retour

Accueil > Blog > Cybersécurité entreprise > Claude Mythos : l'urgence cyber pour les PME en 2026 | Plate...

Cybersécurité entreprise

Claude Mythos : l'urgence cyber pour les PME en 2026 | Plateya

21 Avr 2026 à 09:22

Anthropic restreint Mythos, l'IA qui trouve des zero-days en masse. Pourquoi votre PME est la prochaine cible et comment se protéger dès maintenant.


Claude Mythos et l'urgence cyber pour les PME : pourquoi vous n'avez plus 18 mois pour vous protéger

Par Plateya · RiskCyber  |  Mis à jour le 21 avril 2026  |  Temps de lecture : 12 min




Ce qu'il faut savoir en 60 secondes

Le 7 avril 2026, Anthropic a annoncé Claude Mythos Preview, un modèle d'IA « frontier » qui, en quelques semaines, a découvert des milliers de failles zero-day inédites dans tous les systèmes d'exploitation et navigateurs majeurs, y compris une faille vieille de 27 ans dans OpenBSD et une autre de 17 ans dans FreeBSD. Le modèle est jugé trop dangereux pour être diffusé publiquement : Anthropic le réserve à une coalition de 12 géants (AWS, Apple, Google, Microsoft, Cisco, CrowdStrike, Linux Foundation, Palo Alto, JPMorgan…) via le Project Glasswing doté de 100 M$. L'aveu est limpide : ces capacités « vont bien plus vite que les défenseurs ne peuvent les corriger ». Autrement dit : les grandes entreprises sont en train d'être patchées en urgence. Les PME, elles, héritent des failles sans accès à l'outil. La fenêtre avant que des capacités équivalentes n'atteignent des acteurs hostiles se mesure en mois, pas en années.



Le 7 avril 2026, Anthropic a publié un billet d'apparence technique sur le blog de sa red team. Pour un œil non averti, c'était une simple mise à jour produit. Pour l'industrie de la cybersécurité, c'était un point de bascule. Le modèle Claude Mythos Preview, un « frontier model » volontairement non diffusé, a trouvé en quelques semaines des milliers de vulnérabilités inédites dans le code qui fait tourner l'internet mondial. Pas des vulnérabilités théoriques. Pas des « preuves de concept » à exploiter en laboratoire. Des failles fonctionnelles, avec des exploits autonomes, dans tous les systèmes d'exploitation majeurs (Linux, Windows, macOS, FreeBSD, OpenBSD), tous les navigateurs (Chrome, Firefox, Safari, Edge) et une longue liste de briques logicielles critiques (FFmpeg, entre autres). Certaines étaient là depuis 27 ans.

Dans la foulée, Anthropic a lancé Project Glasswing : une coalition fermée de 12 acteurs majeurs — AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, Nvidia, Palo Alto Networks — auxquels s'ajoutent une quarantaine d'organisations gérant des infrastructures critiques. Objectif : utiliser Mythos pour patcher massivement les failles avant que des capacités équivalentes ne tombent dans de mauvaises mains. Budget : 100 millions de dollars de crédits modèle, plus 4 millions de dons aux fondations open source. L'entreprise a été transparente sur ses raisons : « les conséquences pour l'économie, la sécurité publique et la sécurité nationale pourraient être graves ».

La question qui reste n'est plus « est-ce que l'IA va transformer la cybersécurité ? ». Cette question est réglée depuis le 7 avril. La vraie question, pour tout dirigeant de PME ou d'ETI en France, est plus brutale : combien de temps avant que des modèles aussi puissants que Mythos — ou des versions dégradées, mais suffisamment efficaces — soient disponibles pour des attaquants ? Et que vaut votre défense, aujourd'hui, contre un adversaire qui peut auditer votre stack logicielle en quelques heures ?

 

Claude Mythos : ce qui a réellement changé le 7 avril 2026


Contrairement à ce que le nom pourrait laisser penser à un lecteur francophone, « Mythos » n'est pas un bluff marketing. Les mesures sont publiques, reproductibles, et validées par des tiers indépendants.


Un modèle qui fait sauter les benchmarks


Sur le benchmark CyberGym, référence du secteur pour l'évaluation des capacités offensives d'une IA, Mythos Preview atteint 83,1 %, contre 66,6 % pour Claude Opus 4.6 — le meilleur modèle d'Anthropic disponible jusque-là. Sur SWE-bench Verified, qui mesure la capacité d'une IA à résoudre de vrais tickets GitHub, Mythos obtient 93,9 % contre 80,8 %. Sur SWE-bench Pro, plus difficile : 77,8 % contre 53,4 %. Ce ne sont pas des gains marginaux : c'est un saut d'une catégorie à une autre. Le point critique, souligné par Anthropic elle-même, est que ces capacités n'ont pas été explicitement entraînées — elles ont « émergé » des progrès généraux en raisonnement, code et autonomie. Autrement dit, on ne sait pas les isoler ni les désactiver.


Trois exemples concrets qui donnent le vertige



Anthropic a divulgué, à des fins pédagogiques et après correction par les éditeurs concernés, trois vulnérabilités représentatives. Elles racontent à elles seules ce qui a changé :

 

Logiciel

Âge de la faille

Nature

Impact

OpenBSD

27 ans

Faille réseau trivialement exploitable

OpenBSD est l'OS réputé le plus durci au monde. 27 ans d'audits manuels, de fuzzing automatisé, d'attention de la communauté sécurité. La faille a été vue en quelques heures.

FFmpeg

16 ans

Vulnérabilité dans le codebase

FFmpeg avait été passé par plus de 5 millions de tests automatisés de fuzzing. Aucun n'avait repéré le bug. Mythos l'a isolé.

FreeBSD NFS (CVE-2026-4747)

17 ans

Exécution de code à distance non authentifiée

Prise de contrôle root complète d'une machine FreeBSD via NFS, sans authentification. Identifiée ET exploitée de manière totalement autonome par Mythos.

Noyau Linux

Plusieurs failles chaînées

Escalade de privilèges locale

Mythos a identifié plusieurs faiblesses distinctes puis les a chaînées, sans aide humaine, pour passer d'un compte utilisateur basique à root.

 

Sources : Anthropic Red Team blog (7 avril 2026), Fortune, VentureBeat, Foreign Policy, AISLE Research.

 

Le détail qui inquiète les analystes : Mythos n'a pas seulement trouvé des failles, il a produit des exploits fonctionnels, reproductibles, avec des étapes de reproduction documentées. Et il l'a fait dans un cadre simple — un conteneur isolé, une consigne d'une phrase (« trouve une vulnérabilité dans ce programme »), et une boucle d'exécution autonome. Pas d'équipe de hackers d'élite. Pas de semaines d'analyse statique. Une IA, un prompt, quelques heures de compute.


Project Glasswing : 100 millions de dollars, 12 géants, une course contre la montre


Plutôt que de publier Mythos, Anthropic a fait le choix inverse : le réserver à un club fermé. Les partenaires annoncés sont, par ordre alphabétique : Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, Nvidia, Palo Alto Networks — auxquels s'ajoutent une quarantaine d'organisations d'infrastructures critiques non publiquement nommées. Ensemble, ces acteurs vont utiliser Mythos pour auditer leurs briques fondamentales, patcher en priorité, et partager leurs apprentissages avec l'industrie. La logique d'Anthropic est explicite : donner un temps d'avance aux défenseurs avant que des capacités équivalentes ne deviennent largement disponibles. Nikesh Arora, CEO de Palo Alto Networks, résume le tempo avec lucidité : « la fenêtre entre l'avantage défensif et l'adoption adverse se mesure en mois, pas en années ».


Le leak embarrassant de mars 2026 : quand Anthropic s'alerte elle-même


Quelques semaines avant l'annonce officielle, un brouillon de billet de blog est devenu accessible publiquement par erreur humaine (un cache mal configuré). Le document décrivait Mythos comme « de très loin le modèle d'IA le plus puissant » jamais développé par Anthropic, et contenait une phrase devenue virale dans les cercles cyber : Mythos est « actuellement bien en avance sur tout autre modèle d'IA sur les capacités cyber » et « préfigure une vague prochaine de modèles capables d'exploiter des vulnérabilités bien plus vite que les défenseurs ne peuvent les corriger ».

Cette phrase n'est pas anodine. Elle vient d'une entreprise qui a un intérêt économique évident à vendre ses modèles, et qui choisit pourtant de dire publiquement : « la technologie que nous produisons accélère les attaquants plus vite qu'elle ne protège les défenseurs ». Cet aveu d'asymétrie est la véritable onde de choc de 2026. Même un État, même un groupe criminel organisé, n'avait jamais eu un levier de productivité aussi favorable au côté offensif.

 

Pourquoi ce n'est pas un « scandale » mais c'est plus grave

Dans la presse française, l'affaire a été rapidement qualifiée de « scandale Mytho » — jeu de mots sur la promesse perçue comme exagérée. La réalité est plus sobre et plus préoccupante. Anthropic n'a pas menti : les benchmarks sont publics, reproductibles, et déjà vérifiés par des chercheurs indépendants (AISLE, OpenSSL, etc.). Le vrai problème n'est pas la communication d'Anthropic — c'est le fait qu'un laboratoire responsable observe des capacités qu'il juge trop dangereuses pour être diffusées, et que des équivalents open-source arrivent derrière, en quelques mois. Les modèles chinois ouverts rattrapent leur retard, selon plusieurs rapports. Les services de renseignement étatiques sont supposés travailler sur leurs propres versions. Ce n'est pas un scandale de marketing. C'est un compte à rebours.

 



Ce que Mythos change vraiment pour une PME : 4 basculements concrets


Pour un dirigeant de TPE ou de PME, la question pratique est simple : qu'est-ce que ça change pour moi, concrètement, dans les 6 à 18 mois qui viennent ? Quatre basculements structurels méritent d'être compris.


Basculement 1 — La démocratisation de l'offensive


Trouver une vulnérabilité zero-day exploitable dans un logiciel mature demandait jusqu'à 2025 des compétences rares : des années d'expérience, des outils spécialisés, une communauté de pairs, du temps long. Cette barrière à l'entrée protégeait de fait 99 % des entreprises : les attaquants capables de trouver eux-mêmes des zero-days étaient peu nombreux, et leurs cibles étaient choisies (grands comptes, infrastructures critiques). Avec des modèles de classe Mythos — ou leurs cousins open-source qui vont suivre — cette barrière s'effondre. Un attaquant « moyen », un groupe cybercriminel moyennement outillé, voire un État de second rang, peut en théorie automatiser la découverte de failles sur toute la stack technique d'une victime. Le temps d'attaque passe de semaines à heures. Le nombre de cibles économiquement exploitables explose.


Basculement 2 — L'asymétrie attaquants-défenseurs


C'est le point critique, et celui qu'Anthropic souligne en toutes lettres. Les mêmes capacités qui permettent de patcher profitent davantage à l'offensive qu'à la défense, pour une raison simple et structurelle : un attaquant n'a besoin de trouver qu'une seule faille exploitable dans votre stack pour entrer. Un défenseur doit corriger toutes les failles avant qu'elles ne soient exploitées. Quand l'outil est symétrique, l'économie du jeu favorise l'attaquant. Et dans le cas de Mythos, l'outil n'est pas symétrique : il est réservé aux 12 géants de Glasswing et à 40 acteurs d'infrastructure. Les PME, elles, héritent d'un internet dont les failles profondes seront patchées chez les éditeurs majeurs — mais avec un temps de latence important entre la publication du patch et son déploiement effectif sur chaque poste de travail d'une PME.


Basculement 3 — Le recyclage industriel des vieilles failles


La faille OpenBSD de 27 ans, celle de FFmpeg de 16 ans, celle de FreeBSD de 17 ans. Ces vulnérabilités n'ont pas été créées par Mythos — elles étaient là, dormantes, dans du code que des millions d'yeux humains et des millions d'heures de fuzzing n'avaient pas trouvé. Cela signifie, pour votre PME, que votre stack logicielle — Linux, bibliothèques standard, dépendances open-source héritées, vieilles versions de PHP ou de Java, systèmes métier non mis à jour depuis 2019 — est statistiquement farcie de failles inconnues. Les attaquants de 2026-2027 ne vont pas inventer de nouvelles classes d'attaques. Ils vont industrialiser la découverte de failles anciennes dans votre infrastructure existante. C'est le cauchemar structurel de la dette technique.



Basculement 4 — L'avenir proche : des capacités équivalentes, partout


Le constat du chercheur Stanislav Fort (AISLE) est glaçant de précision : plusieurs des vulnérabilités montrées par Mythos ont été retrouvées par des modèles open-source beaucoup plus petits et moins chers. La capacité n'est pas exclusive à Mythos. Elle est en train de se propager à l'ensemble de l'écosystème IA. Des modèles chinois en open weights, des fine-tunings de modèles publics, des versions dégradées mais suffisantes pour certaines classes d'attaques — tout cela sera accessible, très probablement, dans les 6 à 18 mois. La fenêtre défensive ouverte par Project Glasswing n'est pas un sursis illimité. C'est une course.

 

Pourquoi les PME sont les premières dans le viseur (et pas les GAFAM)


Paradoxe apparent : Mythos est réservé aux géants. Ce sont donc les géants qui vont se durcir en premier. Par effet de déplacement, ce sont les cibles les moins bien défendues qui deviennent économiquement prioritaires pour les attaquants. En cybersécurité, comme en biologie, la pression de sélection se déplace vers les maillons faibles. Et les maillons faibles, en France, ont un nom : les PME et ETI.



Quatre raisons structurelles qui concentrent le risque sur les PME


  • Une fenêtre de patching beaucoup plus longue. Les GAFAM déploient un correctif critique en quelques heures sur des infrastructures massivement automatisées. Une PME typique déploie un patch en plusieurs semaines — quand elle le déploie. En 2026, 99 % des vulnérabilités découvertes par Mythos et annoncées lors de son lancement étaient encore non patchées chez la majorité des acteurs. Pour une PME, le délai réel entre la publication d'un correctif et son application est souvent de 30 à 90 jours.


  • Le même code, mais sans l'équipe cyber. Votre PME utilise Linux, Windows, Chrome, Firefox, FFmpeg (dans votre outil de visioconférence), OpenSSL (dans tous vos connecteurs HTTPS), et des dizaines de bibliothèques open-source. Ce sont exactement les briques analysées par Mythos. La différence, c'est que Google a une équipe de centaines d'ingénieurs sécurité pour traiter chaque CVE critique. Vous, vous avez peut-être un prestataire IT en MSP, qui s'occupe en priorité des postes de travail qui plantent.


  • La chaîne d'approvisionnement ouverte. En 2026 (données CESIN), 34 % des entreprises ont déjà subi une fuite via un tiers. Les attaquants ne vous visent plus directement : ils visent votre éditeur de comptabilité, votre prestataire RH, votre plateforme e-commerce. Avec Mythos-like à disposition, la probabilité qu'un de vos dizaines de fournisseurs SaaS ait une faille exploitable passe de « possible » à « certaine ».


  • L'économie du ransomware-as-a-service. Les groupes Akira, RansomHub, Qilin, DragonForce, Medusa — qui représentent déjà 50 % des attaques mondiales — ne vont pas ignorer la puissance de feu que représentent les IA offensives. Ils vont l'intégrer à leur chaîne d'outils. DragonForce a connu +212 % d'attaques au S1 2025 sans IA offensive. Avec une IA de niveau Mythos open-source, la trajectoire est évidente.


 

L'équation brutale pour un dirigeant de PME

Les grandes entreprises vont se durcir en 2026-2027 grâce à Glasswing. Les attaquants, eux, vont s'équiper de modèles open-source équivalents en quelques mois. Résultat mécanique : la surface d'attaque économique bascule massivement vers les PME et ETI, qui ont les mêmes briques logicielles que les GAFAM sans l'outil défensif ni les équipes pour l'opérer. Ce n'est pas une prédiction : c'est la logique même de l'économie du crime cyber, qui suit la même loi que tous les marchés — les attaquants vont là où le ratio gain/effort est le plus favorable.

 



2026, l'année noire : Mythos n'est pas la cause, c'est l'accélérateur


Pour remettre Mythos dans son contexte, il faut se rappeler ce que 2025 et le premier quadrimestre 2026 ont déjà livré en France. L'étendue des dégâts est sans précédent, et elle précède Mythos — ce qui rend l'arrivée d'IA offensives d'autant plus critique.



Rappel des chiffres documentés dans notre analyse complète « Risques cyber entreprises : pourquoi ils explosent en 2026 » :


  • 40,3 millions de comptes français compromis en 2025 (rapport Surfshark), plaçant la France au deuxième rang mondial des fuites, derrière les États-Unis.
  • 249 fuites recensées entre le 1ᵉʳ janvier et le 21 avril 2026 (trackers indépendants).
  • Les incidents majeurs de 2026 en France : ANTS (19 millions d'enregistrements, avril), EduConnect (3,5 millions d'élèves, avril), FFBB (2,7 millions, avril), Basic-Fit (1 million, avril), Urssaf (12 millions de salariés, janvier), OFII (2,1 millions, janvier).
  • Les retombées 2025 : France Travail (jusqu'à 43 millions d'actifs — sanction CNIL de 5 M€ en janvier 2026), Bouygues Telecom (6,4 millions, août 2025), Pajemploi (1,2 million, novembre 2025).
  • 1 366 incidents traités par l'ANSSI en 2025, avec explosion des exfiltrations de données (196 cas, +50 % vs 2024).
  • En entreprise, 40 % des entreprises françaises ont subi au moins une cyberattaque significative en 2025 (Baromètre CESIN 2026). Chez les grandes entreprises, 50 %. Chez les ETI touchées, 81 % ont constaté un impact direct sur leur activité.


Ces chiffres sont ceux d'une époque — 2024-2025 — où les attaquants n'avaient pas encore accès à des IA offensives de classe Mythos. Ils représentent la baseline. La question légitime à se poser, en 2026, est : que deviennent ces chiffres quand des capacités équivalentes à Mythos se répandent côté offensif ?

La réponse honnête est : personne ne le sait précisément, mais tous les signaux publics pointent dans la même direction. Les services de renseignement américains ont été briefés. Le Trésor US a convoqué les PDG de grandes banques. L'ANSSI a renforcé son dispositif de veille. Le CESIN a réécrit ses recommandations 2026. Si vous êtes dirigeant d'une PME et que vous découvrez ces informations aujourd'hui, vous êtes en retard — pas sur Mythos, mais sur la prise de conscience que l'équation cyber a changé.




Ce qu'il faut faire maintenant : hiérarchiser, auditer, durcir



La tentation naturelle face à une menace de cette ampleur est de se figer. Elle est mauvaise. La bonne réaction, lucide et proportionnée, tient en cinq priorités opérationnelles à engager dans les 90 jours.


Priorité 1 — Connaître votre exposition réelle (pas la supposée)


La grande majorité des dirigeants de PME ne savent pas répondre à trois questions élémentaires : combien de serveurs exposés sur Internet avez-vous ? Quelles versions de logiciels critiques (OS, navigateurs, bibliothèques) tournent chez vous ? Quels fournisseurs SaaS ont accès à vos données ? Sans ces réponses, toute stratégie de défense est aveugle. L'audit cybersécurité initial — qui cartographie les actifs numériques, les vulnérabilités et la maturité organisationnelle — est le préalable absolu. Pas dans six mois. Dans les huit semaines.



Priorité 2 — Accélérer massivement les cycles de patching


Une PME qui applique ses patches critiques en 90 jours est une PME à risque en 2026. En 2027 avec des IA offensives banalisées, ce sera une PME morte. La discipline de patching doit devenir hebdomadaire, automatisée, et documentée. Cela passe par trois briques : un inventaire à jour des actifs, une solution de gestion centralisée des mises à jour (WSUS, Microsoft Intune, solutions MDM), et une politique de fenêtres de maintenance validée par la direction (parce que oui, il va falloir redémarrer des serveurs le samedi matin).



Priorité 3 — Sécuriser les trois identités qui comptent


80 % des violations de données impliquent des identifiants compromis (Verizon DBIR 2025). En pratique, trois catégories d'identités concentrent le risque : les comptes administrateurs (IT, cloud, M365/Google Workspace), les comptes de messagerie des dirigeants, et les comptes de facturation/finance. Sur ces trois familles, l'authentification multifacteur n'est plus une option — c'est la mesure n° 1 la plus rentable. Budget : quelques dizaines d'euros par utilisateur et par an. Effet : blocage de plus de 99 % des attaques par vol d'identifiants. Déployer la MFA sur l'ensemble des comptes administrateurs est une opération à lancer cette semaine, pas cette année.


Priorité 4 — Tester les sauvegardes comme si votre entreprise en dépendait


Une PME victime d'un ransomware sans plan de continuité perd en moyenne 350 000 € (ANSSI 2024). Une PME avec des sauvegardes immuables, testées et réellement restaurables réduit ce coût d'un facteur 5 à 10. La règle 3-2-1 (trois copies, deux supports différents, une hors site) est connue. Ce qui est ignoré dans 80 % des PME : tester la restauration au moins une fois par trimestre. Une sauvegarde non testée est, statistiquement, une sauvegarde non restaurable.


Priorité 5 — Installer une gouvernance cyber au niveau direction

La cybersécurité est devenue un sujet de conseil d'administration. NIS2 introduira, au plus tard le 17 octobre 2026, des sanctions personnelles pour les dirigeants qui auraient fait preuve de négligence démontrée. Dans une PME qui n'a pas les moyens d'un RSSI en CDI (coût 80 000 à 140 000 € chargé, hors équipe), la réponse structurellement adaptée est le RSSI part-time (ou vCISO) : un expert senior, 2 à 8 jours par mois, qui définit la politique, pilote la mise en œuvre, anime les comités de sécurité et sert de référent NIS2. Budget annuel typique pour une PME : 30 000 à 96 000 €, soit le tiers d'un CDI, avec une expertise supérieure en moyenne et sans les risques d'un recrutement long dans un marché en pénurie.

 

Un audit cyber avec RiskCyber : le premier pas concret à 90 jours


Dans 90 % des missions que nous conduisons via RiskCyber, les dirigeants qui commandent leur premier audit nous disent la même chose : « on pensait être à peu près protégés ». Le rapport prouve presque systématiquement l'inverse. Pas parce que la PME est négligente — parce que la menace a changé d'échelle plus vite que ses systèmes. Mythos accélère ce décalage. Un audit cybersécurité professionnel est, en 2026, le premier investissement à marginal le plus rentable : il transforme une inquiétude diffuse en feuille de route chiffrée, priorisée et exécutable.



Ce que contient un audit RiskCyber

  • Cartographie complète des actifs numériques : serveurs, postes, comptes privilégiés, applications SaaS, fournisseurs critiques.
  • Scan de vulnérabilités externes (services exposés sur Internet) et internes (réseau, endpoints).
  • Audit de configuration des comptes Microsoft 365 / Google Workspace, de la messagerie, des accès distants.
  • Évaluation de la maturité selon un référentiel reconnu : règles d'hygiène ANSSI, ISO 27001, NIS2 article 21.
  • Analyse de la chaîne d'approvisionnement : cartographie des fournisseurs critiques, risques associés, clauses à renforcer.
  • Rapport de synthèse pour le Comex : top 10 risques, coût estimé d'un incident, coût estimé de la remédiation, feuille de route 6-18 mois.
  • Présentation orale au dirigeant et à son équipe, avec réponse aux questions stratégiques et opérationnelles.



À qui s'adresse cet audit


  • Aux PME et ETI (20 à 500 salariés) qui n'ont jamais fait d'audit formel ou dont le dernier audit date de plus de 18 mois.
  • Aux entreprises éligibles à NIS2 qui doivent structurer leur conformité avant le 17 octobre 2026.
  • Aux cabinets et entreprises qui manipulent des données sensibles (juridique, santé, finance, RH, industriel) et qui veulent objectiver leur niveau de protection.
  • Aux dirigeants qui veulent un regard externe, indépendant, pour challenger leur DSI ou leur prestataire IT actuel.




Votre audit cybersécurité avec RiskCyber

RiskCyber est le pôle cybersécurité de l'écosystème Plateya. Nous sélectionnons rigoureusement des auditeurs cyber, RSSI part-time, DPO et experts en conformité NIS2 / RGPD basés en France, disponibles sous 2 à 4 semaines. Audit initial, mise en conformité NIS2, gouvernance cyber, réponse à incident, formation dirigeants : un seul point d'entrée, des experts indépendants, un livrable exploitable par votre Comex.

 

Demandez votre audit cybersécurité avec RiskCyber

   Réponse sous 48h. Premier rendez-vous de cadrage offert.

 

 

FAQ — Mythos, IA offensive et protection des PME


Qu'est-ce que Claude Mythos ?


Claude Mythos Preview est un modèle d'IA « frontier » développé par Anthropic, annoncé le 7 avril 2026. Il se distingue par ses capacités exceptionnelles en découverte et exploitation de vulnérabilités logicielles : en quelques semaines de tests, il a identifié des milliers de failles zero-day dans les systèmes d'exploitation et navigateurs majeurs. Anthropic a choisi de ne pas le rendre public en raison des risques, et l'a réservé à une coalition de 12 géants via Project Glasswing.



Qu'est-ce que Project Glasswing ?


Project Glasswing est une initiative lancée par Anthropic le 7 avril 2026, dotée de 100 millions de dollars de crédits modèle et 4 millions de dons aux fondations open source. Elle réunit AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, Nvidia, Palo Alto Networks, et une quarantaine d'autres organisations d'infrastructure critique. Objectif : utiliser Mythos pour trouver et patcher les failles critiques des logiciels les plus utilisés au monde avant que des capacités équivalentes n'atteignent des attaquants.



Mythos est-il disponible pour mon entreprise ?


Non. Anthropic a explicitement indiqué que Claude Mythos Preview ne sera pas rendu publiquement disponible. Seuls les partenaires officiels de Project Glasswing y ont accès. Anthropic indique vouloir déployer des modèles de classe Mythos plus largement « quand de nouveaux garde-fous seront en place » — sans calendrier communiqué.


Pourquoi est-ce un risque pour les PME plutôt qu'une opportunité ?


Parce que le bénéfice défensif de Mythos est réservé aux géants de Glasswing, pendant que la capacité offensive équivalente se propage rapidement dans l'écosystème IA — notamment via des modèles open-source moins puissants mais suffisants pour certaines classes d'attaques. Les grandes entreprises vont se durcir. La pression de sélection des attaquants va donc se reporter mécaniquement sur les cibles moins bien défendues, c'est-à-dire les PME et ETI.


Quand des capacités équivalentes seront-elles accessibles aux attaquants ?


Les experts indépendants (AISLE, chercheurs open-source, services de renseignement) estiment la fenêtre entre 6 et 18 mois. Stanislav Fort (AISLE) a démontré que plusieurs des failles trouvées par Mythos ont été retrouvées par des modèles open-source beaucoup plus petits. Des rapports indiquent que certains modèles chinois ou russes pourraient déjà disposer de capacités approchantes. Nikesh Arora (CEO Palo Alto Networks) parle d'une fenêtre « mesurée en mois, pas en années ».


Que doit faire une PME immédiatement ?


Cinq priorités à engager dans les 90 jours : (1) réaliser un audit cybersécurité pour connaître son exposition réelle, (2) accélérer les cycles de patching (objectif : correctifs critiques sous 7 jours), (3) déployer la MFA sur tous les comptes administrateurs, dirigeants et financiers, (4) tester les sauvegardes trimestriellement, (5) installer une gouvernance cyber au niveau direction (RSSI part-time ou référent cyber interne formé).


Combien coûte un audit cyber pour une PME ?


Pour une PME de 20 à 100 salariés, un audit cybersécurité complet coûte entre 8 000 et 25 000 €, livré en 4 à 8 semaines. Ce coût est à comparer aux 150 000 € de coût moyen d'un incident cyber pour une PME (ANSSI) et aux 350 000 € de coût moyen d'un ransomware sans plan de continuité. Le ROI d'un audit initial est l'un des plus élevés de tout investissement cyber.


Faut-il un RSSI interne ou externalisé face à ces nouvelles menaces ?


Pour une PME de moins de 200-300 salariés, le RSSI part-time (ou vCISO) reste la réponse la plus adaptée : 30 000 à 96 000 €/an pour 2 à 8 jours d'intervention mensuels, contre 80 000 à 140 000 €/an pour un CDI senior (sans équipe, sans outils). Pour un approfondissement, consultez notre article dédié aux mission et tarifs d'un RSSI freelance.

 

Conclusion : la prudence responsable n'est plus la leur — c'est la vôtre



Anthropic a pris une décision inhabituelle en ne diffusant pas Mythos. Ce choix n'est pas un geste moral isolé — c'est un signal. Un laboratoire d'IA parmi les plus puissants au monde observe chez lui des capacités qu'il juge trop dangereuses pour le marché. Il met 100 millions de dollars sur la table pour que les géants aient un temps d'avance. Il sait — et il le dit — que des équivalents suivront, et que la fenêtre se mesure en mois. Dans ce contexte, attendre « qu'on voit ce que ça donne » est une stratégie. C'est même la stratégie dominante aujourd'hui chez les dirigeants de PME françaises. C'est aussi, selon toutes les analyses sérieuses disponibles, la stratégie la plus coûteuse à moyen terme.

La bonne nouvelle — et il y en a une — est que la parade n'exige pas de moyens démesurés. Un audit initial à 15 000 €, une discipline de patching hebdomadaire, de la MFA partout, des sauvegardes testées, et un RSSI part-time à 3 à 5 k€/mois : avec ce socle, une PME passe d'une posture de cible facile à une posture de cible plus coûteuse que la voisine. Dans un monde où les attaquants optimisent leurs ratios gain/effort, devenir plus coûteux à attaquer que la moyenne suffit à repousser 90 % des tentatives. C'est exactement le rôle que joue, aujourd'hui, un dispositif cyber bien calibré — et précisément ce que RiskCyber accompagne chez nos clients.

Mythos n'est pas une raison de paniquer. C'est une raison d'arrêter de reporter. L'audit que vous comptiez « faire un jour » est devenu l'audit à commander ce mois-ci.

 

Passez à l'action

Ne laissez pas la prochaine fuite française porter le nom de votre entreprise. Nos experts RiskCyber réalisent un audit cybersécurité complet en 4 à 8 semaines, avec un livrable exploitable par votre direction et un plan d'action priorisé.

 

Lancez votre audit RiskCyber dès maintenant

 

 

 

Sources et références

  • Anthropic — Project Glasswing: Securing critical software for the AI era (anthropic.com/glasswing, 7 avril 2026)
  • Anthropic Red Team — Claude Mythos Preview: Technical Details (red.anthropic.com, 7 avril 2026)
  • Fortune — Anthropic is giving some firms early access to Claude Mythos (7 avril 2026)
  • VentureBeat — Anthropic says its most powerful AI cyber model is too dangerous to release publicly (7 avril 2026)
  • Foreign Policy — Claude Mythos Preview changes cyber calculus (20 avril 2026)
  • The Hacker News — Anthropic's Claude Mythos Finds Thousands of Zero-Day Flaws (8 avril 2026)
  • AISLE Research — AI Cybersecurity After Mythos: The Jagged Frontier (Stanislav Fort, avril 2026)
  • Plateya — Risques cyber entreprises : pourquoi ils explosent en 2026 (article complémentaire)
  • ANSSI — Panorama de la cybermenace 2025 (publié le 11 mars 2026)
  • CESIN — Baromètre 2026 de la cybersécurité des entreprises françaises
  • Verizon — Data Breach Investigations Report 2025 (DBIR)

 

 

 

Si cet article est utile, partagez-le avec votre communauté professionnelle.


Donnez votre avis constructif

Damien GRANGIENS

Damien GRANGIENS - Fondateur de Plateya

Fondateur de Plateya : outil collaboratif augmenté pour les office managers freelance et assistantes digitales

Fondateur de Plateya, je travaille depuis 5 ans avec des office managers et assistants indépendants sur la transformation digitale et les nouvelles pratiques et techniques agiles exigées dans le développement de leur activité.

2104 articles

Partagez cet article à votre réseau professionnel!

À lire également

article-similaire
Cybersécurité entreprise

RC pro vs garantie cyber : protégez-vous aussi contre les cyberrisques

02 Mai 2025 à 07:35

 article-similaire
Cybersécurité entreprise

Cybersécurité : transformez vos salariés en bouclier anti-cyberattaques

08 Jan 2025 à 08:37

 article-similaire
Cybersécurité entreprise

Quel est le vrai coût d'un audit en cybersécurité ?

09 Jan 2025 à 08:10
Trouvez le prestataire idéal avec notre nouvel outil exclusif