Démo

Claude Mythos se fout de vos politiques 

Prenez de l'avance

Recevez des analyses, des idées et des actualités directement dans votre boîte de réception.

S'abonner

Sur cette page

Partager

Facebook
X (Twitter)
LinkedIn

En avril 2026, le Centre canadien pour la cybersécurité publiait sa fiche d’orientation ITSAP.10.050 sur l’intelligence artificielle de pointe. Pour la première fois, un avis officiel canadien nommait un modèle d’IA précis comme illustration de la nouvelle menace : Claude Mythos d’Anthropic, cité pour ses capacités de découverte autonome de vulnérabilités, en génération d’exploits zero-day et en orchestration d’attaques multi-étapes. 

Les avis fédéraux désignent rarement un fournisseur, encore moins un modèle précis. Quand l’un d’entre eux le fait, la communauté de la sécurité aurait avantage à le traiter moins comme une recommandation et davantage comme une prévision. 

Dans les infrastructures critiques, les équipes de sécurité s’activent pour corriger, durcir et segmenter. Le travail est nécessaire, mais incomplet. Parce que la conversation autour de Mythos porte presque exclusivement sur la prévention et la correction des vulnérabilités, alors que la vraie question est ce qui se passe après. 

Ce n’est pas SI, c’est QUAND 

Depuis vingt ans, l’industrie de la cybersécurité a vendu une promesse centrale : empêcher l’intrusion. Bloquer l’hameçonnage. Détecter le fichier malicieux. L’hypothèse implicite était qu’on pouvait tenir cette ligne directrice. 

Mythos invalide cette hypothèse. Avec une IA qui automatise la reconnaissance, l’exploitation et la latéralisation, le délai entre la divulgation d’une faille et son exploitation passe de semaines à seulement des heures. Les courriels d’hameçonnage seront indiscernables d’une communication légitime. L’imitation de voix sera routinière. Les prétextes seront contextuels et produits à l’échelle industrielle. 

Vous serez compromis. La seule question, c’est l’ampleur des dégâts une fois l’attaquant à l’intérieur. 

Votre périmètre ne compte pas, votre rayon d’exposition oui 

La fiche ITSAP.10.050 suggère que les organisations d’infrastructures critiques devraient pouvoir fonctionner en mode déconnecté des réseaux externes pendant des périodes prolongées. Défensivement, l’idée est solide. Opérationnellement, elle impose un niveau de friction que la plupart des entreprises modernes ne peuvent pas soutenir. 

Si vous ne pouvez ni empêcher l’intrusion totalement, ni vous isoler totalement du réseau, que reste-t-il? 

Le rayon d’exposition (blast radius). La quantité de dégâts qu’un seul compte, poste ou service compromis peut causer une fois entre les mains d’un attaquant. C’est la variable que vous contrôlez réellement. Et c’est elle qui détermine si un incident reste contenu ou fait la une. 

Réduire son rayon d’exposition, c’est exactement ce que prescrit le reste du guide ITSAP.10.050 : approche « crown jewels », segmentation, micro-segmentation, Zero Trust. Tous pointent vers la même vérité opérationnelle : les gens ne devraient avoir accès qu’à ce dont ils ont strictement besoin. Rien de plus. 

La brèche de Canada Vie n’avait rien d’exceptionnel 

En avril 2026, Canada Vie confirmait un incident cybernétique impliquant un accès non autorisé à des applications par l’entremise du compte d’un employé. L’incident a été contenu, mais des renseignements personnels de clients ont été exposés et un service de surveillance de crédit a été offert aux personnes touchées. 

Un compte d’employé. C’est le point d’entrée. Un compte légitime, fort probablement compromis par une technique en usage depuis des années. 

La question critique n’est pas « comment sont-ils entrés? ». C’est « pourquoi ce compte avait-il accès à autant de choses? » 

C’est la question du rayon d’exposition. Et c’est une question que chaque organisation d’infrastructure critique devrait se poser, dès maintenant, pour chaque compte de son environnement. 

Vos employés sont le contrôle 

Voici la partie qui met la plupart des responsables de sécurité mal à l’aise : vos employés sont à la fois le maillon faible et le contrôle le plus puissant. La même personne qui finira par cliquer sur un courriel d’hameçonnage parfaitement crédible généré par Mythos est aussi la seule à pouvoir vous dire si le site SharePoint qu’elle gère devrait encore être partagé avec douze invités externes, ou si le dossier OneDrive qu’elle a créé en 2022 a toujours besoin de toute l’équipe finance dedans. 

Votre équipe TI ne peut pas répondre à ces questions. Elle n’a pas le contexte d’affaires. Elle peut voir qu’un compte a accès à 10 000 fichiers. Elle ne peut pas vous dire lesquels de ces accès sont encore justifiés. 

Seul le propriétaire des données le peut. Les équipes TI lancent parfois des campagnes de nettoyage périodiques, mais les revues d’accès restent souvent manuelles, inconstantes et déconnectées des personnes qui comprennent le mieux les données. 

Cet écart, entre l’accès qui existe et l’accès qui est encore justifié, c’est votre rayon d’exposition. Il grossit chaque semaine. Il est invisible jusqu’à ce que quelque chose tourne mal. Et c’est le facteur le plus déterminant de la façon dont un incident se déroulera, lorsque (et non si) il arrivera. 

Mythos, c’est la prévision météo, pas la tempête 

Mythos est un avant-goût. Les modèles qui suivront seront plus capables, plus accessibles et mieux instrumentés. La fenêtre entre cet avis et la première vague d’incidents qui mentionneront explicitement des capacités de classe Mythos ne sera pas longue. 

Les opérateurs d’infrastructures critiques ne se débrancheront pas d’Internet pendant trois mois. Ils n’empêcheront pas chaque compromission initiale. Ce qu’ils peuvent faire, dès aujourd’hui, c’est réduire leur rayon d’explosion. Le guide fédéral pointe dans cette direction. Les incidents récents l’illustrent. La technologie pour le faire à grande échelle, à l’intérieur de l’environnement de productivité où vos employés travaillent déjà, existe. 

Une chose à faire dès maintenant 

Le dossier d’affaires pour régler ce problème prend plus de temps à monter que le correctif lui-même. La vraie question n’est plus de savoir si votre organisation peut se permettre d’agir, mais bien ce que chaque mois d’inaction ajoute à la facture de remédiation (et à l’exposition personnelle de la personne qui signera la prochaine attestation). 

Pour aller plus loin : « Ce que l’inaction vous coûte ». 

Si vous ne faites qu’une seule chose ce trimestre, faites celle-ci : choisissez un seul site SharePoint, lancez-y une revue d’accès et présentez les chiffres au conseil. Une exposition réelle, sur un site réel, en moins de temps qu’il n’en faudra pour fixer la prochaine réunion du comité directeur. Puis posez au conseil la seule question qui compte : combien d’autres sites ressemblent à celui-là? 

La réponse honnête, chez la plupart des opérateurs avec qui nous discutons, c’est que personne dans l’organisation ne le sait vraiment. Ce chiffre, c’est le travail. Tant qu’il n’est pas quantifié, chaque autre investissement en sécurité est dimensionné sur le mauvais problème. 

Votre exposition n’est pas cadencée sur votre cycle budgétaire. La seule chose à faire, c’est de commencer à réduire votre rayon d’explosion dès maintenant, à grande échelle, avant que la prochaine brèche ne décide du moment à votre place. 

Publications connexes

Les cinq choses que les CTO aimeraient que les fournisseurs d’IA admettent

L’intelligence artificielle domine actuellement les conversations en entreprise. Chaque plateforme promet une accélération, chaque démonstration met en avant une productivité inégalée, sans friction et chaque feuille...

Lire l'article

Ce que l’inaction vous coûte

Dans chaque organisation, il y a une personne au sein de l’équipe de sécurité, souvent le CISO, qui connaît exactement l’ampleur de la surexposition des données. Il tente de...

Lire l'article

L’IA a changé le risque de place. Avez-vous aussi changé votre gouvernance?

Comme le souligne Gartner® dans Cybersecurity Trend: AI Democratization Drives Collaborative Data Security Governance (publié en janvier 2026), la très large adoption de l’IA et la démocratisation des prises de décision...

Lire l'article

Merci pour
votre demande!

Nous vous contacterons bientôt pour mieux comprendre vos besoins et personnaliser la démonstration.

Au plaisir d’échanger avec vous.

— L’équipe WeActis