Secu
Comment les RSSI doivent (se) préparer à Mythos
Par Guillaume Perissat, publié le 22 mai 2026
Avant même son arrivée sur le marché, le modèle d’IA Mythos provoque déjà une onde de choc dans l’écosystème cyber français. Dans une note d’analyse publiée par le Campus Cyber, experts, industriels et responsables de la sécurité des systèmes d’information alertent sur les conséquences d’une nouvelle génération d’IA capables d’analyser massivement du code et de découvrir des vulnérabilités à une vitesse inédite. La note décrit l’émergence d’une véritable « pré-crise » : une phase de tension où les DSI et RSSI doivent préparer leurs organisations à une accélération brutale des découvertes de failles, à un possible mur de patching continu et à une transformation profonde des pratiques de cybersécurité.
Avant même sa mise sur le marché, le modèle d’IA Mythos agit déjà comme un révélateur brutal des fragilités cyber des organisations. C’est ce que nous révèle une note du Campus Cyber : l’annonce de ce nouveau type de modèles capables d’analyser massivement du code a déclenché une forme de surtension systémique dans les directions informatiques et les équipes de cybersécurité.
Une situation paradoxale : rien n’a encore réellement changé dans l’opérationnel… mais tout le monde se prépare déjà à un bouleversement.
Une crise sans incident
Depuis l’annonce de Mythos et l’arrivée de modèles frontières spécialisés comme GPT-5.5-Cyber, les RSSI et DSI font face à une pression inhabituelle. Non pas liée à une attaque, mais à une interrogation stratégique venue d’en haut.
« Le sujet est sorti des sphères cyber pour toucher directement les dirigeants », explique Gérôme Billois, consultant chez Wavestone et administrateur du Campus Cyber. « Habituellement, ce sont les RSSI qui tentent d’alerter les comités exécutifs. Là, c’est l’inverse : les dirigeants sont venus demander ce que cela changeait. »
Dans la foulée des annonces d’Anthropic, les réunions gouvernementales et les interrogations du secteur bancaire, en premier lieu de la Fed américaine, ont déclenché une couverture médiatique massive. Le sujet d’une énième version d’un modèle de LLM est sorti du champ de la seule presse spécialisée. Ce faisant, l’IA appliquée à la découverte de vulnérabilités est soudain devenue un sujet grand public.
Un « stress » supplémentaire pour les équipes cyber
Le phénomène produit une situation inconfortable pour les équipes cyber. Non seulement elles doivent répondre à des questions sans disposer encore de certitudes techniques, mais elles risquent ce faisant d’alimenter malgré elles la « hype » autour de ces sujets. Le tout en continuant à gérer le quotidien et en se préparant en parallèle à une rupture technologique encore floue.
Pour les auteurs de la note du Campus Cyber, le secteur se retrouve ainsi dans une configuration similaire à une gestion de crise, avec une urgence ressentie, une asymétrie d’informations et une implication directe des instances dirigeantes. Mais sans événement déclencheur identifiable. Autrement dit, une pré-crise.
L’IA découvre des failles… mais plus vite que jamais
L’idée que l’IA puisse identifier des vulnérabilités n’a pourtant rien de nouveau. Pour Tom David, PDG et cofondateur de GPAI Policy Labs, « quand on a commencé en 2019, ces sujets n’étaient pas trop pris au sérieux… Il y a quand même un côté désolant à voir la répétition de surprise à des choses sur lesquelles nous avons déjà les informations ».
Pourquoi alors une telle réaction ? La réponse tient à un changement d’échelle. « En 2024, Google avait mis des heures pour identifier une faille OpenSSL », rappelle Gérôme Billois. « Aujourd’hui, lorsqu’un navigateur comme Firefox passe son code dans un modèle avancé, il découvre des centaines de failles en une seule passe. »
Mythos, et désormais GPT-5.5-Cyber, ne sont en rien une révolution conceptuelle, mais une accélération technologique. Il ne faut donc pas s’attendre à une explosion des attaques sophistiquée dans les prochains jours. D’autant que les éditeurs font preuve, avec Glasswing côté Anthropic, Daybreak côté OpenAI, et même MDASH chez Microsoft, d’une certaine prudence. Mais, à terme, les experts réunis par le Campus Cyber pour sa note prédisent une possible vague de révélations de zero-days dans les trois à six prochains mois. Certains vont même jusqu’à évoquer un « déluge ». Ce dernier a d’ailleurs déjà démarré. Cette semaine, Linus Torvald a révélé que la liste de diffusion sécurité du noyau Linux est devenue “presque totalement ingérable” suite à une invasion de rapports générés par l’IA, souvent dupliqués, produits par différents chercheurs utilisant les mêmes outils automatisés. Il n’est pas le seul. Le projet curl a fermé son programme de bug bounty pour les mêmes raisons.
Le vrai problème n’est pas la vulnérabilité, mais le correctif
Pourtant, et à rebours de l’imaginaire dominant, la principale inquiétude n’est pas tant le volume de vulnérabilités découvertes, ni même leur criticité, que la capacité des organisations à y répondre. Quand bien même un Mythos découvrirait un millier de vulnérabilité dans le code d’une application, il est très peu probable que l’éditeur déploie un patch pour chacune d’entre elles.
Ou, plus simplement, on doit s’attendre à ce que les développeurs corrigent le tout avec une poignée de patches. « Il n’y aura probablement pas un déluge de correctifs », nuance justement Gérôme Billois. A ses yeux, « le sujet, c’est l’urgence. Même s’il n’y a que deux ou trois patchs critiques par éditeur, il faudra les déployer immédiatement ».
Patch management, parent pauvre de la cyber
Il soulève ainsi l’un des points faibles de la cybersécurité : le patch management. Qui, au sein d’une DSI, peut prétendre avoir d’ores et déjà purgé son historique de correctifs à déployer ? Il ne s’agit pas de jeter la pierre à quiconque. Le patch management dépend des fenêtres métier. En d’autres termes, il n’est pas possible de déployer n’importe quand un correctif à l’échelle d’un système d’informations. Par crainte des interruptions de production, dont on entend souvent qu’elles sont plus préjudiciables encore qu’une cyberattaque.
S’y ajoutent des processus de validation longs, ponctués de rollbacks, et des équipes déjà saturées par un backlog permanent de failles. Le risque, dans la foulée de Mythos, est donc celui d’un « mur » de patching en continu, parfois décrit comme un passage au « patch every day », par opposition au classique « patch Tuesday ».
Selon Gerome Billois, face à cette perspective, le marché se divise déjà en trois catégories. D’une part, les organisations matures, entrées en mode pré-crise pour tester leurs procédures d’urgence. De l’autre, celles qui restent dans une posture d’attente. Et au milieu, les entreprises qui expérimentent encore leurs capacités de déploiement rapide.
Une remise en question de toute la chaîne logicielle
Autre problème, les applications métiers internes constituent un point de vulnérabilité majeur. Longtemps ignorés car trop coûteux à analyser pour les attaquants, les vieux systèmes, les mainframes, les applications bancaires legacy ou encore les environnements industriels, deviennent soudain accessibles à l’analyse automatisée par IA. Tandis qu’en face, côté défenseur, on peine à trouver des experts COBOL…
L’épisode Mythos met en lumière une dépendance mal maîtrisée à la supply chain logicielle. Les vulnérabilités ne proviennent plus seulement de logiciels identifiés, mais de dépendances open source, de packages tiers, de composants embarqués, voire de mises à jour insuffisamment testées.
La cybersécurité compense aujourd’hui, en partie, les faiblesses structurelles de la qualité logicielle. Mais, demain, l’effort devra remonter en amont : empêcher le code vulnérable d’entrer en production plutôt que nettoyer en aval. Une évolution cohérente avec l’esprit du Cyber Resilience Act européen, qui vise à responsabiliser davantage les éditeurs.
La cybersécurité doit désormais lutter avec les mêmes armes
Un consensus traverse désormais l’écosystème : l’IA élargira mécaniquement le vivier d’attaques possibles. Même sans sophistication accrue, davantage d’acteurs pourront identifier des failles exploitables. La défense devra donc s’industrialiser au même rythme. Et utiliser les mêmes armes, dans une posture défensive.
Le Campus Cyber fait l’inventaire des cas d’usage IA en cybersécurité, du triage automatique des vulnérabilités à l’investigation post-accident en passant par la cartographie dynamique des dépendances et la priorisation selon l’exposition réelle.
Les recommandations opérationnelles du Campus Cyber
Les principales recommandations opérationnelles qui peuvent être formulées à destination des DSI et des RSSI sont les suivantes :
mettre à jour la cartographie des actifs critiques et des dépendances (supply chain métier et supply chain logicielle) ;
s’entraîner à simuler une vague massive de zero-days pour tester la capacité des processus de gouvernance et de patching à absorber un volume et une urgence hors normes, et dresser un bilan de maturité de la chaîne de gestion des vulnérabilités (sur l’ensemble de la kill chain, pas uniquement vulnérabilité par vulnérabilité).
durcir les mesures d’architecture réseau dans le but de freiner la propagation des attaques non déjouées (réduction du blast radius, abaissement du mean time to remediate avec des temps de réaction plus courts dans les scénarios critiques) ;
se doter d’un plan de défense augmentée par l’IA, à même de suivre le rythme d’un environnement en mutation rapide.
Autant de domaines qui ne sont pas inconnus des RSSI. Le Campus rappelle toutefois une condition centrale : conserver une supervision humaine et préserver l’autonomie technologique européenne (en d’autres termes, utiliser une IA made in Europe. Tom David y ajoute une autre dimensions : « les communautés cyber et IA sont deux communautés très distinctes. Il faut qu’elles se rapprochent : le rôle du DSI, c’est de sortir du buisson, de se documenter, de porter le sujet en interne et d’œuvrer à ce rapprochement ».
La priorité immédiate : savoir ce que l’on possède
Face au scénario d’une vague de vulnérabilités, la recommandation la plus urgente est presque triviale : connaître précisément son système d’information. Cartographie des actifs, dépendances logicielles, visibilité sur le CI/CD, auto-découverte assistée par IA… sans cette connaissance, aucune priorisation rapide ne sera possible. Corriger toutes les failles, c’est mission impossible. Mieux vaut donc être en mesure de corriger les bonnes, suffisamment vite.
Le changement de paradigme ne concerne pas seulement les grands groupes. ETI, PME et sous-traitants devront eux aussi s’adapter, dans la continuité de la directive NIS2. Les grandes entreprises auront un rôle structurant pour entraîner leurs fournisseurs critiques dans une logique de sécurisation par filière.
Mythos, un accélérateur
Au fond, Mythos ne crée peut-être pas une nouvelle menace. Il agit plutôt comme un accélérateur brutal d’une transformation déjà engagée. La cybersécurité entre dans une nouvelle phase où la découverte des vulnérabilités devient quasi instantanée, le temps d’exploitation continue de diminuer, et la capacité organisationnelle à réagir devient la véritable ligne de défense.
Les DSI et RSSI ne vivent donc pas une crise technique : c’est une crise d’anticipation. Mais une crise tout de même. « Il n’y a aujourd’hui pas tant de rupture que ça, si ce n’est l’augmentation des capacités qui passent un seuil qu’un grand nombre d’acteurs n’avaient pas prédit » rappelle Tom David. « On entraine depuis des années des modèles d’IA, avec toujours plus de données… on aboutit logiquement à des modèles qui sont meilleurs que les experts humains. À l’horizon 2030, on doit s’attendre à avoir des modèles dépassant largement les capacités des experts humains, des modèles sur lesquels, faute d’anticipation, on risque de ne pas avoir la maîtrise ».
Le vulnerability management n’est pas mort
L’arrivée de modèles capables d’auditer du code soulève une autre inquiétude : certains pans historiques de la cybersécurité deviennent-ils obsolètes ? « Les outils classiques de revue statique sont clairement secoués », reconnaît Gérôme Billois. « Mais le vulnerability management ne se résume pas à analyser du code. »
Si les modèles actuels excellent en analyse « boîte blanche », ils demeurent moins performants sur les vulnérabilités multi-systèmes, les interactions complexes d’un SI complet et les scénarios réalistes de type red team.
Alors oui, les pentests automatisés existent déjà. Mais ils restent encore trop bruyants pour remplacer les approches humaines. Le futur proche devrait plutôt voir émerger une cybersécurité hybride, combinant IA défensive et expertise humaine pour prioriser réellement les risques.
À LIRE AUSSI :
À LIRE AUSSI :
