Le 7 avril 2026, Anthropic a officiellement annoncé deux choses simultanément. La première : l'existence de Claude Mythos Preview, un modèle frontier non destiné au grand public, dont les capacités en matière de découverte de vulnérabilités dépassent selon Anthropic « tous les humains à l'exception des plus élites ». La seconde : Project Glasswing, une coalition défensive réunissant 12 organisations fondatrices — AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, la Linux Foundation, Microsoft, NVIDIA et Palo Alto Networks — avec accès exclusif à Mythos Preview pour sécuriser les infrastructures logicielles critiques mondiales.
Mythos Preview a déjà identifié des milliers de vulnérabilités à haute sévérité, y compris dans chaque grand système d'exploitation et navigateur web. Parmi elles : un bug présent depuis 27 ans dans OpenBSD, exploitable en envoyant simplement quelques paquets réseau à n'importe quel serveur OpenBSD pour le faire crasher.
Anthropic engage jusqu'à 100 millions de dollars en crédits d'utilisation pour les participants à Project Glasswing, ainsi que 4 millions de dollars en dons directs aux organisations de sécurité open source.
Ce n'est pas un événement de communication. C'est un changement structurel dans le rapport de force entre attaquants et défenseurs.
Ce que Mythos change réellement
Claude Mythos n'est pas un scanner de vulnérabilités amélioré. C'est un système de raisonnement autonome capable d'opérer l'intégralité du cycle offensif.
Anthropic a démontré que Mythos peut prendre un identifiant CVE et un hash de commit Git en entrée, puis produire de manière autonome un exploit fonctionnel complet en quelques heures, à coût relativement faible. Il peut enchaîner plusieurs vulnérabilités et procéder à de la rétro-ingénierie de binaires closed-source.
Le modèle est capable d'enchaîner des vulnérabilités : deux failles qui n'apportent rien de significatif séparément peuvent être combinées en séquences de trois, quatre ou cinq vulnérabilités pour produire un résultat offensif sophistiqué.
Les évaluations indépendantes confirment cette rupture. L'AI Security Institute (AISI) du gouvernement britannique a testé Mythos Preview sur des scénarios de capture-the-flag et des simulations d'attaques multi-étapes. Sur les tâches de niveau expert — qu'aucun modèle ne pouvait accomplir avant avril 2025 — Mythos Preview réussit à 73 %. L'AISI a également construit une simulation d'attaque réseau corporate en 32 étapes, couvrant la reconnaissance initiale jusqu'à la prise de contrôle complète du réseau — une opération estimée à 20 heures pour des experts humains.
La fenêtre entre découverte et exploitation s'est effondrée. Ce qui prenait des semaines ou des mois — trouver une faille, construire un exploit, l'enchaîner en attaque — peut désormais se produire en quelques heures.
Project Glasswing : une course contre la montre
Project Glasswing n'est pas une initiative philanthropique. C'est une réponse d'urgence à un risque identifié par Anthropic lui-même.
Anthropic n'a pas l'intention de rendre Claude Mythos Preview disponible au grand public. Mais son objectif final est de permettre à ses utilisateurs de déployer des modèles de classe Mythos à grande échelle — pour des finalités de cybersécurité, mais aussi pour les autres bénéfices qu'apporteront des modèles aussi capables.
La logique est explicite : Mythos existe, et des capacités comparables émergeront bientôt d'acteurs qui n'ont pas les mêmes engagements éthiques. Anthropic a lui-même documenté qu'un groupe étatique chinois avait mené une campagne coordonnée utilisant Claude Code pour infiltrer environ 30 organisations — dont des entreprises technologiques, des institutions financières et des agences gouvernementales — avant que la société ne le détecte.
Project Glasswing donne aux défenseurs une avance temporelle. Mais cette avance se mesure en semaines, pas en années.
Une détection qui dépasse la capacité de correction
Ce contexte rend encore plus aigu un déséquilibre préexistant. Les données disponibles sur la maturité des organisations en matière de gestion des vulnérabilités sont sans équivoque :
- Environ 54 % des organisations maintiennent une cadence de remédiation maîtrisée.
- Environ 31 % affichent une gestion moyenne.
- Environ 15 % sont en grande difficulté, avec des délais de traitement supérieurs à un an pour les vulnérabilités externes, toutes sévérités confondues.
Près d'une organisation sur deux n'est pas en capacité de suivre un processus de correction efficace — et ce constat précède l'arrivée de Mythos. L'exploitation d'une vulnérabilité externe constitue le vecteur de compromission initiale le plus fréquent dans les attaques à fort impact. Mythos ne crée pas ce problème. Il le révèle avec une brutalité nouvelle.
Des écarts sectoriels persistants
Face à l'industrialisation de la détection, les disparités entre secteurs restent marquées.
Les secteurs les plus avancés — banque, gestion de fonds, courtiers — bénéficient d'une pression réglementaire forte (NIS2, DORA), d'investissements conséquents et d'une culture du risque mature. Ce sont précisément les secteurs qui rejoignent Project Glasswing en tant que partenaires fondateurs.
Les secteurs les plus en difficulté — information et communication, service public, énergie et services collectifs — opèrent dans des environnements hétérogènes, avec une dette technique importante et des arbitrages souvent défavorables à la sécurité.
Mais au-delà de la lecture sectorielle, une réalité persiste : les disparités intra-sectorielles sont tout aussi significatives. Le secteur d'appartenance ne détermine pas la posture. L'organisation, si.
Un problème structurel, pas technologique
Ces écarts révèlent une vérité essentielle : le problème n'est pas technologique. Il est structurel, organisationnel et culturel.
Entre priorisation insuffisante, absence d'industrialisation, silos entre sécurité, IT et métier, et arbitrages court terme, certaines organisations accumulent une dette de vulnérabilité qu'elles ne parviennent plus à résorber. Les accords sur les cadences de correction « raisonnables » négociés avant Mythos ne sont plus adaptés à la réalité : des outils de classe Mythos identifient et exploitent des vulnérabilités en quelques heures.
Le temps : variable centrale du risque
Une vulnérabilité n'est pas un risque en soi. Elle le devient lorsque trois conditions sont réunies : elle est exploitable, elle est exposée, elle reste ouverte dans le temps.
C'est cette troisième dimension qui est aujourd'hui systématiquement sous-estimée — et que Mythos transforme en variable critique. Le délai entre la publication d'une nouvelle capacité par un acteur IA et son exploitation par des acteurs malveillants s'est considérablement réduit en 2025, une tendance qui devrait s'accélérer en 2026.
Réduire la surface d'attaque est nécessaire. Réduire le temps d'exposition est critique.
Le vrai enjeu : absorber le flux
Mythos et Project Glasswing transforment la cybersécurité en un problème de flux industriel : un flux d'identification en forte croissance, face à une capacité de remédiation structurellement limitée.
Construire un programme de sécurité « Mythos-ready » ne consiste pas à réagir à un modèle ou une annonce. Il s'agit de fermer définitivement l'écart entre la vitesse à laquelle les vulnérabilités sont découvertes et la vitesse à laquelle une organisation peut y répondre. Sans transformation profonde, les vulnérabilités s'accumulent, leur durée d'exposition s'allonge, et le risque réel augmente — même si la visibilité s'améliore.
Ce que Presidio apporte dans ce nouveau contexte
C'est précisément à ce défi opérationnel que Presidio répond. Presidio n'est pas un outil de détection supplémentaire. C'est la plateforme de gouvernance des risques cyber qui permet aux organisations de structurer leur réponse à ce flux — de transformer la pression réglementaire (NIS2, DORA, RGPD) en processus de remédiation continu, mesurable et auditable.
Là où Mythos identifie, Presidio organise la réponse. Là où Project Glasswing donne un avantage temporel aux grandes organisations fondatrices, Presidio donne aux organisations de taille intermédiaire les moyens de ne pas rester spectateurs.
Priorisation fondée sur le risque réel
Presidio agrège les vulnérabilités identifiées, les qualifie selon leur criticité métier, et priorise les actions de remédiation — non selon la sévérité technique brute, mais selon l'exposition réelle de l'organisation.
Industrialisation du cycle de correction
La plateforme structure les workflows entre sécurité, IT et métier — les trois silos qui, lorsqu'ils ne communiquent pas, transforment une dette technique gérable en risque systémique.
Conformité NIS2 et DORA intégrée
Dans un contexte où NIS2 impose des délais de notification et DORA exige une documentation continue de la gestion des risques, Presidio fournit le cadre d'audit et la traçabilité nécessaires — y compris face à des régulateurs qui commencent à examiner les postures cyber avec une exigence nouvelle.
Mesure de la performance réelle
Les indicateurs traditionnels — nombre de vulnérabilités détectées, volume d'alertes traitées — ne suffisent plus. Presidio mesure ce qui compte désormais : la vitesse de correction, la réduction du temps d'exposition, la trajectoire de la dette résiduelle.
Conclusion : l'IA supprime le confort de l'invisibilité
Mythos et Project Glasswing ne rendent pas les systèmes plus vulnérables. Ils suppriment une forme de confort : celle de ne pas voir, ou de ne pas savoir.
Dans un monde où tout devient visible — où un modèle IA peut retrouver un bug vieux de 27 ans en quelques heures — une réalité s'impose : les organisations ne sont pas en retard sur la détection. Elles sont en retard sur leur capacité à corriger, à l'échelle et dans le temps.
Les organisations qui traverseront cette transition seront celles qui auront compris que la gestion des vulnérabilités n'est pas une fonction support. C'est une discipline opérationnelle, continue, et vitale.
La différence ne se fera pas sur la capacité à détecter. Elle se fera sur la discipline à corriger vite — et sur la gouvernance qui rend cette discipline possible.
Valtieri accompagne les organisations qui souhaitent structurer leur réponse à ce nouveau paradigme. Presidio est disponible pour les organisations de 50 à 250 collaborateurs soumises à NIS2, DORA ou ISO 27001. Prendre contact.