Comment les responsables informatiques des PME devraient renforcer leurs mesures de sécurité à l'ère de Claude Mythos ?

Claude Mythos is reshaping the threat landscape. Learn why IT leaders at mid-market companies and SMBs must move now to strengthen patching, containment, identity protection, and incident response.
Attila Török.

June 10, 2026

Attila Török

Chief Information Security Officer

Depuis des années, la cybersécurité suit un schéma similaire : une vulnérabilité est découverte, un correctif est publié, les équipes informatiques le déploient, puis le travail reprend son cours jusqu'à ce que le cycle se répète. À mesure que l'IA a continué d'évoluer, ce cycle s'est raccourci et est devenu plus fréquent, tandis que les attaquants ont gagné en puissance. Lorsqu'Anthropic a dévoilé Claude Mythos, l'entreprise n'a pas seulement présenté un modèle d'IA plus puissant, elle a également mis en lumière une rupture fondamentale avec les principes qui sous-tendent la sécurité des entreprises depuis des décennies. Claude Mythos est un système capable de détecter de manière autonome des milliers de vulnérabilités critiques sur tous les principaux systèmes d'exploitation et navigateurs, et de générer des exploits fonctionnels sans intervention humaine, le tout à une vitesse et à une échelle qui dépassent de loin les performances antérieures.

Ces dernières années, nous avons constaté que le délai dont disposent les entreprises pour appliquer des correctifs à leurs systèmes s'est considérablement réduit. En 2018, le délai médian entre la correction d'une vulnérabilité et le premier exploit constaté était de 771 jours. En 2023, ce délai était de 6 jours. En 2024, il n'était plus que de 4 heures, et en 2025, la majorité des vulnérabilités exploitées avaient déjà été utilisées à des fins malveillantes avant même d'avoir été rendues publiques.

Claude Mythos repousse les limites en permettant à quiconque de détecter des exploits à la vitesse de l'ordinateur, pour un coût dérisoire. Ce contre quoi les meilleurs responsables de la sécurité des systèmes d'information (RSSI) et chercheurs indépendants du monde entier mettent aujourd'hui en garde n'est pas une menace lointaine qui se profile à l'horizon. La menace est bien réelle, et elle ne fera que s'intensifier. Pour les responsables informatiques des entreprises de taille moyenne et des PME, les ressources sont déjà mises à rude épreuve, et le délai pour se préparer est plus court que la plupart ne le pensent. Cet article explique en détail ce qu'est réellement le modèle Claude Mythos, pourquoi il bouleverse les pratiques en matière de sécurité, et les mesures prioritaires que votre organisation devrait prendre dès maintenant.

Qu'est-ce que Claude Mythos ?

Claude Mythos est le modèle d'IA le plus performant développé par Anthropic à ce jour. Lors de la présentation du modèle en avant-première à un groupe bêta, l'entreprise a décidé de ne pas le rendre public après avoir découvert l'étendue de ses capacités.

Pour mesurer l'ampleur des progrès réalisés par rapport aux modèles précédents, Anthropic a mené une expérience interne opposant Mythos à son modèle précédent sur une même tâche : détecter des vulnérabilités dans la dernière version de Firefox, entièrement mise à jour. Le modèle précédent en a détecté deux, tandis que Mythos en a identifié 181.

Ce qui rend Mythos particulièrement dangereux, c'est sa capacité à détecter de manière autonome des vulnérabilités et à générer immédiatement des exploits sans aucune intervention humaine. Pas besoin d'une infrastructure spécialisée ni d'une équipe de chercheurs d'élite. Au cours de cette phase de prévisualisation, Mythos a également découvert des bugs qui étaient passés inaperçus pendant plus de 27 ans.

Pourquoi Anthropic a restreint l'accès à Mythos et en quoi cela est important ?

La décision d'Anthropic de ne pas commercialiser Mythos auprès du grand public n'était ni une simple mesure de précaution ni un coup marketing. Il s'agissait là d'une prise de conscience fondamentale de la part de certains des experts en sécurité les plus réputés, qui évaluaient le risque majeur en fonction du nombre de systèmes susceptibles d'être compromis.

Cela a conduit Anthropic à prendre des mesures pour restreindre complètement l'utilisation du modèle et à lancer le projet Glasswing. Un groupe restreint de fournisseurs d'infrastructures critiques qui ont bénéficié d'un accès anticipé afin de commencer à corriger leurs propres systèmes et à limiter la surface d'attaque sur des modèles similaires.

Le message qui se dégage de cette décision est clair : L'asymétrie est bien réelle ; la menace est bien réelle.

Projet Glasswing : un mois après son lancement

Dans les semaines qui ont suivi l'annonce de Mythos, Anthropic a publié les premiers résultats du projet Glasswing, qui ont permis de chiffrer concrètement l'ampleur de cette évolution :

  • Plus de 10 000 vulnérabilités de gravité élevée ou critique ont été découvertes sur les systèmes des partenaires rien qu'au cours du premier mois, la plupart des partenaires ayant chacun identifié des centaines d'entre elles.
  • Cloudflare a détecté 2 000 bugs, dont 400 de gravité élevée ou critique, avec un taux de faux positifs inférieur à celui des testeurs humains.
  • Mozilla a détecté et corrigé 271 vulnérabilités dans Firefox 150 à l'aide de Mythos Preview, soit plus de dix fois le nombre trouvé dans la version précédente utilisant l'ancien modèle Claude.
  • Plus de 6 200 vulnérabilités de gravité élevée ou critique ont été identifiées dans plus de 1 000 projets open source, et des sociétés de cybersécurité indépendantes ont confirmé un taux de vrais positifs de 90,6 %.
  • Selon l'AI Security Institute du Royaume-Uni, Mythos Preview est le premier modèle à résoudre de bout en bout l'ensemble de leurs simulations de cyber range, à savoir des cyberattaques en plusieurs étapes.
  • Les taux de détection de bugs ont été multipliés par plus de 10 chez plusieurs partenaires par rapport aux méthodes précédentes.
  • Le nouveau facteur limitant réside dans les capacités humaines : il ne s'agit plus de détecter les vulnérabilités, mais bien de les vérifier, de les divulguer et d'y apporter des correctifs assez rapidement. Certains éditeurs de logiciels open source ont demandé à Anthropic de ralentir son rythme de divulgation, car ils ne parviennent pas à suivre le rythme.
  • Le temps moyen nécessaire pour corriger une vulnérabilité de gravité élevée ou critique détectée par Mythos Preview est actuellement de deux semaines, un délai qui devra être considérablement réduit à mesure que ces capacités se généralisent.

Pourquoi les responsables informatiques doivent agir dès maintenant : le paysage des menaces a été bouleversé à jamais avec Claude Mythos

Claude Mythos n'est pas le premier modèle d'IA à bouleverser le monde de la cybersécurité. Cependant, c'est la première fois que nous assistons à une telle évolution, aussi rapide et d'une telle ampleur. Ce qui distingue Mythos de tous les modèles d'IA précédents, c'est la combinaison de la rapidité, de l'autonomie et de l'accessibilité, réunies en un seul et même modèle.

Les modèles précédents pouvaient assister un pirate informatique, là où Mythos peut en remplacer un. Mythos ne nécessite ni un opérateur expérimenté pour le manipuler, ni une configuration technique complexe pour le faire fonctionner, ni des journées d'analyse pour obtenir des résultats. Il identifie la vulnérabilité, développe l'exploit et fournit un vecteur d'attaque autonome et opérationnel.

Les arguments en faveur d'une action urgente sont on ne peut plus alarmants. Selon le rapport Verizon de 2025 sur les enquêtes relatives aux violations de données (en anglais, 2025 Data Breach Investigations Report), les rançongiciels ont été impliqués dans 88 % des incidents de violation de données chez les PME, contre seulement 39 % dans les grandes entreprises. Votre entreprise est la cible privilégiée des pirates informatiques. En 2025, le montant médian des rançons s'élevait à 115 000 dollars. Et cela sans même tenir compte des coûts de reprise, des temps d'arrêt, des risques juridiques ou de toute atteinte à la réputation.

Selon le rapport VikingCloud de 2026 sur les menaces pesant sur les PME (en anglais, 2026 SMB Threat Landscape Report), 40 % des PME affirment qu'une cyberattaque leur coûtant 100 000 dollars ou moins suffirait à les pousser définitivement à la faillite. Le montant médian de la rançon dépasse déjà à lui seul ce seuil et est probablement inférieur à ce que vous pourriez imaginer ou supposer. Pour les organisations qui cèdent aux demandes de rançon et survivent à l'incident immédiat, le rapport IBM de 2024 sur le coût des violations de données (en anglais, Cost of a Data Breach Report 2024) estime le coût moyen d'une violation pour les organisations comptant moins de 500 employés à 3,31 millions de dollars, soit 33 fois le seuil que la plupart des PME déclarent ne pas pouvoir supporter. Pour la plupart des PME, une seule violation de données pourrait, en moyenne, entraîner leur fermeture.

Dans un environnement de type « Mythos », où le délai de transformation des vulnérabilités en outils offensifs est passé de plusieurs semaines à quelques heures, la question n'est pas de savoir si votre organisation sera touchée, mais si elle est en mesure de survivre dans ce cas.

Bulle médiatique ou réalité : répondre aux critiques

La bulle médiatique La réalité
Des milliers de vulnérabilités graves Les bugs existent bel et bien. Chaque exécution en détecte de nouveaux. Ce processus est désormais continu et peu coûteux.
Entièrement autonome Les résultats proviennent d'un modèle associé à une structure d'orchestration, et non du modèle agissant seul.
Cela compromettra toute la sécurité Les fondamentaux, tels que l'application des correctifs, l'authentification multifacteur, la segmentation et le principe du moindre privilège, restent d'actualité et sont plus importants que jamais.
C'est comme un testeur d'intrusion basé sur l'IA On dirait plutôt un outil d'analyse de code source basé sur l'IA. Il n'est pas aussi performant pour les tests de type « boîte noire ».
Ce n'est qu'un coup marketing Plus de 60 responsables de la sécurité indépendants, n'ayant aucun intérêt commercial dans l'issue de cette affaire, ont rédigé un document exposant les risques réels.

Pour reprendre les termes de la Cloud Security Alliance, il convient de présenter les choses en toute honnêteté : Mythos représente une véritable avancée dans la recherche de vulnérabilités assistée par l'IA, la percée résidant dans les flux de travail et le développement d'exploits. Ce qui change vraiment, c'est de savoir qui est capable de mener ces attaques, à quelle vitesse et à quel prix. Nous avons atteint un stade d'accélération permanente où des criminels ordinaires disposeront de capacités qui n'étaient autrefois accessibles qu'à une poignée de privilégiés.

Comprendre le fonctionnement de la chaîne des exploits

Pour les responsables informatiques, il est tout aussi important de comprendre comment ces attaques se déroulent que de prendre conscience de leur existence. Avec Mythos, ce processus est plus complexe sur le plan méthodologique qu'auparavant.

L'AI Security Institute (AISI) du Royaume-Uni a évalué Mythos Preview en testant une simulation d'attaque contre un réseau d'entreprise en 32 étapes, allant de la reconnaissance initiale à la prise de contrôle totale du réseau. L'institut a estimé que cette opération aurait nécessité 20 heures de travail d'un professionnel. Sans intervention humaine, Claude Mythos a mené cette expérience à bien de bout en bout à 3 reprises sur 10 tentatives.

C'est pourquoi les RSSI tirent la sonnette d'alarme. Mythos ne se contente pas de rechercher des vulnérabilités, mais analyse également le code source afin d'identifier les points de défaillance. Une fois la vulnérabilité confirmée, il est capable de créer un exploit fonctionnel sans aucune intervention humaine. En réalité, une attaque basée sur l'IA comme celle de Mythos peut obtenir des droits d'accès de niveau administrateur en seulement 8 minutes. À titre de comparaison, un pirate humain expérimenté met généralement plusieurs heures, voire plusieurs jours, pour parvenir au même résultat.

Le plan de réponse aux incidents d'une entreprise type est conçu sur la base de délais moyens de détection de 24 heures ou plus, le confinement prenant souvent plusieurs jours supplémentaires. En 8 minutes, une attaque orchestrée par l'IA atteint les systèmes critiques avant même que la plupart des équipes de sécurité n'aient reçu leur première alerte, sans parler de mettre en place une riposte.

Le plus dangereux, c'est ce qui se passe après la compromission initiale. Mythos combine plusieurs vulnérabilités pour former une séquence d'attaque en plusieurs étapes, exploitant une faille pour obtenir un accès qui permet ensuite d'étendre les privilèges sur le réseau jusqu'aux systèmes critiques.

Une chose à retenir : chaque correctif publié constitue désormais également un modèle d'exploit permettant à Mythos de procéder à une rétro-ingénierie de la vulnérabilité corrigée.

10 questions que les responsables informatiques devraient se poser dès maintenant

Avant d'élaborer un plan de réponse, il est essentiel d'évaluer honnêtement la situation. Ces questions visent à faire émerger rapidement la vérité :

  1. Quelle est notre position actuelle vis-à-vis de l'IA : autorisée, tolérée, restreinte ou indéterminée ?
  2. Avons-nous recensé tous les terminaux, navigateurs et systèmes d'exploitation, y compris les appareils personnels que nous ne contrôlons pas directement ?
  3. Connaissons-nous les systèmes qui ne peuvent pas être corrigés automatiquement, et disposons-nous d'un plan de correction manuelle à leur intention ?
  4. Appliquons-nous a minima les correctifs figurant sur la liste des vulnérabilités exploitables connues (KEV) de l'Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) sur tous les systèmes connectés à Internet ?
  5. Existe-t-il un véritable filtre de sécurité entre la modification du code et la mise en production, ainsi qu'un contrôle équivalent sur les logiciels tiers intégrés à notre environnement ?
  6. Disposons-nous de runbooks préétablis permettant d'isoler ou de mettre hors service un système compromis sans devoir passer par des chaînes d'approbation qui prennent des heures ?
  7. Nos « joyaux de la couronne » font-ils l'objet d'un suivi explicite et sont-ils à jour, non pas les systèmes importants en théorie, mais bien les quelques-uns qui comptent réellement le plus ?
  8. Les dirigeants ont-ils une définition concrète de l'urgence ? Car si tout est une crise, alors rien n'en est une.
  9. Quelle est notre politique actuelle en matière d'appareils personnels (BYOD) ? Disposons-nous d'une visibilité sur les appareils non gérés qui accèdent à notre environnement ?
  10. Notre équipe a-t-elle commencé à utiliser l'IA pour certaines fonctions de sécurité, ou opérons-nous encore entièrement à vitesse humaine ?

Si plusieurs de ces réponses vous semblent floues ou vous mettent mal à l'aise, cela n'a rien d'anormal, mais il faut y remédier en priorité. Ce sont précisément ces failles que les attaques accélérées par l'IA cherchent à exploiter.

Les priorités des entreprises de taille moyenne et des PME disposant de ressources limitées

La liste complète des mesures recommandées par la Cloud Security Alliance est très longue. Pour les entreprises de taille moyenne et les PME qui fonctionnent avec des équipes réduites et des budgets limités, la réalité est qu'il est impossible de tout faire en même temps. Vous pouvez commencer par mettre en place les mesures qui offrent la meilleure protection sans trop de complexité, puis poursuivre sur cette base.

Comme le souligne Attila Torok, vice-président chargé de la sécurité chez GoTo : « Tout progrès, même minime, est déjà positif, car l'alternative consiste à essayer de gérer une douzaine, voire 50 vulnérabilités chaque semaine. Tout ce que nous pouvons faire pour mieux protéger, contenir et réagir constitue une avancée. »

Les correctifs sont plus essentiels que jamais

Les correctifs ont toujours été importants. Ils le sont encore plus aujourd'hui. Avec des modèles de type Mythos capables de procéder à la rétro-ingénierie d'un exploit fonctionnel directement à partir d'un correctif publié, le délai entre la publication du correctif et son exploitation active est passé de plusieurs semaines à quelques heures. Pour les équipes disposant de ressources limitées qui ne peuvent pas corriger tous les problèmes en même temps, établissez vos priorités dans l'ordre suivant :

Le problème des correctifs informatiques sur les systèmes hérités est une réalité qui mérite une attention particulière dans les environnements des entreprises de taille moyenne. Il se peut que vous exploitiez à la fois des infrastructures modernes et héritées : des systèmes d'exploitation plus anciens, des logiciels en fin de vie, ainsi que des applications sur mesure développées il y a plusieurs années et qui n'ont jamais été conçues pour prendre en charge l'application automatisée des correctifs. Ces systèmes nécessitent des processus de déploiement manuels, étape par étape, ce qui signifie qu'ils accusent presque toujours un retard. Dans un environnement de menaces de type Mythos, les systèmes hérités qui sont presque toujours à la traîne constituent une invitation ouverte. Vous devez disposer dès maintenant d'un plan de correction manuelle documenté pour ces systèmes, et non pas attendre qu'une faille « zero-day » vous y oblige.

Maîtrise

Étant donné que le nombre de failles « zero-day » devrait augmenter considérablement, il y aura des périodes pendant lesquelles aucun correctif ne sera encore disponible. C'est le confinement qui permet de combler cette lacune. Cela signifie pouvoir isoler rapidement un terminal compromis ou arrêter un service vulnérable, sans devoir passer par des procédures d'approbation qui peuvent prendre des heures. Les runbooks préétablis ne sont pas un luxe réservé aux grandes entreprises. Ils constituent une nécessité pratique pour votre organisation si celle-ci souhaite réagir à la vitesse qu'exigent ces menaces.

Architecture résiliente

Les PME doivent choisir de manière réfléchie les systèmes destinés à communiquer entre eux. Il convient de séparer votre système financier et les autres données sensibles relatives aux clients des réseaux généraux réservés aux employés. Veillez à isoler vos serveurs et vos applications accessibles depuis Internet des postes de travail internes.

Le principe est simple : lorsqu'une faille « zero-day » est exploitée, c'est la segmentation qui détermine si l'impact se limite à un seul système ou s'étend à l'ensemble du réseau. Chaque barrière que vous mettez en place oblige un pirate informatique à redoubler d'efforts, à consacrer plus de temps à son attaque et à multiplier les activités détectables. Pour une PME qui ne peut pas empêcher toutes les intrusions, c'est justement ce frein qui lui permet de gagner le temps nécessaire pour réagir.

Protection de l'identité

Lorsqu'une attaque « zero-day » est lancée, réduisez son ampleur en rendant les identités compromises inutilisables en quelques minutes, et non en quelques heures. L'utilisation d'identifiants temporaires, d'un accès basé sur le principe du moindre privilège et d'une rotation rapide des clés est indispensable pour que votre organisation réduise considérablement les possibilités d'action d'un pirate informatique en cas de compromission d'une identité.

Utiliser l'IA pour lutter contre l'IA

Les équipes de sécurité ne peuvent pas venir à bout de menaces qui évoluent à la vitesse d'un ordinateur en réagissant à un rythme humain. Les mêmes technologies d'IA que celles utilisées par les pirates peuvent être mises à profit par votre équipe pour les empêcher d'accéder à vos systèmes. L'analyse des codes, le tri des alertes, l'élaboration des réponses aux incidents et l'accélération de la priorisation des correctifs sont autant de tâches concrètes pour lesquelles l'IA peut apporter son aide. Pour les équipes des PME comme la vôtre, les obstacles à la mise en place sont moins importants que vous ne le pensez, et il est essentiel de fournir à votre équipe les outils adaptés pour protéger votre environnement.

Réévaluation des stratégies BYOD et du risque lié aux terminaux non gérés

Pour les entreprises de taille moyenne et les PME, les risques liés au BYOD sont souvent négligés, car ils échappent à leur champ de vision centralisé. L'ordinateur portable personnel d'un employé fonctionnant sous un système d'exploitation obsolète ou un prestataire accédant aux systèmes de l'entreprise depuis un appareil non géré peuvent ne pas figurer dans votre catalogue de gestion des correctifs. Il n'existe aucun déclencheur pour les alertes de vulnérabilité, et celles-ci ne sont pas prises en compte dans vos runbooks de confinement. Elles échappent totalement à votre plan de contrôle, tout en étant directement liées à votre environnement.

Le coût humain : l'épuisement professionnel des équipes et la préparation de la main-d'œuvre

L'épuisement professionnel au sein des équipes informatiques n'est pas un phénomène nouveau et constitue un sujet important sur lequel LogMeIn se penche depuis un certain temps déjà. Les équipes sont prises dans un cycle incessant de gestion des urgences et n'ont pas les ressources nécessaires pour se former aux nouvelles technologies ou pour apprendre à mieux intégrer l'IA dans leurs flux de travail. Cette situation s'inscrit dans le contexte d'une crise liée à la complexité informatique, où les équipes informatiques sont de plus en plus souvent amenées à faire plus avec moins, tout en devant faire face à la pression de moderniser leurs opérations et de déployer l'IA de manière responsable.

L'épuisement professionnel et l'attrition au sein des services de sécurité constituent des risques opérationnels. Or, l'expertise nécessaire pour mener à bien toute transition s'acquiert au fil des années et ne peut être remplacée dans des délais courts. Les professionnels de la cybersécurité travaillant déjà en moyenne 10,8 heures supplémentaires par semaine, il est essentiel que la direction donne des directives claires quant à la mise en place de mesures visant à alléger la pression qui pèse sur vos employés.

Pour s'engager dans cette nouvelle voie, il faudra redéfinir les priorités, automatiser les processus et réorienter la culture d'entreprise afin de tirer parti de l'IA pour accélérer les efforts en matière de sécurité. Chaque membre de votre équipe doit pouvoir exploiter pleinement les capacités de l'IA. Les organisations qui sortiront grandies de cette période sont celles qui développent les compétences nécessaires dès maintenant.

Si vous attendez que les outils « arrivent à maturité », votre organisation pourrait se retrouver avec deux ans de retard…

Comment LogMeIn aide les entreprises à se préparer à l'adoption de Mythos ?

Pour les entreprises de taille moyenne et les PME comme la vôtre, qui ne disposent pas forcément des mêmes ressources ni d'équipes de sécurité dédiées que les grandes entreprises, le défi que représente la mise en place de Mythos peut sembler insurmontable. Le choix d'un partenaire technologique tel que LogMeIn peut contribuer à alléger ce fardeau et aider votre entreprise à dépasser ce que la chercheuse en sécurité Wendy Nather appelle le « Cyber Poverty Line » (soit le seuil de cyberpauvreté), en renforçant la sécurité de vos systèmes.

LogMeIn investit dans les fonctionnalités les plus essentielles pour les équipes informatiques disposant de ressources limitées et confrontées à un environnement de menaces en constante évolution : l'application automatisée des correctifs, qui réduit le délai entre la divulgation d'une vulnérabilité et sa correction ; une réponse plus rapide aux incidents, qui ne nécessite pas de grandes équipes de sécurité pour agir avec rapidité ; et une gestion des terminaux qui étend la visibilité aux appareils et systèmes les plus susceptibles d'être négligés. Reposant sur un cadre de sécurité Zero Trust, les solutions spécialement conçues par LogMeIn offrent aux PME des contrôles de sécurité avancés leur permettant de mettre facilement en œuvre ces pratiques au sein de leur organisation.

Le principe fondamental qui sous-tend ce travail est simple : les défenseurs doivent être capables de suivre le rythme des pirates informatiques. Pour y parvenir, les fonctionnalités d'IA de LogMeIn reposent sur deux piliers : des analyses optimisées par l'IA (« le cerveau ») pour des décisions plus éclairées, et la résolution intelligente des problèmes (« les muscles ») pour une intervention plus rapide et plus efficace. L'objectif est de veiller à ce que les organisations qui ont le plus besoin de ces fonctionnalités ne soient pas les dernières à y avoir accès.

Mythos n'est qu'un début…

La tempête de vulnérabilités liées à l'IA marque seulement le début d'un nouvel environnement opérationnel auquel il nous faudra constamment nous adapter. Les organisations qui survivront à cette période ne seront pas celles qui parviendront à empêcher chaque faille « zero-day » de se concrétiser. Ce seront celles qui auront veillé à ce qu'elle n'ait qu'un impact limité. Celles qui auront mis en place les processus, les outils et la culture décrits dans cet article.

Les principes de base fonctionnent toujours. Les correctifs, l'authentification multifacteur, la segmentation du réseau et le principe du moindre privilège restent des méthodes de prévention essentielles. Mythos a simplement augmenté le coût de leur négligence en tirant parti des lacunes en matière d'hygiène de base, et ce, plus rapidement et à moindre coût.

Mythos est le premier modèle de cette nouvelle ère, et d'autres suivront prochainement. Commencez dès maintenant à agir.