La BCE alerte sur les risques cybernétiques du modèle Claude Mythos
La Banque centrale européenne (BCE) a convoqué, mardi 26 mai, les principales banques du continent pour une réunion d’urgence consacrée aux menaces que fait peser l’intelligence artificielle sur la cybersécurité du secteur financier. Au cœur de cette convocation sans précédent : le modèle Claude Mythos, développé par la société Anthropic, dont les capacités d’exploitation des failles informatiques pourraient rendre obsolètes les dispositifs de protection actuellement en vigueur dans les établissements bancaires européens.
Frank Elderson, membre du conseil exécutif de la BCE et vice-président du conseil de surveillance bancaire, n’a pas dissimulé son inquiétude face à l’accélération vertigineuse des performances offensives de l’IA. Interrogé par le Financial Times, il a déclaré sans ambages : « Il existe toute une série de questions de cybersécurité sur lesquelles nous avons travaillé avec les banques pendant des années, qui restent toutes valables, mais compte tenu des progrès de l’IA, elles doivent être traitées plus rapidement. » Une mise en garde qui sonne comme un aveu d’urgence institutionnelle.
Claude Mythos : des capacités de détection révolutionnaires mais préoccupantes
Le modèle Claude Mythos Preview, développé dans le cadre du « Project Glasswing » d’Anthropic, a affiché des performances proprement stupéfiantes lors de ses premières phases de test. En l’espace d’un seul mois, les partenaires du projet ont identifié plus de 10 000 failles de sécurité, décuplant les taux de détection précédemment atteints par les outils conventionnels. Si cette efficacité témoigne d’un saut technologique majeur, elle révèle en miroir un potentiel destructeur d’une ampleur inédite. L’agence ANSA a documenté cette découverte massive de vulnérabilités, soulignant l’ampleur du phénomène.
L’Institut britannique de sécurité de l’IA a par ailleurs établi que Mythos Preview réussit 73 % des défis « Capture the Flag » de niveau expert — un taux jamais atteint par aucun modèle d’IA avant avril 2025. Mozilla a dû intégrer pas moins de 271 correctifs dans Firefox 150 pour colmater des vulnérabilités découvertes par ce seul modèle, un volume sans équivalent comparé aux résultats de son prédécesseur Opus 4.6.
Plus inquiétant encore, selon The Next Web, Mythos est capable de produire des exploits fonctionnels dès la première tentative dans plus de 83 % des cas, surpassant fréquemment les meilleurs spécialistes humains en cybersécurité. Sa capacité d’ingénierie inverse lui permet d’analyser un correctif de sécurité et d’en déduire la vulnérabilité sous-jacente en moins de trente minutes — un délai qui transforme chaque publication de patch en course contre la montre.
L’urgence d’une accélération des processus de sécurité
Face à la brutalité de ces nouvelles menaces, la BCE exige des banques européennes une révision fondamentale de leurs protocoles de sécurité. Pour illustrer l’ampleur du changement de rythme requis, Elderson a eu recours à une métaphore musicale d’une clarté saisissante : « En termes musicaux, je dirais que l’andante était peut-être suffisant, mais nous devons passer au presto. »
La fenêtre temporelle séparant la publication d’un correctif de son exploitation par des acteurs malveillants s’est dramatiquement contractée. Les établissements bancaires ne peuvent plus s’offrir le luxe d’attendre plusieurs semaines avant d’appliquer les mises à jour critiques. Cette contrainte bouleverse en profondeur l’économie de la cybersécurité pour l’ensemble du secteur financier, imposant des investissements humains et techniques considérables dans des délais que les structures existantes peinent à absorber.
Les exigences formulées par la BCE s’articulent autour de plusieurs impératifs convergents : une accélération massive des cycles de réponse et de remédiation, le traitement de la sécurité informatique comme une cible mobile plutôt qu’un programme figé, un partage structuré d’informations entre les banques américaines disposant d’un accès à Mythos et leurs homologues européens, ainsi qu’un renforcement substantiel des équipes de sécurité pour faire face à l’intensification des menaces. Ces exigences, prises ensemble, dessinent une transformation systémique dont le coût et la complexité restent encore difficiles à mesurer.
Un déséquilibre géopolitique préoccupant
L’accès restreint au modèle Mythos met en évidence un déséquilibre technologique dont les implications stratégiques dépassent largement le cadre de la cybersécurité. Anthropic n’a accordé l’accès qu’à quarante à cinquante organisations, quasi exclusivement américaines, parmi lesquelles Amazon, Microsoft, Google, Nvidia, CrowdStrike, Palo Alto Networks et JPMorgan Chase. Aucune banque européenne ne figure sur cette liste — une exclusion qui n’est pas sans rappeler les tensions croissantes autour du contrôle des technologies d’IA à double usage.
Cette asymétrie d’accès place les institutions financières européennes dans une posture particulièrement vulnérable : elles doivent se défendre contre des menaces qu’elles ne peuvent pas pleinement appréhender, faute d’accès aux outils qui les génèrent. Elderson a qualifié cette situation de « regrettable », tout en insistant sur le fait qu’elle ne saurait justifier l’inaction. Le risque est pourtant réel : une cyberattaque exploitant des vulnérabilités identifiées par Mythos pourrait frapper des établissements européens avant même qu’ils aient connaissance de la faille concernée.
Les négociations engagées entre l’Union européenne et Anthropic, conduites par le commissaire européen Valdis Dombrovskis depuis début mai, n’ont à ce jour abouti à aucun résultat tangible. Les rapports officiels espagnols de mi-mai indiquent même que les pourparlers sont dans une impasse, laissant l’Europe dans une position de dépendance informationnelle dont les conséquences pourraient se révéler coûteuses. Cette situation illustre plus largement les enjeux évoqués dans notre article sur l’autonomie stratégique européenne et les défis de son financement.
Des implications stratégiques pour la souveraineté européenne
Cette crise technologique soulève des questions fondamentales sur la souveraineté numérique du Vieux Continent. Mistral AI, la pépite française de l’intelligence artificielle, développe actuellement son propre modèle de cybersécurité conçu pour identifier les vulnérabilités selon une logique comparable à celle de Mythos. Arthur Mensch, son PDG, présente cette initiative comme un enjeu de souveraineté technologique à part entière, s’appuyant sur des clients bancaires d’envergure tels que HSBC et BNP Paribas pour crédibiliser son approche. Une réponse européenne qui, si elle demeure encore embryonnaire, témoigne d’une prise de conscience réelle des enjeux en jeu — et qui s’inscrit dans un contexte industriel plus large, où les tensions autour de la chaîne d’approvisionnement technologique se multiplient, comme l’illustre la grève chez Samsung qui a récemment perturbé l’industrie mondiale de l’IA.
La BCE supervise 111 des plus grandes banques de la zone euro, toutes potentiellement exposées à ces nouvelles menaces. Pour contraindre les établissements à renforcer leur résilience opérationnelle, l’institution s’appuie notamment sur le Digital Operational Resilience Act (DORA), la législation européenne dédiée à la cybersécurité des services financiers — un cadre réglementaire dont l’ambition initiale paraît aujourd’hui dépassée par la vitesse des évolutions technologiques.
Palo Alto Networks, l’un des leaders mondiaux de la cybersécurité, confirme que les modèles d’IA avancés découvrent désormais des vulnérabilités à un rythme sept fois supérieur à la normale. L’entreprise estime que l’industrie ne dispose que de trois à cinq mois de « buffer défensif » avant que la situation ne bascule dans une zone de danger systémique — une fenêtre d’une étroitesse alarmante au regard de la lourdeur des processus de mise à jour dans les grandes institutions financières.
Vers une redéfinition de la stratégie de cyberdéfense
L’intervention de la BCE marque un tournant dans l’approche européenne de la cybersécurité bancaire. Les autorités de régulation admettent désormais publiquement que l’amélioration volontaire ne suffit plus face à l’accélération des menaces. L’Acte européen sur l’IA, dont l’entrée en application pleine est prévue pour le 2 août 2026, entendait poser des règles unifiées pour les systèmes d’IA dans le secteur bancaire et les paiements — mais la réunion d’urgence de la BCE suggère que le calendrier réglementaire standard est déjà débordé par la réalité du terrain.
Les exigences de cybersécurité applicables aux institutions financières utilisant ou interagissant avec des modèles d’IA dits « frontières » devraient donc se durcir bien plus vite que ne l’anticipaient les architectes du cadre réglementaire européen. La convergence entre la montée en puissance foudroyante des capacités offensives de l’IA et la reconnaissance croissante que les infrastructures financières constituent le terrain d’épreuve le plus critique de l’ère numérique redessine l’ensemble du paysage sécuritaire.
Les enjeux dépassent désormais la seule sphère technique pour toucher aux fondements mêmes de la stabilité financière européenne. Lorsqu’un modèle d’IA peut identifier une vulnérabilité critique et amorcer son exploitation avant même qu’un correctif ait été distribué, les conséquences ne relèvent plus du scénario hypothétique, mais d’un risque systémique bien réel — et potentiellement dévastateur pour des économies dont la robustesse repose, in fine, sur la confiance dans leurs systèmes financiers.
