Light bulb, Incandescent, Smoke image.

Le mythe d’Anthropic signale un changement structurel en matière de cybersécurité

Lucas Morel

Claude Mythos Preview ne brisera pas la cybersécurité, mais deux nouvelles analyses mettent en lumière la façon dont il compresse les fenêtres d’exploitation et expose les lacunes dans la gestion des vulnérabilités. Les RSSI doivent se préparer à ce qui les attend.

Au cours de la semaine dernière, les réactions à la divulgation de Glasswing par Anthropic se sont divisées selon des lignes familières. D’un côté : alarme sur un système d’IA capable d’identifier et d’exploiter de manière autonome les vulnérabilités. De l’autre : des prises de position dédaigneuses, affirmant qu’il n’y a rien de nouveau ici.

Un point de vue plus fondé vient d’un nouveau briefing de la Cloud Security Alliance (CSA), dirigé par Gadi Evron, PDG de Knostic et RSSI en résidence pour l’IA au sein de l’alliance ; Rob T. Lee, directeur de l’IA et chef de la recherche au SANS Institute ; et Rich Mogull, analyste en chef chez CSA.

Le document s’appuie sur un large éventail de contributeurs, dont l’ancienne directrice de la CISA, Jen Easterly, Bruce Schneier, l’ancien directeur national de la cybersécurité Chris Inglis et l’ancien RSSI de Google Phil Venables, ainsi que des dizaines de RSSI et PDG.

La conclusion du groupe est directe : Glasswing n’est pas une exception. Il s’agit d’un premier exemple d’une capacité susceptible d’évoluer, et les RSSI devraient commencer à se préparer à cette ère.

« À court terme, les organisations de sécurité seront probablement submergées par la nécessité d’appliquer des correctifs et de répondre aux vulnérabilités, exploits et attaques autonomes découverts par l’IA », indique le document. « La tempête de divulgations de vulnérabilités du projet Glasswing est la première d’une longue série de grandes vagues. »

Le changement est la vitesse

La découverte de vulnérabilités basée sur l’IA n’est pas nouvelle. Ce qui a changé, c’est la vitesse. Des tâches qui prenaient autrefois des semaines, voire des mois (trouver une faille, créer un exploit, l’enchaîner en attaque) peuvent désormais être réalisées en quelques heures.

Selon le document, « Claude Mythos (aperçu) d’Anthropic représente un changement radical dans cette trajectoire, trouvant de manière autonome des milliers de vulnérabilités critiques sur tous les principaux systèmes d’exploitation et navigateurs, générant des exploits fonctionnels sans assistance humaine et permettant une orchestration autonome des attaques, le tout à une vitesse et à une échelle qui dépassent toutes les capacités précédentes. »

Cette accélération approfondit une asymétrie familière : les défenseurs doivent avoir raison de manière constante, alors que les attaquants n’ont besoin de réussir qu’une seule fois.

De plus, « la fenêtre entre la découverte et la militarisation s’est réduite à quelques heures. Les attaquants obtiennent des avantages disproportionnés, et les cycles de correctifs, les processus de réponse et les mesures de risque actuels n’ont pas été conçus pour cet environnement », indique le document.

« Construire un programme de sécurité « prêt pour Mythos » ne consiste pas à réagir à un modèle ou à une annonce. Il s’agit de réduire définitivement l’écart entre la rapidité avec laquelle les vulnérabilités sont détectées et la rapidité avec laquelle votre organisation peut réagir. »

Claude Mythos Preview est un pas en avant

Une analyse distincte de l’AI Security Institute (AISI) du Royaume-Uni a évalué Mythos Preview lui-même.

Les évaluations impliquaient à la fois des défis de capture du drapeau (CTF) et des gammes plus complexes conçues pour simuler des scénarios d’attaque en plusieurs étapes, dans lesquels le modèle a surpassé les autres systèmes d’IA.

Mythos Preview est arrivé en tête dans une simulation d’attaque de réseau d’entreprise en 32 étapes allant de la reconnaissance initiale jusqu’à la prise de contrôle complète du réseau, ce qui, selon l’Institut, nécessite 20 heures humaines.

Les tests d’AISI ont également montré que Mythos Preview est capable d’attaquer de manière autonome les petits systèmes d’entreprise faiblement défendus une fois l’accès obtenu. « Nos tests montrent que Mythos Preview peut exploiter des systèmes avec une sécurité faible, et davantage de modèles dotés de ces capacités seront probablement développés », a conclu l’AISI.

Ce que les RSSI devraient faire maintenant

La recommandation d’AISI aux organisations est de renforcer les principes fondamentaux, notamment l’application régulière de mises à jour de sécurité, des contrôles d’accès robustes, la configuration de la sécurité et une journalisation complète.

Il indique : « Les futurs modèles d’avant-garde seront encore plus performants, c’est pourquoi il est vital d’investir dès maintenant dans la cyberdéfense. Les cybercapacités de l’IA sont à double usage ; bien qu’elles posent des problèmes de sécurité, elles peuvent également contribuer à apporter des améliorations révolutionnaires en matière de défense. »

Le document de la CSA met en évidence trois prédictions pour les RSSI.

Sur le plan opérationnel : Attendez-vous à une vague de correctifs de la part des quelque 40 fournisseurs du programme d’accès anticipé, reflétant potentiellement les périodes récentes où plusieurs incidents de chaîne d’approvisionnement nécessitaient une réponse dans un délai de deux semaines.

Gestion des risques : Le risque commercial évolue, ce qui nécessite un engagement étroit avec les parties prenantes sur la planification et la tolérance aux risques. La capacité du RSSI à gérer les risques est de plus en plus limitée, avec des effets potentiels en aval sur les rapports et les projections.

Stratégiquement: Réalisez une analyse des lacunes à plus long terme et remaniez de manière sélective les fonctions clés, y compris les processus de gouvernance qui permettent une intégration plus rapide de la technologie et le déploiement de contrôles de sécurité basés sur l’IA.

Le rapport élève également le mythe au rang de problème au niveau du conseil d’administration, permettant aux RSSI d’encadrer les capacités actuelles et de plaider en faveur d’investissements supplémentaires.

L’essentiel, comme le conclut le document du CSA, est que « les attaques basées sur l’IA représentent un changement structurel dans la façon dont fonctionnent l’offensive et la défense, et cela ne changera pas. Le coût et la capacité d’exploitation de la découverte diminuent, le temps entre la divulgation et la militarisation se réduit à zéro, et les capacités qui nécessitaient auparavant des ressources des États-nations deviennent désormais largement accessibles. »

Intelligence artificielleGestion des menaces et des vulnérabilitésLogiciel de sécuritéSécurité

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Malware
Plus de fausses extensions liées à GlassWorm trouvées sur le marché du code Open VSX
Business Conference Presentation: Visionary Startup CEO Presents New Product, Does Motivational Talk Science, Lecture, Technology, Entrepreneurship, Development, Leadership. Background with Code.
Ce que les RSSI doivent faire à l’heure où l’identité entre dans l’ère agentique
Poznan, Poland – April 14, 2025: Close-up of Cursor app icon on the macOS dock, showcasing a modern code editor enhanced with AI features for developers
Un bug critique du curseur pourrait transformer la routine Git en RCE