Vous avez 29 minutes. Vous en perdez déjà 20. Et ce n'est pas Mythos le problème
Vous êtes RSSI. Il est 9h14, mardi matin. Votre SIEM vient de remonter une alerte de mouvement latéral. Vingt minutes plus tard, vous lancez votre première action de confinement. L'attaquant, lui, n'a eu besoin que de 29 minutes pour traverser votre réseau.

Vous êtes RSSI. Il est 9h14, mardi matin. Votre SIEM vient de remonter une alerte de mouvement latéral sur un contrôleur de domaine. Vous ouvrez le ticket. Vous cherchez le contexte. Vous appelez le N2. Vous relisez les logs. Vous hésitez entre faux positif et escalade. À 9h34, vingt minutes plus tard, vous lancez enfin la première action de confinement. Sauf que l'attaquant, lui, n'a eu besoin que de 29 minutes pour passer de l'accès initial au mouvement latéral. Vingt-neuf minutes, c'est la moyenne mesurée par CrowdStrike en 2025. Le record observé : 27 secondes. Dans un cas documenté, l'exfiltration de données a commencé quatre minutes après la compromission initiale. Quatre minutes. Votre premier réflexe a été d'ouvrir un ticket. Le sien a été de voler vos données.
Ce décalage n'est pas un problème technique ni la faute de Mythos. C'est un problème de décision.
Ce que Mythos révèle sur vous
Le 7 avril 2026, Anthropic a dévoilé les résultats de son modèle Claude Mythos Preview. En quelques semaines de tests, le modèle a identifié de manière autonome des milliers de vulnérabilités inconnues dans tous les systèmes d'exploitation majeurs et tous les navigateurs principaux. Certaines de ces failles existaient depuis plus de vingt ans. L'une d'elles, dans FreeBSD, permettait à n'importe qui sur Internet de prendre le contrôle total d'un serveur, sans authentification, à distance. Le modèle l'a trouvée, a construit l'attaque, et l'a validée. Sans qu'un humain intervienne après la demande initiale.
Ce n'est pas ça qui devrait vous empêcher de dormir.
Ce qui devrait vous empêcher de dormir, c'est la suite. L'organisation AISLE a pris cette même faille FreeBSD et l'a soumise à des modèles d'IA bon marché, accessibles à tout le monde. Huit sur huit l'ont trouvée. La capacité de découvrir des failles critiques n'est déjà plus l'apanage des laboratoires d'élite ou des services de renseignement. Elle est disponible, aujourd'hui, pour quiconque sait formuler une question en anglais à un outil grand public. Anthropic estime que des modèles aux capacités comparables à Mythos seront largement disponibles dans six à dix-huit mois. OpenAI développe un concurrent direct.
Et vous, pendant ce temps, vous attendez quoi exactement ?
Le vrai mur n'est pas technologique. Il est dans votre tête.
J'écrivais en janvier dans Siècle Digital que l'IA est avant tout une vague cognitive à encaisser. Qu'elle ne change pas seulement ce qu'on fait, mais comment on décide, comment on délègue, et comment on se trompe. Mythos vient de rendre cette affirmation brutalement concrète.
Le problème n'est pas que vous n'avez pas accès à Mythos. Le problème est que vous n'utilisez même pas les outils qui sont déjà sur votre bureau. Vous avez un agent de code. Vous avez un abonnement. Vous avez du code à auditer. Et pourtant, vous ne le faites pas. Pas parce que c'est complexe. Pas parce que c'est cher. Parce que vous n'avez pas encore décidé que c'était votre travail.
C'est exactement le mécanisme que j'observe sur le terrain depuis quarante missions NIS2 à travers l'Europe : identifier un risque et décider d'agir sont deux opérations mentales radicalement différentes. La première est analytique. La seconde est existentielle. Elle engage votre identité professionnelle, votre rapport à la compétence, votre confort avec l'incertitude. Et c'est précisément là que la majorité des défenseurs restent bloqués.
Vous savez que ces outils trouvent des choses que vos scanners commerciaux manquent. Vous l'avez lu. Vous l'avez peut-être même testé une fois, un vendredi après-midi, en mode exploratoire. Puis vous êtes retourné à vos processus habituels. Parce que le processus habituel ne vous demande pas de changer ce que vous êtes. Il vous demande juste de continuer à faire ce que vous faites déjà.
C'est humain. C'est compréhensible. Et c'est exactement ce sur quoi l'attaquant compte.
Le confort du processus contre l'urgence du réel
Il y a un mot pour décrire ce que font la plupart des équipes de sécurité face à l'IA : elles procrastinent structurellement. Pas par paresse. Par protection. Intégrer un outil qui remet en question votre manière de travailler, c'est accepter que votre manière de travailler était peut-être insuffisante. C'est admettre, implicitement, que des failles passaient à travers vos filets depuis des années. Personne ne veut faire cette admission. Encore moins un RSSI dont la légitimité repose sur l'idée qu'il contrôle le périmètre.
Sauf que le périmètre a cessé d'exister. Les attaquants ne forcent plus les portes. 82 % des intrusions détectées en 2025 n'impliquaient aucun malware. Les attaquants se connectent avec des identifiants volés et utilisent vos propres outils d'administration. Ils entrent par la porte d'entrée avec votre clé. Et pendant que vous cherchez une signature malveillante qui n'existe pas, ils sont déjà dans votre Active Directory.
La question n'est plus de savoir si vos outils sont à jour. La question est de savoir si votre réflexe de défense est encore adapté à la vitesse de l'attaque. Et la réponse, pour l'immense majorité des organisations que j'accompagne, est non.
Ce que ça change concrètement
Je ne vais pas vous donner une checklist en cinq points. Ce n'est pas mon registre, et si vous avez besoin d'une liste pour commencer, le problème est plus profond qu'une liste ne peut résoudre.
Ce que je vais vous dire, c'est ceci : prenez un agent de code. Pointez-le sur un fichier que vous possédez. Demandez-lui de chercher des vulnérabilités exploitables et de vous écrire un rapport. Lisez le rapport. Contestez-le. Recommencez. C'est tout. Un fichier. Une question. Un rapport.
Ensuite, comparez les résultats avec ce que votre outil commercial a trouvé sur le même périmètre. Regardez les écarts. Je vous garantis qu'il y en a. Non pas parce que l'agent est meilleur. Parce qu'il est différent. Et que la combinaison des deux produit quelque chose qu'aucun des deux ne produit seul.
Ce n'est pas de la magie. Ce n'est pas de la recherche avancée. C'est de l'hygiène professionnelle en 2026. Vous n'avez pas besoin de comprendre le code pour le faire. Vous avez besoin de comprendre que votre métier vient de changer.
La question que personne ne vous pose
L'IA ne va pas vous remplacer. Mais un défenseur qui l'utilise va vous rendre invisible. En cybersécurité, l'invisibilité a un coût mesurable : des données exfiltrées, des systèmes compromis, des organisations paralysées. Ce n'est pas une métaphore de carrière. C'est une conséquence opérationnelle.
Alors la question n'est pas : avez-vous accès aux bons outils ? Vous y avez accès. La question n'est pas : avez-vous le budget ? Un abonnement suffit pour commencer. La question n'est pas même : avez-vous les compétences techniques ? Vous avez besoin de savoir formuler une demande en anglais.
La question est : êtes-vous capable de gouverner un système qui va plus vite que vos réflexes habituels ?
Si la réponse est non, vous avez 29 minutes pour y réfléchir. L'attaquant, lui, n'en a besoin que de 27 secondes.
Questions fréquentes
Pourquoi la défense perd-elle face à l'attaque selon l'article ?
Parce que le décalage n'est pas technique mais décisionnel : pendant que le défenseur ouvre un ticket et cherche le contexte, l'attaquant a déjà progressé. CrowdStrike mesure 29 minutes en moyenne pour passer de l'accès initial au mouvement latéral, avec un record observé à 27 secondes.
Qu'est-ce que Claude Mythos Preview a révélé ?
Dévoilé par Anthropic le 7 avril 2026, le modèle a identifié de façon autonome des milliers de vulnérabilités inconnues dans les principaux systèmes d'exploitation et navigateurs, dont une faille FreeBSD vieille de plus de vingt ans permettant une prise de contrôle totale à distance sans authentification.
Cette capacité est-elle réservée aux laboratoires d'élite ?
Non. L'organisation AISLE a soumis la même faille FreeBSD à des modèles d'IA bon marché et grand public : huit sur huit l'ont trouvée. Anthropic estime que des modèles comparables à Mythos seront largement disponibles dans six à dix-huit mois.
Quel est le vrai obstacle à l'adoption de ces outils ?
Un obstacle mental, pas technique. Les équipes procrastinent structurellement, par protection : intégrer un outil qui remet en cause leur manière de travailler reviendrait à admettre que des failles passaient à travers leurs filets depuis des années.
Par où commencer concrètement ?
Prendre un agent de code, le pointer sur un fichier que l'on possède, lui demander de chercher des vulnérabilités exploitables et d'écrire un rapport, contester ce rapport, puis comparer les écarts avec ceux de l'outil commercial sur le même périmètre.
Sources & méthodologie
- Anthropic, Claude Mythos Preview (
- Christophe Mazzola, Siècle Digital, 14.01.2026 (
- CrowdStrike, Mesures de breakout time 2025

Être en cybersécurité
Une feuille de route cyber en clair, pour tout le monde, pas seulement les experts.
