Anthropic accorde à l'agence de cybersécurité de l'UE, l'ENISA, l'accès à son modèle d'IA Mythos après des semaines de négociations
L'agence de cybersécurité de l'Union européenne, l'ENISA, rejoindra le Projet Glasswing, obtenant un accès contrôlé au modèle Mythos d'Anthropic, qui a découvert de manière autonome plus de 10 000 vulnérabilités zero-day dans les principaux systèmes d'exploitation et navigateurs.
Anthropic a accepté de donner à l'agence de cybersécurité de l'Union européenne, l'ENISA, l'accès à son modèle d'IA Mythos par le biais du Projet Glasswing, mettant fin à un bras de fer qui était devenu un point de crispation dans les relations transatlantiques en matière d'IA. La décision, communiquée à la Commission européenne ce week-end, fait de l'ENISA la première institution de l'UE à rejoindre le programme d'accès contrôlé.
Ce que Mythos peut faire
Mythos n'est pas un outil de cybersécurité conventionnel. Lancé en avril 2026 sous le nom de Claude Mythos Preview, le modèle peut identifier de manière autonome des failles de sécurité dans des bases de code complexes, générer des exploits fonctionnels du premier coup dans plus de 83% des cas, et exécuter des simulations d'attaque qui nécessiteraient traditionnellement des équipes de chercheurs humains travaillant pendant des mois. Au cours de son premier mois au sein du Projet Glasswing, le modèle a découvert plus de 10 000 vulnérabilités zero-day de gravité élevée et critique dans chaque grand système d'exploitation et navigateur web. Anthropic affirme que les capacités avancées du modèle lui ont permis de détecter des cybermenaces qui étaient restées cachées pendant 27 ans.
Ce dernier développement est de la plus haute importance pour obtenir une image claire des risques potentiels.
Les négociations
Les autorités européennes avaient été exclues de l'accès à cette IA de cybersécurité de pointe pendant des semaines, suscitant des appels urgents de la part des politiciens et des responsables gouvernementaux européens pour y accéder. Les ministres des Finances de la zone euro, la Banque centrale européenne et plusieurs États membres de l'UE ont exigé l'accès après avoir appris que Mythos avait trouvé des vulnérabilités dans des systèmes sur lesquels les banques, les gouvernements et les fournisseurs d'infrastructures critiques européens comptent quotidiennement. L'avancée a eu lieu après une réunion à San Francisco la semaine dernière entre des responsables de la Commission européenne et Anthropic à son siège.
C'est le résultat de la forte coopération bilatérale et de l'engagement de la Commission avec Anthropic.
Conditions encore en discussion
Bien que l'autorisation ait été accordée dimanche, Anthropic et la Commission européenne négocient toujours les termes selon lesquels les tests seront effectués avant que l'ENISA n'obtienne l'accès. Ces conditions incluent des garanties pour empêcher la divulgation de toute vulnérabilité de cybersécurité détectée dans les entreprises et banques européennes. La priorité de la Commission est de définir un cadre adéquat qui garantisse un accès sécurisé au modèle.
Une course à l'IA plus large
L'accès de l'UE intervient alors qu'OpenAI a déjà lancé sa propre initiative concurrente, Daybreak, visant à trouver des vulnérabilités logicielles et à générer des correctifs, et a été plus rapide qu'Anthropic pour ouvrir l'accès à son modèle GPT-5.5 Cyber. Pendant ce temps, la startup française Mistral prévoit de lancer sa propre version de Mythos et est en discussion avec des banques européennes pour déployer cette alternative. Le PDG de Mistral, Arthur Mensch, a averti lors d'une audition à l'Assemblée nationale française le 12 mai que l'Europe ne peut pas laisser le code source de l'armée française être analysé par Mythos, qualifiant cela de dépendance à laquelle il faut remédier.
N'oublions pas que Mythos n'est pas un cas isolé, une nouvelle vague de modèles puissants arrive sur le marché.
Qui a déjà accès
Jusqu'à présent, l'accès à Mythos via le Projet Glasswing a été limité à environ 40 entreprises américaines sélectionnées et à certaines entités gouvernementales, ainsi qu'à un accès récent accordé aux institutions financières britanniques. La liste comprend Apple, Google, Microsoft, Nvidia, Cloudflare, Bank of America, Citigroup, Goldman Sachs, Morgan Stanley et JPMorgan Chase. La NSA teste également Mythos pour comparer ses résultats avec les autres outils de recherche en cybersécurité de l'agence, bien que l'on ne sache pas quels bogues de sécurité les tests ont révélés. La Commission travaille sur un plan d'action formel pour répondre aux outils de piratage d'IA puissants et a indiqué qu'elle souhaitait le publier avant les vacances d'été, selon un responsable de l'industrie.
- Anthropic dévoile Claude Mythos Preview, avertissant qu'il surpasse la plupart des humains dans la recherche de failles de cybersécurité.
- Le PDG de Mistral, Arthur Mensch, avertit l'Assemblée nationale française des risques de dépendance à Mythos.
- Des responsables de la Commission européenne se rendent à San Francisco pour rencontrer Anthropic et demander formellement l'accès.
- Anthropic accorde à l'ENISA l'autorisation de rejoindre le Projet Glasswing ; les termes sont encore en négociation.
