Démo

Claude Mythos se fout de vos politiques 

Prenez de l'avance

Recevez des analyses, des idées et des actualités directement dans votre boîte de réception.

S'abonner

Sur cette page

Partager

Facebook
X (Twitter)
LinkedIn

En avril 2026, deux événements se sont produits dans la même semaine. Anthropic a annoncé Claude Mythos Preview, un modèle capable de découvrir des vulnérabilités de façon autonome, de générer des exploits zero-day et d’orchestrer des attaques en plusieurs étapes, dont la diffusion publique a été restreinte précisément en raison de ses capacités.  

Quelques jours plus tard, le Centre canadien pour la cybersécurité publiait ITSAP.10.050, son premier document d’orientation entièrement consacré à l’IA de pointe. Le calendrier n’était pas une coïncidence. Les avis fédéraux évoluent rarement aussi vite. Lorsque c’est le cas, la communauté de la cybersécurité aurait tout intérêt à les considérer moins comme des lignes directrices que comme des prévisions. 
 

Ce n’est pas SI, c’est QUAND 

Depuis vingt ans, l’industrie de la cybersécurité a vendu une promesse centrale : empêcher l’intrusion. Bloquer l’hameçonnage. Détecter le fichier malicieux. L’hypothèse implicite était qu’on pouvait tenir cette ligne directrice. 

Mythos remet en question cette hypothèse. Ce qui le distingue des générations précédentes d’IA agentique, ce n’est pas le phishing. Le phishing automatisé et l’usurpation vocale sont des pratiques répandues depuis des années et de nombreux LLM ont été détournés à ces fins bien avant Mythos. Ce qui rend Mythos véritablement nouveau, c’est sa capacité à identifier de manière autonome des vulnérabilités et surtout, à en démontrer l’exploitabilité de bout en bout. Avec une IA qui automatise la reconnaissance, l’exploitation et les déplacements latéraux, le délai entre la divulgation d’une vulnérabilité et son exploitation s’effondre, passant de semaines à quelques heures. Ce que vous croyiez sécurisé ne l’est plus. La surface d’attaque que vous pensiez maîtriser vient d’être redéfinie. 

Vous serez compromis. La seule question, c’est l’ampleur des dégâts une fois l’attaquant à l’intérieur. 

Votre périmètre ne compte pas, votre rayon d’exposition oui 

La fiche ITSAP.10.050 suggère que les organisations d’infrastructures critiques devraient pouvoir fonctionner en mode déconnecté des réseaux externes pendant des périodes prolongées. Défensivement, l’idée est solide. Opérationnellement, elle impose un niveau de friction que la plupart des entreprises modernes ne peuvent pas soutenir. 

Si vous ne pouvez ni empêcher l’intrusion totalement, ni vous isoler totalement du réseau, que reste-t-il? 

Réduire son rayon d’exposition (blast radius) opère à deux niveaux et Mythos exige que vous preniez les deux au sérieux.

Le premier est l’architecture réseau. Un réseau plat est indéfendable face à une menace de classe Mythos. Réduire au maximum la surface d’attaque exposée à Internet, appliquer la micro-segmentation et contenir les déplacements latéraux ne sont pas des mesures de durcissement optionnelles : ce sont les contrôles structurels qui limitent jusqu’où une attaque zero-day peut impacter une fois qu’elle atterrit. Le MFA résistant au phishing appartient à la même catégorie, non pas parce que Mythos invente de nouveaux types de phishing, mais parce que le contrôle des accès aux systèmes constitue le socle sur lequel repose tout le reste.

Le deuxième niveau est la gouvernance des accès aux données ; c’est exactement ce que prescrit le reste du guide ITSAP.10.050 : approche « crown jewels », Zero Trust, accès au moindre privilège. Tous pointent vers la même vérité opérationnelle : les personnes  (et les systèmes) ne devraient avoir accès qu’à ce dont ils ont strictement besoin. Rien de plus.

La brèche de Canada Vie n’avait rien d’exceptionnel 

En avril 2026, Canada Vie confirmait un incident cybernétique impliquant un accès non autorisé à des applications par l’entremise du compte d’un employé. L’incident a été contenu, mais des renseignements personnels de clients ont été exposés et un service de surveillance de crédit a été offert aux personnes touchées. 

Un compte d’employé. C’est le point d’entrée. Un compte légitime, fort probablement compromis par une technique en usage depuis des années. 

La question critique n’est pas « comment sont-ils entrés? ». C’est « pourquoi ce compte avait-il accès à autant de choses? » 

C’est la question du rayon d’exposition. Et c’est une question que chaque organisation d’infrastructure critique devrait se poser, dès maintenant, pour chaque compte de son environnement. 

Vos employés sont le contrôle 

Voici la partie qui met la plupart des responsables de sécurité mal à l’aise : vos employés sont à la fois le maillon faible et le contrôle le plus puissant. La même personne qui finira par cliquer sur un courriel d’hameçonnage parfaitement crédible généré par Mythos est aussi la seule à pouvoir vous dire si le site SharePoint qu’elle gère devrait encore être partagé avec douze invités externes, ou si le dossier OneDrive qu’elle a créé en 2022 a toujours besoin de toute l’équipe finance dedans. 

Votre équipe TI ne peut pas répondre à ces questions. Elle n’a pas le contexte d’affaires. Elle peut voir qu’un compte a accès à 10 000 fichiers. Elle ne peut pas vous dire lesquels de ces accès sont encore justifiés. 

Seul le propriétaire des données le peut. Les équipes TI lancent parfois des campagnes de nettoyage périodiques, mais les revues d’accès restent souvent manuelles, inconstantes et déconnectées des personnes qui comprennent le mieux les données. 

Cet écart, entre l’accès qui existe et l’accès qui est encore justifié, c’est votre rayon d’exposition. Il grossit chaque semaine. Il est invisible jusqu’à ce que quelque chose tourne mal. Et c’est le facteur le plus déterminant de la façon dont un incident se déroulera, lorsque (et non si) il arrivera. 

Mythos, c’est la prévision météo, pas la tempête 

Mythos est un avant-goût. Les modèles qui suivront seront plus capables, plus accessibles et mieux instrumentés. La fenêtre entre cet avis et la première vague d’incidents qui mentionneront explicitement des capacités de classe Mythos ne sera pas longue. 

Et à mesure que le plafond des capacités s’élève, le plancher des compétences requises s’abaisse. Les combinaisons de modèles que nous ne pouvons pas encore nommer rendront des techniques d’attaque sophistiquées accessibles à un éventail bien plus large d’acteurs malveillants; ce qui signifie que les attaques par vecteur humain, l’ingénierie sociale et l’abus d’identifiants augmenteront en volume, même si les outils de type Mythos reconfigurent la couche d’exploitation technique.

Les opérateurs d’infrastructures critiques ne se débrancheront pas d’Internet pendant trois mois. Ils n’empêcheront pas chaque compromission initiale. Ce qu’ils peuvent faire, dès aujourd’hui, c’est réduire leur rayon d’explosion. Le guide fédéral pointe dans cette direction. Les incidents récents l’illustrent. La technologie pour le faire à grande échelle, à l’intérieur de l’environnement de productivité où vos employés travaillent déjà, existe. 

Une chose à faire dès maintenant 

Le dossier d’affaires pour régler ce problème prend plus de temps à monter que le correctif lui-même. La vraie question n’est plus de savoir si votre organisation peut se permettre d’agir, mais bien ce que chaque mois d’inaction ajoute à la facture de remédiation (et à l’exposition personnelle de la personne qui signera la prochaine attestation). 

Pour aller plus loin : « Ce que l’inaction vous coûte ». 

Si vous ne faites qu’une seule chose ce trimestre, faites celle-ci : choisissez un seul site SharePoint, lancez-y une revue d’accès et présentez les chiffres au conseil. Une exposition réelle, sur un site réel, en moins de temps qu’il n’en faudra pour fixer la prochaine réunion du comité directeur. Puis posez au conseil la seule question qui compte : combien d’autres sites ressemblent à celui-là? 

La réponse honnête, chez la plupart des opérateurs avec qui nous discutons, c’est que personne dans l’organisation ne le sait vraiment. Ce chiffre, c’est le travail. Tant qu’il n’est pas quantifié, chaque autre investissement en sécurité est dimensionné sur le mauvais problème. 

Votre exposition n’est pas cadencée sur votre cycle budgétaire. La seule chose à faire, c’est de commencer à réduire votre rayon d’explosion dès maintenant, à grande échelle, avant que la prochaine brèche ne décide du moment à votre place. 

Publications connexes

Microsoft 365 Archive est disponible. Maintenant, la partie difficile commence.

Dans chaque tenant Microsoft 365 que nous examinons, il y a deux personnes qui perdent le même débat depuis une décennie. L’une d’elles fait...

Lire l'article

Le billet TI qui ne se ferme jamais

Il y a un CISO qui a enfin gagné le débat interne : l’hygiène des données ne peut pas seulement reposer sur l’équipe sécurité....

Lire l'article

Les cinq choses que les CTO aimeraient que les fournisseurs d’IA admettent

L’intelligence artificielle domine actuellement les conversations en entreprise. Chaque plateforme promet une accélération, chaque démonstration met en avant une productivité inégalée, sans friction et chaque feuille...

Lire l'article

Ce que l’inaction vous coûte

Dans chaque organisation, il y a une personne au sein de l’équipe de sécurité, souvent le CISO, qui connaît exactement l’ampleur de la surexposition des données. Il tente de...

Lire l'article

L’IA a changé le risque de place. Avez-vous aussi changé votre gouvernance?

Comme le souligne Gartner® dans Cybersecurity Trend: AI Democratization Drives Collaborative Data Security Governance (publié en janvier 2026), la très large adoption de l’IA et la démocratisation des prises de décision...

Lire l'article

Merci pour
votre demande!

Nous vous contacterons bientôt pour mieux comprendre vos besoins et personnaliser la démonstration.

Au plaisir d’échanger avec vous.

— L’équipe WeActis