Data / IA
GPT-5.4-Cyber : OpenAI répond du TAC au TAC à Anthropic Claude Mythos
Par Laurent Delattre, publié le 16 avril 2026
Une semaine après le séisme Mythos, OpenAI contre-attaque avec un modèle cyber-permissif et un programme d’accès radicalement plus ouvert. Deux philosophies s’affrontent pour armer les défenseurs de demain.
En ce moment, OpenAI semble systématiquement avancer ses pions avec un temps de retard sur Anthropic. Alors que l’univers de la cybersécurité tremble face au potentiel de Claude Mythos Preview et s’engage dans une course contre la montre pour découvrir les failles des logiciels existants à l’aide du modèle dans le cadre du programme fermé « Project Glasswing », OpenAI cherche à détourner le regard des médias et des cyber-défenseurs vers ses propres technologies et initiatives. L’éditeur annonce l’extension de son initiative Trusted Access for Cyber à davantage d’acteurs et son nouveau modèle spécialisé « GPT-5.4 Cyber« !
Pour rappel, OpenAI a sorti son modèle frontière GPT-5.4 Thinking début mars 2026, son modèle frontière “professionnel” le plus capable. OpenAI le présentait alors comme son premier modèle généraliste doté de capacités natives d’usage informatique, pensé pour des agents capables d’agir sur des logiciels, des sites web, des documents, des présentations ou des tableurs. Mais aussi comme le premier modèle présentant des risques élevés en matière de Cybersécurité et considéré comme un modèle « High Capability » dans les domaines d’analyse des failles et de la génération de cyber-attaques. Sa System Card expliquait que GPT-5.4 Thinking était le premier modèle généraliste à embarquer des garde-fous spécifiques face à cette capacité de niveau “High” : un dispositif de surveillance temps réel à deux étages pour les prompts et générations cyber, un mécanisme d’“actor-level enforcement” pour approfondir les cas signalés, et un contrôle d’accès fondé sur l’identité via son initiative TAC.
Cette dernière est d’ailleurs la raison pour laquelle OpenAI n’apparaît pas dans la liste des 12 partenaires majeurs d’Anthropic sur l’initiative Project Glasswing (parmi lesquels figurent AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, la Linux Foundation, Microsoft, NVIDIA et Palo Alto Networks). Trusted Access for Cyber (TAC) est le propre dispositif d’OpenAI pour encadrer l’accès aux modèles d’IA les plus sensibles en cybersécurité. Il permet à des défenseurs vérifiés – des chercheurs, équipes SOC, CERT, pentesters légitimes – d’utiliser ses modèles plus puissants et plus permissifs, tout en bloquant les usages malveillants. Le programme repose sur une vérification d’identité, un déploiement progressif et des garde‑fous renforcés pour éviter les détournements.
TAC est en quelque sorte le pendant chez OpenAI du Project Glasswing d’Anthropic et poursuit la même volonté d’armer les défenseurs avant que les cyber-attaquants ne puissent accéder à un tel potentiel.
Hier soir, OpenAI a annoncé l’extension du programme TAC et l’arrivée dans le cadre de cette initiative d’un nouveau modèle agentique dédié à la cyber-sécurité « GPT-5.4-Cyber », version évoluée de GPT-5.4 Thinking optimisée pour les sujets Cyber.
GPT-5.4-Cyber : la réponse d’OpenAI à Mythos Preview
Alors qu’Anthropic verrouille très fortement l’accès à Mythos Preview et à son initiative Glasswing, OpenAI prend le contrepied avec une approche plus ouverte mais néanmoins prudente et contrôlée. Si l’on en croit les benchmarks publiés, GPT-5.4-Cyber est moins performant que Mythos en découverte brute de vulnérabilités, mais OpenAI le rend accessible à un public beaucoup plus large, arguant implicitement que restreindre les outils de sécurité avancés à une poignée de géants de la Tech laisse la grande majorité des organisations – hôpitaux, collectivités, PME de cybersécurité – démunies face à des adversaires qui, eux, ne s’imposent aucune contrainte d’accès.
Le programme TAC, lancé en février 2026 avec une enveloppe de 10 millions de dollars, passe donc d’un pilote limité à un déploiement ouvert à des milliers de défenseurs individuels vérifiés et des centaines d’équipes responsables de la protection de logiciels critiques. Le système repose sur une vérification d’identité par paliers : les professionnels s’authentifient individuellement via chatgpt.com/cyber, les entreprises passent par un représentant OpenAI, et seuls les utilisateurs certifiés au plus haut niveau accèdent à GPT-5.4-Cyber lui-même. Des restrictions spécifiques s’appliquent aux environnements à visibilité réduite, notamment le Zero-Data Retention (ZDR), où OpenAI dispose de moins de contrôle sur l’usage réel du modèle.
OpenAI ne publie pas de tests détaillés de GPT-5.4-Cyber. Mais la trajectoire de performance affichée sur les benchmarks CTF depuis 6 mois donne la mesure de l’accélération : GPT-5 atteignait 27 % sur les benchmarks « capture-the-flag » en août 2025, tandis que GPT-5.1-Codex-Max grimpait à 76 % seulement trois mois plus tard. L’extrapolation de cette courbe suffit à comprendre pourquoi OpenAI (et Anthropic de son côté) traite le sujet comme une priorité stratégique de premier plan.
Rappelons également qu’OpenAI a lancé Codex Security (d’abord en bêta privé en Octobre 2025 sous le nom de code Aardvark, puis en accès anticipé aux abonnés payants en Mars dernier) qui a déjà contribué à corriger plus de 3 000 vulnérabilités critiques et élevées sur plus de 1 000 projets open source.
Un même constat d’urgence
D’un côté, Anthropic juge Mythos trop puissant pour être largement diffusé, et le confie donc à une élite de partenaires institutionnels sous contrat défensif strict, avec un engagement financier massif et des résultats de recherche partagés avec l’ensemble de l’industrie.
De l’autre côté, OpenAI opte pour la défense par le nombre avec un modèle doué, sous haute surveillance, mais accessible à tous les défenseurs légitimes prêts à prouver leur identité.
Si l’on met de côté l’art du marketing américain pour monopoliser la sphère médiatique – car, oui, ces annonces sont aussi des coups de comm’ – une réalité nouvelle émerge : les modèles IA ont franchi un véritable seuil en cybersécurité. Et, l’avantage défensif conféré par ces modèles est temporaire par nature. Les adversaires disposeront inévitablement de capacités similaires à plus ou moins court terme.
Ces annonces doivent donc être perçues par les DSI et RSSI non pas comme des actualités spectaculaires de plus dans la guerre des modèles, mais comme un signal d’alarme opérationnel. La fenêtre entre découverte et exploitation d’une vulnérabilité va se réduire prochainement à quelques minutes. Les cycles de patching doivent être compressés, l’exposition des systèmes legacy réévaluée d’urgence (car un code compilé vieux de dix ans devient une cible de choix pour des modèles capables de le désosser sans accéder au source) et les stratégies de défense repensées à l’aune d’adversaires qui, demain, disposeront d’outils aussi puissants que ceux aujourd’hui réservés aux élites de la cybersécurité mondiale. L’IA cyber n’est plus un concept prospectif inscrit dans une feuille de route à trois ans : c’est un champ de bataille ouvert, ici et maintenant. Et la seule question qui vaille doit être de savoir si l’on sera prêt avant que les attaquants ne le soient à notre place.
À LIRE AUSSI :
À LIRE AUSSI :
