Mythos n'est pas une surprise. Voilà ce que je disais il y a neuf mois.
99% des vulnérabilités trouvées par Mythos restent ouvertes. La dette de patching ne date pas d'avril 2026, elle a juste cessé d'être invisible.

Le communiqué d'Anthropic publié le 7 avril 2026 a annoncé qu'un de ses modèles, baptisé Claude Mythos Preview et gardé sous clé depuis sa mise au point, avait identifié plus de deux mille vulnérabilités zero-day inconnues en sept semaines de tests, dont certaines avaient survécu à vingt-sept ans de revue humaine. Plus de 99% de ces failles restaient non corrigées à la date de l'annonce. Le secteur aurait dû s'arrêter sur ce chiffre, débattre de ses implications, mobiliser ses comités, et dans les jours qui ont suivi on n'a entendu qu'un silence prudent, vaguement embarrassé, dont la lecture politique mérite probablement plus d'attention que l'annonce elle-même, parce qu'un silence collectif devant une révélation de cette ampleur ressemble moins à une réaction qu'à une admission.
Juillet 2025, un coup de fil
Neuf mois avant ce communiqué, un étudiant en exécutive MBA en cybersécurité, Amed Atchamou, consultant senior, m'avait sollicité pour un entretien dans le cadre de son mémoire sur la dette technique vue côté gouvernance. J'avais choisi de ne pas préparer mes réponses pour laisser venir ce qui viendrait, et nous avons passé une demi-heure à dresser sans nous en rendre compte la cartographie exacte de la situation que Mythos rend aujourd'hui inéluctable.
Voilà ce que je lui ai dit ce jour-là, en substance.
Sur le volume devenu ingérable, longtemps avant que l'IA ne le multiplie par cent : _« j_e vois des scans qui tourne chaque semaine qui donne trois ou quatre mille vulnérabilités à chaque fois qu'il tourne. Est-ce qu'on va véritablement patcher trois mille ou quatre mille vulnérabilités ? Non, ça n'a aucun sens. »
Sur ce qu'on attend vraiment de l'IA, dit avant que Mythos n'existe : « je n'ai plus besoin d'un outil AI qui me dise quelles sont mes vulnérabilités. C'est de me dire qu'est-ce qui mérite d'être patché. »
Sur la racine du problème : « le vrai problème ne vient pas d'un manque de volonté, mais d'un manque de compréhension des enjeux. »
Et celui que je répète à chaque fois qu'on me laisse parler : « 95% des problèmes viennent du facteur humain. »
Neuf mois plus tard, Anthropic publie un chiffre qui dit la même chose dans une autre langue. 99% des vulnérabilités trouvées par Mythos restent ouvertes parce que le facteur humain en cybersécurité dépasse largement le clic malheureux sur un lien piégé, et parce qu'il inclut surtout la décision répétée, organisationnelle, structurelle, de ne pas patcher, prise par tout le monde, en silence, à tous les étages de l'entreprise.
Ce que Mythos confirme
L'erreur de lecture dans la couverture médiatique de l'annonce d'avril, c'est d'avoir traité Mythos comme une révélation alors que le modèle n'a rien révélé que les rapports annuels ne disaient déjà depuis des années. Il en a seulement amplifié l'évidence jusqu'à la rendre impossible à esquiver.
Le 99% non patché annoncé par Anthropic relève d'une statistique de remédiation, pas de découverte, et il s'inscrit dans une série longue que la profession a préféré ignorer. Le rapport Edgescan Vulnerability Statistics 2025 documente que plus de 45% des vulnérabilités découvertes dans les grandes organisations restent non corrigées après douze mois, et les études sectorielles convergent sur un constat plus lourd encore, avec plus de 88% des failles identifiées qui restent ouvertes au-delà de six mois après divulgation. Quand on bascule du registre des chiffres bruts vers celui des attaques réelles, le catalogue KEV maintenu par la CISA, qui recense les CVE actuellement exploitées dans des cyberattaques en cours, montre que la majorité des failles activement utilisées par les attaquants datent de 2018, 2019, 2020 ou 2021, c'est-à-dire de cinq à sept ans d'ancienneté pour des trous qui restent ouverts dans des infrastructures de production en 2026.
La conclusion à tirer de cette convergence est connue depuis longtemps de quiconque accepte de regarder les chiffres. Le problème ne s'est jamais situé du côté de la découverte mais du côté de ce que les organisations font, ou ne font pas, une fois les vulnérabilités identifiées, et le mérite douteux de Mythos est d'avoir rendu cette évidence impossible à esquiver davantage.
Le diagnostic en quatre points
Ce que la conversation de juillet 2025 a permis de poser, et que Mythos confirme brutalement, tient en quatre constats organisationnels que nous connaissons depuis longtemps sans avoir su les traiter sérieusement.
Le premier touche à la responsabilité dirigeante. La dette technique se présente comme un sujet IT alors qu'elle relève fondamentalement du business mal traduit par les fonctions techniques. Tant qu'un RSSI explique à son comité exécutif qu'il a quinze mille vulnérabilités à patcher, le comité s'en désintéresse poliment, parce que ce chiffre ne veut rien dire pour lui. Quand le même RSSI réussit à dire que la couverture des vulnérabilités critiques de son périmètre représente une exposition résiduelle de plusieurs millions d'euros, ou que le score de sécurité de leur infrastructure conditionne les opportunités de partenariat avec d'autres sociétés du groupe, le sujet remonte instantanément. Je l'ai vécu chez un client récemment, où le CEO m'a remercié personnellement d'avoir fait patcher un maximum de vulnérabilités parce que ça lui débloquait des discussions commerciales avec des sociétés sœurs du même groupe.
Le deuxième concerne l'alignement des incitations à l'intérieur de l'organisation. Les équipes opérationnelles sont primées sur la stabilité applicative et patcher menace régulièrement cette stabilité, ce qui revient à dire que l'organisation elle-même punit mécaniquement l'acte de patcher tout en exigeant par ailleurs que les vulnérabilités soient traitées. Personne dans ce dispositif n'agit irrationnellement, chacun optimise pour les indicateurs qui le notent et l'évaluent, et c'est précisément cette rationalité locale, parfaitement cohérente avec les incitations en place, qui produit l'accumulation systémique de la dette. Tant que le KPI de l'équipe ops récompense la disponibilité au détriment de la posture, l'équipe ops fera son travail correctement et la dette continuera de croître, indépendamment de la qualité technique des outils déployés et du nombre de scans exécutés.
Le troisième concerne le bruit prioritaire. Un scan sans contextualisation produit des findings de poids opérationnels très inégaux, et la criticité affichée par l'outil peut diverger radicalement de la criticité réelle dans l'environnement audité. L'année dernière, sur un pentest, l'équipe externe avait classé une vulnérabilité en critique parce que le manuel disait critique, alors qu'en contexte cette vulnérabilité supposait que l'attaquant ait franchi un IP whitelisting déclenché par un Azure VPN, lui-même protégé par une double authentification, avec trois utilisateurs autorisés. Une fois cet attaquant arrivé jusqu'au serveur où l'exploitation devenait techniquement possible, j'avais d'autres soucis que cette vulnérabilité spécifique. Patcher ce finding aurait nécessité une fenêtre de maintenance, du temps d'ingénierie et un risque de régression sur un environnement stable, et nous avons discuté pendant une semaine pour faire admettre que la criticité hors contexte ne se confond pas avec la criticité réelle. Il suffit de multiplier cette discussion par les milliers de findings que Mythos va injecter dans les pipelines de remédiation pour comprendre que l'asphyxie organisationnelle qui s'annonce ne relève pas du fantasme.
Le quatrième est le plus inconfortable parce qu'il déplace le problème hors du périmètre cyber. J'avais raconté à Amed l'histoire d'un chauffeur de taxi marseillais rencontré quelques semaines plus tôt, qui m'avait lui-même raconté avoir passé deux heures au téléphone avec un de ses collègues en train de se faire vider tous ses comptes en ligne en temps réel, Sony, PlayStation Network, Amazon, l'un après l'autre, parce que le malheureux utilisait le même mot de passe partout. Quand je lui ai demandé s'il avait changé ses propres mots de passe après avoir assisté en direct à cet effondrement numérique, il m'a répondu qu'il utilisait toujours le même mot de passe partout, sans gêne particulière, comme si l'expérience de son collègue ne le concernait pas. Cette inertie cognitive face à un savoir disponible et à des conséquences vérifiées opère exactement de la même manière dans les entreprises, et vingt ans de recommandations répétées par les autorités, les éditeurs et les consultants n'ont en rien modifié la fréquence à laquelle on retrouve des mots de passe par défaut sur des serveurs internet-facing en production. Mythos n'apporte rien à ce diagnostic, sinon le rappel utile que la pédagogie répétée ne tient pas lieu de stratégie.
Ce qui change vraiment en avril 2026
Si rien n'a fondamentalement bougé dans le diagnostic, un seul élément rend tout de même la situation post-Mythos qualitativement différente de la situation pré-Mythos, et cet élément, c'est l'asymétrie temporelle entre découverte et exploitation.
Jusqu'à présent, la dette technique pouvait se traiter comme une bombe à retardement dont le minuteur tournait lentement, parce que le délai entre la découverte d'une vulnérabilité et son exploitation effective dans une attaque réelle restait suffisamment long pour qu'une équipe correctement organisée puisse rattraper, prioriser, patcher avant la déflagration. Ce délai s'est progressivement effondré, passant de 771 jours en 2018 à moins de quatre heures aujourd'hui pour le temps médian entre découverte et exploit fonctionnel, et avec Mythos, bientôt suivi des modèles équivalents que d'autres laboratoires produiront, il tend désormais vers zéro.
Anthropic estime qu'il faudra entre douze et dix-huit mois pour que des capacités comparables à Mythos émergent chez d'autres acteurs, y compris potentiellement adversaires. Cette fenêtre tient davantage du compte à rebours que du répit. Project Glasswing, le consortium fermé qui rassemble AWS, Apple, Google, Microsoft, JPMorgan Chase, la Linux Foundation et une quarantaine d'autres acteurs critiques, organise une divulgation coordonnée sur des cycles de 90 jours, ce qui signifie que des milliers de vulnérabilités vont entrer dans le domaine public progressivement, en vagues, par dépendance commune, et que les organisations qui consomment du logiciel en aval de ces écosystèmes, c'est-à-dire à peu près toutes, vont devoir absorber un flux qu'aucune n'a dimensionné pour absorber.
Quand j'avais piloté il y a quelques mois un mandat de Vulnerability Management chez un géant français de la construction, le diagnostic interne était brutal. L'ensemble du cycle, détection, priorisation, remédiation, suivi, était désynchronisé parce que les objectifs des différentes équipes étaient incompatibles entre eux. Détection avait son KPI, priorisation le sien, remédiation un troisième, chaque équipe faisait correctement son travail dans son périmètre, et le système, lui, ne convergeait jamais. C'est exactement le type d'organisation qui va imploser sous la pression Mythos, et il est représentatif de ce qu'on trouve dans la plupart des grandes structures dès qu'on regarde sous le capot.
Et c'est sans parler des organisations qui n'ont même pas commencé. Le ransomware qu'a essuyé une société qui m'avait contacté par la suite, déclenché parce que leur prestataire, faisant partie d'une filiale d'Orange, refusait de patcher un serveur téléphonique localisé chez le client, avec un mot de passe par défaut password1, un compte domaine admin, un Windows Server 2012 jamais sécurisé ni patché, ne constitue pas un incident exceptionnel mais préfigure ce qui attend les organisations restées en retard sur les fondamentaux.
Et maintenant on fait quoi
La question ne consiste plus à savoir comment patcher plus vite, fausse piste qui mène droit à l'épuisement opérationnel, parce qu'aucune équipe, aucun budget et aucun outil ne pourront absorber un flux de plusieurs milliers de findings par semaine dans le modèle artisanal hérité de vingt ans de culture scanner-centric. Trois inflexions méritent qu'on s'y mette dès maintenant, avant que la fenêtre ne se referme.
D'abord, changer la question posée au scan, en passant de est-ce qu'on l'a à est-ce qu'elle est exploitable dans notre contexte, bascule qui paraît triviale mais qui suppose de contextualiser chaque finding avec la cartographie des flux, la posture d'accès, les contrôles compensatoires et l'exposition réelle. NIS2 et DORA imposent désormais cette cartographie, la majorité des organisations ne l'ont toujours pas faite, et quand je le leur demande elles me regardent avec des grands yeux. Cette cartographie est devenue, en avril 2026, le prérequis numéro un de la survie opérationnelle.
Ensuite, redéployer l'investissement sur la fonction qui manque réellement à la plupart des organisations, à savoir la capacité à fermer les vulnérabilités plutôt qu'à les découvrir, ce qui passe par des pipelines de déploiement automatisés et testés, par des fenêtres de patching contractualisées avec les métiers, et surtout par une refonte des incitations opérationnelles pour que l'acte de patcher cesse d'être puni par le système de notation interne. Tant que cette refonte n'a pas eu lieu, ajouter des outils de découverte ne sert qu'à grossir le backlog.
Enfin, traiter la segmentation comme contrôle primaire au lieu de la cantonner au rôle de contrôle compensatoire qu'on lui assigne par défaut. Si la moitié des findings ne sera jamais patchée dans une fenêtre utile, la seule stratégie qui tienne la route consiste à réduire la surface d'exploitation effective en combinant segmentation forte, accès conditionnel, isolation des actifs critiques et détection comportementale sur les zones grises, c'est-à-dire en reprenant la doctrine appliquée depuis vingt ans aux environnements OT parce que l'OT ne pouvait pas patcher. La nouveauté apportée par Mythos est qu'à partir d'avril 2026, l'IT se retrouve dans la même situation opérationnelle que l'OT.
Anthropic n'a finalement rien annoncé de révolutionnaire le 7 avril 2026, parce que ce qui mériterait ce qualificatif relève d'une autre nature, celle de ce qui n'a pas changé depuis vingt ans malgré tous les signaux que la profession s'est envoyés à elle-même. Mythos fonctionne comme un miroir tendu à un secteur entier, et l'image renvoyée correspond précisément à ce que nous avons collectivement refusé de regarder pendant deux décennies, à savoir que la dette technique est un problème de gouvernance, d'incitations et de décision, dont l'industrialisation des outils de découverte rend simplement la résolution plus urgente. La vraie question qui s'ouvre maintenant ne porte plus sur le moment où nous patcherons enfin, mais sur ce que nous acceptons de continuer à ne pas patcher, et sur la durée pendant laquelle cette acceptation tiendra avant que quelqu'un d'autre que nous ne décide à notre place d'y mettre un terme.
Sources principales :
_ Anthropic, communiqué du 7 avril 2026 sur Claude Mythos Preview et Project Glasswing.
_ Edgescan Vulnerability Statistics Report 2025.
_ Catalogue KEV maintenu par la CISA.
_ Cloud Security Alliance, AI Safety Initiative, whitepaper du 13 avril 2026.
_ Conversation avec Amed Atchamou, juillet 2025, dans le cadre de son mémoire d'exécutive MBA en cybersécurité.
Questions fréquentes
Qu'est-ce que Claude Mythos Preview ?
Un modele d'Anthropic, annonce le 7 avril 2026, qui a identifie plus de deux mille vulnerabilites zero-day inconnues en sept semaines de tests, dont certaines avaient survecu a vingt-sept ans de revue humaine. Plus de 99% de ces failles restaient non corrigees a la date de l'annonce.
Pourquoi 99% des vulnerabilites trouvees par Mythos restent-elles ouvertes ?
Parce que le probleme se situe du cote de la remediation, pas de la decouverte. Les organisations decident, de maniere repetee et structurelle, de ne pas patcher, en raison d'incitations internes qui recompensent la stabilite applicative au detriment de la posture de securite.
Qu'est-ce qui change vraiment avec Mythos en avril 2026 ?
L'asymetrie temporelle entre decouverte et exploitation. Le delai median entre decouverte et exploit fonctionnel, passe de 771 jours en 2018 a moins de quatre heures, tend desormais vers zero, ce qui supprime la fenetre dont disposaient les equipes pour prioriser et patcher avant l'attaque.
Comment un RSSI peut-il faire entendre la dette technique a son comite executif ?
En cessant de presenter un nombre brut de vulnerabilites et en traduisant l'enjeu en termes business : exposition residuelle en euros, ou impact du score de securite sur les opportunites de partenariat. Le sujet remonte alors instantanement.
Que faut-il faire concretement face a l'afflux de findings ?
Trois inflexions : contextualiser chaque finding (est-elle exploitable dans notre contexte plutot que l'a-t-on), redeployer l'investissement vers la capacite a fermer les failles plutot qu'a les decouvrir, et traiter la segmentation comme controle primaire, en s'inspirant de la doctrine OT.
Sources & méthodologie
- Anthropic, communique du 7 avril 2026 sur Claude Mythos Preview et Project Glasswing
- Edgescan Vulnerability Statistics Report 2025
- Catalogue KEV (Known Exploited Vulnerabilities) maintenu par la CISA
- Cloud Security Alliance, AI Safety Initiative, whitepaper du 13 avril 2026

Être en cybersécurité
Une feuille de route cyber en clair, pour tout le monde, pas seulement les experts.
