Pourquoi la Preview de Claude Mythos sonne l'alerte à Wall Street

La Preview Claude Mythos d'Anthropic n'a pas été conçue pour être un sélecteur d'actions, un analyste crédit ou un assistant de trading.

Le modèle se situe dans un domaine plus inconfortable de l'intelligence artificielle : la cybersécurité.

Anthropic affirme que Mythos peut identifier et exploiter des vulnérabilités logicielles jusqu'alors inconnues sur les principaux systèmes d'exploitation et navigateurs.

Pour les banques, gestionnaires d'actifs, assureurs, bourses et sociétés de paiement, cette affirmation touche un domaine bien plus sensible que la productivité.

La finance repose sur des logiciels partagés, des fournisseurs cloud, des rails de paiement, des fournisseurs de données et des systèmes internes vieux de plusieurs décennies.

Si un modèle d'IA peut trouver des faiblesses plus rapidement que les institutions ne peuvent les corriger, le risque ne relève plus seulement de la technologie. Il devient un problème de confiance du marché.

Anthropic n'a pas présenté Mythos Preview comme une version grand public.

Le modèle est géré via un accès restreint, mais c'est la capacité qu'il démontre qui compte pour la finance : les systèmes d'IA deviennent plus rapides pour repérer et transformer des faiblesses logicielles en exploits opérationnels.

Un modèle cyber aux conséquences financières

La première erreur serait de considérer Mythos comme une IA généraliste de plus.

Contrairement aux chatbots destinés aux consommateurs ou aux assistants IA désormais testés pour la recherche, la conformité et le service client, Mythos importe en raison de ce qu'il suggère quant à la prochaine étape de la découverte de vulnérabilités à la vitesse machine.

Anthropic a déclaré que ses tests de red team ont montré que Mythos Preview pouvait identifier et exploiter des vulnérabilités zero-day dans chaque système d'exploitation majeur et chaque navigateur web majeur lorsqu'il est guidé par un utilisateur.

Ce serait frappant dans n'importe quel secteur, mais pour la finance, c'est particulièrement préoccupant.

Les banques n'opèrent pas seulement des sites web et des applications. Elles hébergent d'immenses patrimoines technologiques comprenant des systèmes bancaires centraux, des plateformes de trading, des passerelles de paiement, des moteurs de risque, des bases clients, des déploiements cloud et des liaisons avec des fournisseurs tiers.

Une partie de ces infrastructures est moderne, mais une grande partie est ancienne, fortement personnalisée et difficile à remplacer.

Dans les grandes institutions, même l'identification de la cartographie complète des dépendances logicielles peut être un défi.

Un modèle qui accélère la découverte de vulnérabilités modifie l'équilibre des pressions. Les défenseurs peuvent être capables de repérer des points faibles plus tôt.

Mais les attaquants, s'ils acquièrent des capacités comparables, pourraient compresser le délai entre la découverte et l'exploitation.

Voici le dilemme central : Mythos pourrait renforcer le système financier, mais seulement si les défenseurs peuvent absorber et agir sur ses conclusions plus vite que les adversaires ne peuvent instrumentaliser des outils similaires.

Quand la prédiction devient moins coûteuse

Ajay Agrawal, professeur à la Rotman School of Management de l'Université de Toronto et co-auteur de Prediction Machines et Power and Prediction, a déclaré à Invezz que l'impact des agents d'IA avancés devrait être considéré comme un changement dans l'économie de la prise de décision, et pas simplement comme un moyen moins coûteux de produire des analyses.

Cette approche est utile pour appréhender Mythos, même si la capacité la plus visible du modèle est cyber et non l'analyse d'investissement.

Si la découverte de vulnérabilités devient moins coûteuse, les équipes de sécurité feront face à davantage de découvertes, plus de travail de triage et davantage de décisions sur ce qui importe le plus.

La ressource rare pourrait alors ne plus être la capacité à repérer une faille, mais la capacité à juger laquelle a le plus d'importance.

Autrement dit, le goulot d'étranglement du secteur financier pourrait se déplacer de la détection à la responsabilité.

Le problème des correctifs est le véritable point de pression

Les institutions financières dépensent déjà massivement en cybersécurité, mais la question est de savoir si leur modèle opérationnel peut suivre un monde où des outils d'IA produisent des découvertes de sécurité sérieuses à un rythme bien plus rapide.

Découvrir une vulnérabilité ne signifie pas que le problème est réglé.

D'abord, les équipes doivent vérifier si la faille affecte leurs systèmes. Les ingénieurs doivent la tester, les équipes risques doivent évaluer l'exposition, et les responsables métiers doivent déterminer si la correction pourrait perturber des services critiques.

Les fournisseurs peuvent aussi devoir publier des mises à jour, et les régulateurs pourraient devoir être informés. Dans certains cas, même le correctif peut engendrer de nouveaux risques opérationnels.

Ce flux de travail est lent car la technologie bancaire n'est pas un laboratoire propre. C'est un système vivant qui doit rester en ligne.

La présentation de Mythos suggère un avenir où la phase de découverte en cybersécurité devient plus rapide et moins coûteuse, tandis que la phase de remédiation reste contrainte par les personnes, la gouvernance, l'architecture héritée et les attentes réglementaires.

Les grandes banques peuvent avoir l'argent et le personnel pour répondre rapidement. Les petites banques, peut-être pas.

Les grands fournisseurs cloud peuvent corriger un problème rapidement, mais un petit fournisseur qui soutient un système important de back-office peut mettre bien plus de temps.

Cela signifie que le maillon le plus faible peut ne pas se trouver à l'intérieur de la banque elle-même. Il peut être chez un prestataire externe, même si c'est la banque qui subit le préjudice réputationnel.

Pourquoi le FMI identifie un risque de stabilité financière

Le Fonds monétaire international a déjà poussé le débat au-delà de la simple hygiène cybernétique d'entreprise.

Il a averti que des outils cyber alimentés par l'IA pourraient accroître les risques pour la stabilité financière, notamment lorsque les institutions dépendent de logiciels communs et de prestataires de services partagés.

Les entreprises financières sont reliées par autre chose que des bilans. Elles sont connectées via les systèmes d'exploitation, l'infrastructure cloud, les systèmes de paiement, les infrastructures de marché, les réseaux de messagerie, les flux de données et les éditeurs de logiciels.

Une seule faiblesse exploitée dans un composant largement utilisé peut donc se comporter moins comme une panne technologique locale et davantage comme un choc commun.

Le danger n'est pas seulement qu'une banque soit piratée. C'est que de nombreuses institutions découvrent, au même instant, qu'elles partagent la même exposition.

Dans ce scénario, le risque cyber peut devenir un risque de liquidité, de marché et de confiance.

Il existe encore des tampons, comme le note le FMI : les capacités cyber avancées basées sur l'IA ne sont pas encore largement accessibles, et les logiciels financiers fermés et spécifiques à un secteur peuvent être plus difficiles à cibler que les infrastructures open source.

Mais ces protections peuvent s'affaiblir à mesure que les capacités se diffusent, que les modèles s'améliorent et que les attaquants apprennent à combiner l'information publique avec des outils automatisés.

Les régulateurs passent de la préoccupation à l'action

La Banque centrale européenne a rapidement replacé la résilience opérationnelle au centre du débat bancaire.

Frank Elderson, membre du directoire de la BCE et vice-président de son conseil de surveillance, a averti que les modèles d'IA de pointe modifient le paysage des menaces cyber en abaissant les barrières pour les attaquants et en accélérant la vitesse d'exploitation.

La BCE a également déclaré que les banques ont besoin d'investissements pluriannuels en personnel, systèmes et gouvernance, plutôt que d'une solution technologique limitée.

Le message d'Elderson a été clair :

Cette distinction importe car les régulateurs ne semblent pas considérer Mythos comme un événement provoquant la panique, mais comme une preuve que des faiblesses cyber de longue date pourraient devoir être corrigées plus rapidement.

Les banques ont passé des années à construire des cadres de résilience, à réaliser des cyber stress tests et à améliorer la réponse aux incidents.

Mais l'arrivée de modèles capables de trouver et d'exploiter des faiblesses plus efficacement change le calendrier.

La course entre attaquants et défenseurs devient asymétrique

La partie déconcertante de l'histoire de Mythos est que la même capacité peut aider les deux camps.

Pour les défenseurs, un modèle capable d'inspecter du code, de trouver des vulnérabilités et d'aider à prioriser la remédiation a de la valeur.

Il pourrait aider les banques à scanner des systèmes anciens, à revoir du code tiers, à tester des outils internes et à détecter des faiblesses avant les attaquants. Il pourrait aussi réduire la dépendance à l'égard de rares spécialistes humains en cyber.

Mais la cybersécurité n'est pas un concours à sens unique. Si des capacités d'IA similaires se répandent au-delà d'une poignée de laboratoires contrôlés, les attaquants pourraient en bénéficier tout aussi rapidement que les défenseurs.

Contrairement aux banques et aux équipes de sécurité, les attaquants n'ont pas besoin de sécuriser un système entier ; ils n'ont qu'à trouver un seul point d'entrée faible.

La propre description de Mythos par Anthropic souligne l'importance de cette capacité :

"Mythos Preview is capable of identifying and then exploiting zero-day vulnerabilities in every major operating system and every major web browser."

Cela ne signifie pas que tous les attaquants ont accès à Mythos, Anthropic ayant présenté le modèle comme restreint et contrôlé.

Mais la direction prise est suffisamment claire pour que les banques planifient en conséquence.

Une nouvelle prime de risque pour les technologies anciennes

Mythos ne rend pas la finance dangereuse du jour au lendemain, le secteur demeurant l'une des parties de l'économie mondiale les plus régulées et les plus conscientes des risques cyber.

Les banques ont massivement investi dans la sécurité, et beaucoup utilisent déjà l'IA pour détecter la fraude, surveiller les menaces et protéger les clients.

Pourtant, le modèle constitue un avertissement sur la vitesse.

La finance est devenue plus numérique, plus externalisée et plus interconnectée, et si cela a rendu le système efficace, cela a aussi créé des points de défaillance partagés.

Si l'IA compresse le temps nécessaire pour trouver et exploiter des faiblesses, alors les anciens cycles de correctifs, les processus lents des fournisseurs et la responsabilité fragmentée deviennent plus dangereux.

Les gagnants ne seront pas simplement les entreprises ayant accès au meilleur modèle. Ce seront celles qui sauront transformer une découverte plus rapide en décisions plus rapides et plus sûres.

Pour Wall Street et l'ensemble du système financier, Mythos n'est donc pas seulement une histoire cyber. C'est une histoire sur la transformation de la résilience opérationnelle en résilience financière.

Dans un marché bâti sur la confiance, la capacité à continuer de fonctionner sous stress numérique pourrait devenir aussi importante que la capacité à absorber des pertes au bilan.