Quand l'IA trouve en quelques secondes ce que les hackers cherchaient pendant des années

Le 14 avril 2026, le SANS Institute, la Cloud Security Alliance (CSA), [un]prompted et l’OWASP GenAI Security Project ont publié un briefing d’urgence conjoint : « The AI Vulnerability Storm: Building a Mythos-Ready Security Program. » Le document a été créé en un seul week-end par plus de 60 contributeurs et relu par plus de 250 RSSI dans le monde entier — dont Jen Easterly (ancienne directrice de la CISA), Bruce Schneier, Chris Inglis et Phil Venables (ancien RSSI de Google).

Le message : le délai entre la divulgation d’une faille de sécurité et son exploitation active est tombé à moins de 24 heures — en 2019, ce chiffre était encore de 2,3 ans. Cela change les règles du jeu pour toutes les entreprises, y compris en Suisse.

Que se passe-t-il exactement en ce moment ?

Jusqu’à récemment, la sécurité des logiciels était un jeu de cache-cache. Quelque part dans des millions de lignes de code se cachait une faille — il fallait souvent des mois ou des années avant qu’un spécialiste la trouve.

Cela est en train de changer fondamentalement. Début avril 2026, Anthropic a présenté un nouveau modèle d’IA non public appelé Claude Mythos (Preview). Lors de tests internes, ce modèle a trouvé et exploité des vulnérabilités zero-day dans chaque grand système d’exploitation et chaque grand navigateur web sur lequel il a été déployé — dont une faille vieille de 27 ans dans OpenBSD, un système spécialement reconnu pour son architecture de sécurité.

Les chiffres cités dans le briefing sont sobres :

• Contre le moteur JavaScript de Firefox 147, Mythos a généré 181 exploits fonctionnels — le meilleur modèle précédent n’en produisait que 2 dans les mêmes conditions.
• Le taux de réussite pour la génération d’exploits fonctionnels est de 72 %.
• Dans une simulation d’une attaque en réseau d’entreprise en 32 étapes (de la reconnaissance à la prise de contrôle totale) qui prend environ 20 heures aux humains, Mythos a surpassé tous les autres systèmes d’IA testés.

Ce qui nécessitait auparavant des semaines de travail expert se déroule aujourd’hui de manière autonome en quelques heures.

Est-ce simplement de la peur ?

Non — mais il y a aussi des points positifs. En parallèle de Mythos, Anthropic a lancé Project Glasswing : l’accès au modèle est délibérément restreint et est d’abord accordé aux partenaires d’infrastructure critique et aux mainteneurs open source, afin qu’ils puissent trouver et combler les failles avant que des capacités comparables n’apparaissent ailleurs.

Concrètement : il y a actuellement une fenêtre temporelle. Mais elle se referme.

Une deuxième bonne nouvelle du rapport : la défense en profondeur fonctionne. Mythos a identifié de nombreuses vulnérabilités dans le noyau Linux mais, après plusieurs milliers de tentatives, n’a pu en exploiter aucune à distance. Le travail de durcissement peu spectaculaire des dernières années a transformé « faille exploitable » en « faille non exploitable » — même contre un modèle qui essayait explicitement. Ceux qui ont fait leurs devoirs ne sont pas sans défense.

En ai-je besoin si je ne développe pas moi-même de logiciels ?

Oui. De nombreuses directions générales pointent vers leur CMDB (Configuration Management Database) et demandent si ce n’est pas suffisant. La distinction est aujourd’hui cruciale :

• La CMDB indique où se trouvent vos serveurs et quels programmes sont installés (p. ex. « Nous utilisons SAP et Microsoft 365 »).
• La SBOM (Software Bill of Materials) révèle de quels milliers de petits composants se compose le logiciel que vous avez acheté.

L’IA des attaquants ne scanne pas votre entreprise — elle scanne ces composants. Si elle trouve une faille dans un composant répandu mondialement, vous êtes vulnérable, même si votre CMDB dit que tout est « comme avant ».

Ce que vous devriez faire maintenant

Le briefing contient 11 mesures prioritaires et 10 questions de diagnostic pour les RSSI. Voici les trois plus urgentes pour les PME suisses :

1. Durcir les fondamentaux — profiter de la fenêtre Glasswing maintenant

Avant que des capacités similaires à Mythos ne deviennent largement disponibles, vous devriez mettre les bases en ordre sans exception : patching rigoureux, segmentation réseau, MFA résistante au phishing (pas SMS), architecture zero-trust et filtrage des sorties. Les recommandations du NCSC fédéral (OFCS) s’alignent largement ici avec le briefing CSA.

2. Introduire la SBOM comme critère d’achat

Exigez une SBOM de chaque fournisseur de logiciels. C’est la seule façon pour votre informatique de vérifier en quelques minutes plutôt qu’en jours lors d’une nouvelle menace : « Ce composant se trouve-t-il quelque part dans notre infrastructure ? » Pour les secteurs réglementés (FINMA, nLPD), cela devient de toute façon de plus en plus obligatoire.

3. Passer de l’audit trimestriel à la surveillance continue

Un audit de sécurité par trimestre ne suffit plus quand le délai divulgation-exploitation est inférieur à 24 heures. Investissez dans des outils qui surveillent en continu et réagissent automatiquement en cas d’urgence — par exemple bloquer des sessions suspectes sans attendre une approbation manuelle. Entraînez ces chaînes de réaction lors d’exercices tabletop avant d’en avoir besoin lors d’un incident réel.

Conclusion

Le briefing CSA le formule clairement : les attaques basées sur l’IA sont un changement structurel, pas une tendance passagère. Le coût du développement d’exploits baisse, la fenêtre entre divulgation et weaponisation se réduit à zéro, et des capacités autrefois réservées aux États-nations deviennent largement disponibles.

Pour les entreprises suisses, cela signifie : la sécurité n’est plus une question purement informatique, c’est une affaire de direction. Ceux qui ne mettent pas maintenant leur hygiène de base en ordre et ne connaissent pas leur chaîne d’approvisionnement logicielle prennent un risque qui ne peut pratiquement plus être quantifié.

La bonne nouvelle : les outils et les cadres sont là. Le briefing est disponible gratuitement — et il vaut la peine que la direction et l’informatique le lisent ensemble.

Document original : « The AI Vulnerability Storm: Building a Mythos-Ready Security Program », Cloud Security Alliance / SANS Institute / [un]prompted / OWASP GenAI Security Project, 14 avril 2026. Disponible gratuitement sur labs.cloudsecurityalliance.org/mythos-ciso.

Vous souhaitez savoir où se situe votre entreprise dans le niveau de maturité Mythos-Ready ? Contactez-nous pour un premier entretien sans engagement.