’adapte en temps réel.

Cloud Security Alliance, avril 2026

Qu’est-ce qui a changé — et pourquoi c’est important

L’avantage de l’attaquant n’est plus la compétence

Pendant des décennies, les cyberattaques les plus sophistiquées nécessitaient une expertise humaine rare. Les acteurs étatiques et les groupes de menace d’élite dominaient l’exploitation avancée, car trouver et exploiter des vulnérabilités zero-day exigeait des années de savoir spécialisé. Mythos change complètement cette équation.

Essentiel : ces capacités n’ont pas été conçues intentionnellement. Anthropic a affirmé qu’elles sont apparues de façon indirecte avec les progrès généraux en raisonnement, en codage et en autonomie.

L’implication : tous les futurs modèles de pointe hériteront probablement et étendront ces capacités.

La fenêtre entre la découverte et l’exploitation s’est effondrée

La gestion traditionnelle des vulnérabilités était basée sur des échéanciers humains. Les défenseurs disposaient de jours ou de semaines entre la publication d’un CVE et l’apparition d’un exploit dans la nature. Cette fenêtre est désormais fermée.

Le temps moyen d’exploitation, selon les données du Zero Day Clock, se situe maintenant à moins de 20 heures. Les cycles de correctifs et les modèles de risque conçus pour des menaces à la vitesse humaine ne sont plus adaptés.

La menace est bilatérale

Les mêmes capacités qui font de Mythos un puissant outil défensif — détecter les vulnérabilités avant les attaquants — le rendent dangereux entre de mauvaises mains. Le rapport 2026 sur les menaces mondiales de CrowdStrike a relevé une augmentation de 89 % d’une année à l’autre des attaques assistées par l’IA.

Mythos n’introduit pas une nouvelle catégorie de menace. Il abaisse considérablement le coût et le seuil de compétences nécessaires pour mener des attaques qui exigeaient autrefois des capacités d’élite — et il le fait à la vitesse des machines.

Ce que les programmes de sécurité doivent faire maintenant

Les responsables de la sécurité n’ont pas besoin d’une nouvelle doctrine. Ils doivent appliquer des contrôles plus stricts, réduire plus rapidement l’exposition, améliorer la gouvernance de l’IA et procéder à des tests plus réalistes — à appliquer de toute urgence et dans le bon ordre de priorité.

1. L’identité d’abord — La plus haute priorité

L’identité est le domaine où les capacités de classe Mythos se feront sentir le plus rapidement. L’inquiétude n’est pas seulement une amélioration des courriels d’hameçonnage — ce sont de meilleurs prétextes, usurpations d’identité et leurres d’ingénierie sociale, précisément adaptés au rôle, au projet et au moment de chaque personne. L’IA rend chaque attaque axée sur l’identité plus convaincante et évolutive.

Mesures immédiates pour les équipes de sécurité :

  • Déployer l’AMF résistante au hameçonnage de façon universelle — FIDO2/cles matérielles lorsque possible
  • Renforcer les examens d’accès privilégié et raccourcir les cycles de recertification
  • Renforcer la vérification de l’identité au service d’assistance — un vecteur d’attaque courant et sous-estimé
  • Imposer des parcours d’approbation plus stricts pour les réinitialisations de mots de passe, les virements bancaires et les escalades administratives
  • Étendre la gouvernance des identités aux entités non humaines — , comptes de service et clés API font désormais partie de la surface d’attaque

2. Gestion des vulnérabilités — Passer à la gestion continue de l’exposition

Le changement structurel le plus important requis est le passage d’une gestion périodique à une gestion continue des vulnérabilités. Les cycles d’analyses statiques — évaluations trimestrielles, tests de pénétration annuels — ont été conçus pour un monde où les attaquants évoluaient lentement. Ce monde n’existe plus.

Les organisations devraient prioriser :

  • Intégrer l'analyse de code assistée par l’IA dans les pipelines CI/CD — trouver les vulnérabilités au moment de la création, et non après le déploiement
  • Constituer des équipes conjointes de sécurité et d’ingénierie consacrées à la sécurité applicative propulsée par l’IA — ceci requiert des ressources humaines et un engagement budgétaire en 2026
  • Traiter l’arriéré de vulnérabilités avec urgence — Mythos met en évidence des problèmes dormants, connus mais non corrigés, qui peuvent être rapidement exploités
  • Maintenir une nomenclature logicielle (SBOM) continuellement à jour avec une évaluation du risque des composants basée sur un agent en temps réel
  • Planifier une augmentation soudaine des publications de correctifs simultanés alors que les divulgations du projet Glasswing sont lancées — réserver la capacité maintenant

À plus long terme, la Cloud Security Alliance recommande de créer une fonction dédiée aux opérations de vulnérabilité — inspirée des pratiques DevOps — dotée de personnel et automatisée pour assurer la découverte et la correction autonomes et continues des vulnérabilités dans l'ensemble du parc logiciel.

3. SOC — Détection comportementale plutôt que contrôles basés sur les signatures

Lorsqu’une faille zero-day survient et que l’EDR ne réagit pas, la seule couche de détection restante est la chasse comportementale. Les équipes SOC doivent aller au-delà des modèles fondés sur les signatures et les alertes pour adopter une détection qui identifie ce qui se produit après une brèche — et non simplement le vecteur initial.

Trois capacités sont indispensables dans un SOC prêt pour Mythos :

  • Recherche continue des menaces comportementales — ciblant les schémas post-exploitation peu importe la façon dont l’accès a été obtenu initialement
  • Couverture de télémétrie étendue — allant au-delà des solutions EDR et SIEM par défaut pour capter les signaux que les outils standard manquent
  • Préparation DFIR — testée et validée au moyen d’exercices de simulation sur table et de scénarios purple-team réguliers avant qu’un incident ne l’exige

Les exercices sur table doivent être repensés. Des scénarios basés sur le rythme des attaques d’hier — lorsque les adversaires avançaient lentement et étaient bruyants — ne prépareront pas les équipes à l’automatisation de classe Mythos.

4. Risque lié aux tierces parties et fournisseurs

L’ère Mythos accentue la pression sur la gestion des risques liés aux tierces parties. Les organismes de réglementation annoncent déjà une vigilance accrue quant à l’exposition aux fournisseurs et aux délais de remédiation. Les responsables de la sécurité devraient adopter une approche proactive.

  • Exiger que les fournisseurs démontrent des pratiques continues de gestion des vulnérabilités — pas seulement des évaluations annuelles
  • Exiger des réponses claires sur l'accès aux modèles d’IA, la gestion des données, la rétention, l’enregistrement des invites et les interrupteurs d’arrêt avant de déployer des outils de fournisseurs dotés de l’IA
  • Considérer les demandes de SBOM comme une pratique standard lors des approvisionnements et des négociations de renouvellement
  • Mettre à jour les modèles de notation des risques des tiers pour tenir compte de la rapidité d’exploitation assistée par l’IA

5. Gouvernance de l'IA — Mettre en place les garde-fous dès maintenant

À mesure que les entreprises adoptent des outils d'IA — y compris des modèles de pointe pour les opérations de sécurité — la gouvernance doit suivre le rythme. Selon une étude d'IBM, 97 % des organisations ayant subi une faille liée à l'IA manquaient de contrôles d'accès à l'IA appropriés. La fenêtre d'adoption est ouverte maintenant et l'écart de gouvernance est bien réel.

  • Maintenez un inventaire complet des outils d’IA utilisés dans l’ensemble de l’entreprise — y compris les déploiements clandestins d’IA
  • Assignez la responsabilité et appliquez les politiques pour tous les agents d’IA actifs dans les flux de travail de sécurité
  • Mettez en œuvre une supervision centrée sur l’humain pour les décisions prises par l’IA agentique — surtout en gestion des vulnérabilités et en réponse aux incidents
  • Assurez-vous que des preuves, prêtes pour le conseil d’administration, de la gouvernance des risques liés à l’IA soient disponibles — les organismes de réglementation et les vérificateurs y prêtent attention
Modèle opérationnel de sécurité Mythos Ready

Figure : Modèle opérationnel de sécurité Mythos Ready

La bonne mentalité pour les chefs de la sécurité

Claude Mythos ne devrait pas entraîner une refonte cérémonielle du programme de sécurité. Les fondamentaux — la défense en profondeur, la segmentation du réseau, le contrôle rigoureux des changements, une architecture résiliente — demeurent essentiels. Ce qui change, c’est l’urgence et le rythme opérationnel exigés pour les mettre en œuvre.

La tempête de vulnérabilité de l’IA ne vient pas avec une date limite fixe. Elle arrive avec une courbe de probabilité qui devient plus raide chaque mois.

Les organisations qui commencent dès maintenant à renforcer leur muscle de sécurité alimenté par l’IA — utilisant des modèles de pointe non seulement pour détecter les vulnérabilités mais aussi pour les corriger rapidement et en toute sécurité — auront un avantage significatif sur les attaquants lorsque la prochaine génération de modèles paraîtra.

Actions recommandées selon l’horizon temporel

Immédiat (0–30 jours)

  • Imposer une authentification multifacteur résistante à l’hameçonnage pour tous les comptes privilégiés
  • Auditer et renforcer les contrôles d’accès des identités non humaines et les permissions des comptes de service
  • Informer la direction exécutive et le conseil d’administration sur le paysage des menaces Mythos
  • Demander un budget et une dotation en personnel pour le développement des opérations de vulnérabilité

À court terme (30 à 90 jours)

  • Intégrer l’analyse assistée par l’IA dans les pipelines CI/CD
  • Redéfinir les exercices sur table et les exercices de simulation d’attaque (purple-team) pour des scénarios d’adversaires à la vitesse de l’IA
  • Déployer des capacités de détection comportementale au-delà de la couverture EDR/SIEM par défaut
  • Mettre à jour les évaluations des risques des tiers pour inclure des questions sur la gouvernance de l’IA

Stratégique (90 jours et plus)

  • Reconstruire une fonction dédiée aux opérations de vulnérabilité, inspirée des pratiques DevOps
  • Formaliser les politiques de gouvernance des agents d’IA avec des pistes d’audit et des boutons d’arrêt d’urgence
  • Développer un programme continu de renseignement sur les menaces surveillant le dark web et l’activité des États-nations
  • Évaluer la participation à des coalitions sectorielles (par exemple, le modèle Project Glasswing) pour un accès anticipé aux données sur les vulnérabilités découvertes par l’IA

Comment HCLTech peut aider

Exploiter l’écosystème Mythos + Project Glasswing

HCLTech est particulièrement bien placé pour aider ses clients à tirer parti de l’écosystème émergent Mythos + Project Glasswing en travaillant aux côtés des hyperscalers, des fournisseurs de sécurité et des premiers membres de la coalition.

En intégrant des capacités de classe Mythos à des flux d’intelligence sur les vulnérabilités dirigés par des partenaires, HCLTech permet :

  • Détection accélérée des vulnérabilités grâce à la découverte pilotée par l'IA à travers le code, l'infrastructure et les environnements OT
  • Rémédiation coordonnée à grande échelle, s'appuyant sur des pipelines d'automatisation alignés aux cycles de divulgation Glasswing
  • Avantage d'accès anticipé, permettant aux clients d'agir sur les vulnérabilités avant le début de l'exploitation publique
  • Opérations de sécurité en boucle fermée, où la détection, la priorisation et la remédiation fonctionnent de façon continue plutôt que séquentielle

HCLTech Cybersecurity offre des services et cadres de sécurité de niveau industriel — y compris SecIntAl, MIDAAS, VERITY, AI Assurance et GRC — qui dotent les organisations de capacités de défense robustes. Ces solutions permettent de renforcer les contrôles d’identité, de faire évoluer la gestion des vulnérabilités vers la gestion continue de l’exposition, d’améliorer la détection du SOC grâce à la modélisation comportementale et d’établir une gouvernance complète de l’IA dès le départ.

La tempête approche. La fenêtre pour se préparer est ouverte. La question est de savoir si les organisations en profiteront.

Related Contenu

Nuage
HCLTech WAFER: From findings backlog to Agentic remediation on AWS
En savoir plus
AWS
HCLTech Media-IQ: Turning the "digital attic" into an AI content engine on AWS
En savoir plus
Fondation numérique
AI front door: The first step toward autonomous enterprises
En savoir plus
Etiquettes
IA et GenIA
Cybersécurité
Partager sur
copy-link Copier le lien copié!
DFS Cybersécurité Blogues Avant que la tempête ne frappe : Élaborer un programme de sécurité prêt pour Mythos