L'arrivée de Mythos AI a suscité un débat intense dans le secteur de la cybersécurité. Des chercheurs en sécurité aux médias grand public, la conversation a oscillé entre la fascination, la peur et l'indifférence, certains affirmant que nous avons déjà vu un tel battage médiatique.
Cependant, une plateforme capable d'identifier des vulnérabilités qui n'avaient pas encore été découvertes au cours de décennies de développement de logiciels soulève naturellement une question importante. La découverte de vulnérabilités par l'IA renforcera-t-elle la résilience cybernétique ou accélérera-t-elle simplement les capacités des attaquants ?
Anthropic a sans aucun doute alimenté certaines de ces spéculations en contrôlant étroitement l'accès à Mythos par le biais du projet Glasswing, tout en mettant en garde contre les risques potentiels si des capacités similaires tombaient entre de mauvaises mains.
On ne peut nier la réussite technique de Mythos. La capacité d'analyser rapidement de grandes quantités de code et d'identifier les fuites de mémoire, les chemins d'exécution inattendus et les vulnérabilités cachées représente une avancée significative dans les tests de sécurité des logiciels. Pour les développeurs et les chercheurs en sécurité, l'analyse assistée par l'IA a le potentiel d'améliorer la qualité du code, de réduire les faiblesses des logiciels et de raccourcir les délais de découverte des vulnérabilités.
Toutefois, du point de vue de la cybersécurité opérationnelle, la conversation autour de Mythos risque de passer à côté d'une réalité plus importante.
Chez Integrity360, nous constatons quotidiennement que la plupart des cyber-attaques réussies ne se produisent pas parce que les acteurs de la menace ont découvert une obscure vulnérabilité Zero Day cachée dans un code vieux de plusieurs dizaines d'années. Elles se produisent parce que les organisations ont encore du mal à appliquer les règles fondamentales d'hygiène en matière de cybersécurité. Plus que jamais, les attaquants ne piratent pas les organisations, ils s'y connectent simplement.
Les systèmes non corrigés, les services exposés, la faible segmentation, les privilèges excessifs, les pare-feu mal configurés et la faible visibilité continuent de fournir aux attaquants des voies d'accès faciles aux environnements. Les acteurs de la menace ont rarement besoin d'outils d'IA sophistiqués alors que de nombreuses organisations laissent encore des expositions critiques accessibles grâce à des lacunes évitables dans la sécurité opérationnelle.
C'est pourquoi la visibilité totale, la détection et la segmentation, le durcissement du réseau, la réduction de la surface d'attaque et la segmentation restent des fondements essentiels de la cyber-résilience.
Même la plateforme la plus avancée de découverte de vulnérabilités par l'IA ne peut compenser des contrôles d'accès mal appliqués ou des architectures de réseau plates qui permettent aux attaquants de se déplacer latéralement une fois qu'ils ont pénétré dans un environnement. La sécurité n'est pas le fruit d'une seule avancée technologique. Elle découle d'une défense par couches, d'une discipline opérationnelle et d'une visibilité sur l'ensemble de l'environnement.
Un outil comme Mythos peut découvrir des centaines, voire des milliers de vulnérabilités potentielles, mais l'identification des faiblesses n'est qu'une partie du défi. Les organisations doivent encore comprendre quels risques sont réellement exploitables, quels systèmes sont critiques pour l'entreprise et quelles vulnérabilités représentent des voies d'attaque réalistes dans leur environnement.
Sans compréhension du contexte, les équipes de sécurité risquent d'être submergées par le volume au lieu d'être renforcées par la connaissance.
C'est précisément la raison pour laquelle la détection et la réaction, la gestion continue de l'exposition aux menaces (CTEM) et les opérations de sécurité proactives restent si importantes. Une cybersécurité efficace ne consiste pas à générer des alertes sans fin ou à découvrir toutes les faiblesses théoriques. Il s'agit de hiérarchiser les risques les plus importants pour l'organisation et de réagir avant que les attaquants ne puissent les exploiter.
Le secteur de la cybersécurité est déjà confronté à la fatigue des alertes, à la pénurie de compétences et à la pression sur les ressources. L'introduction à grande échelle de la découverte de vulnérabilités générées par l'IA sans triage, gouvernance et maturité opérationnelle appropriés pourrait accroître la complexité au lieu de réduire les risques.
Il existe également une idée fausse plus répandue selon laquelle l'IA elle-même résoudra d'une manière ou d'une autre les problèmes de cybersécurité.
En réalité, les attaquants n'ont pas besoin de capacités de type Mythos pour compromettre de nombreuses organisations aujourd'hui. Les acteurs de la menace continuent d'exploiter les vulnérabilités connues, les informations d'identification volées et les configurations faibles parce que ces méthodes restent efficaces. Dans de nombreux cas, les outils nécessaires pour compromettre les environnements existent déjà et sont facilement accessibles.
Cela signifie que les organisations ne doivent pas attendre que les outils de cybersécurité pilotés par l'IA se généralisent pour améliorer leur résilience.
La priorité doit rester claire :
L'IA jouera sans aucun doute un rôle de plus en plus important tant dans la cyberdéfense que dans la cyberattaque. Mythos démontre la rapidité avec laquelle ces capacités évoluent. Mais l'IA ne constitue pas à elle seule une stratégie de cybersécurité. L'IA seule ne résoudra pas le problème de l'IA, mais la création d'une équipe IA-humaine appropriée le fera. Associer l'expérience, les connaissances commerciales et la pensée créative des humains à l'échelle et à la vitesse de l'IA.
Les organisations qui se concentrent aujourd'hui sur la résilience opérationnelle, la défense par couches et la maturité de sécurité proactive seront bien mieux placées pour résister aux menaces actuelles et aux attaques de l'avenir basées sur l'IA. C'est là que la véritable bataille de la cybersécurité continuera d'être gagnée.
Si vous êtes préoccupé par le battage médiatique autour de Mythos et des menaces de cybersécurité liées à l'IA en général, contactez nos experts dès aujourd'hui.