Secu
Mythos et Glasswing : les 10 secousses qui attendent les DSI et les RSSI selon Forrester
Par Laurent Delattre, publié le 14 avril 2026
La semaine dernière, Anthropic annonçait à la fois son nouveau modèle Mythos et son intention de ne pas en rendre public l’accès. Son modèle est trop puissant et devient un risque cyber majeur. Il faut laisser au monde numérique et open source le temps de s’y préparer via l’initiative Glasswing. Un coup de comm’ bien sûr. Mais pas que. C’est aussi une alerte. Pour Forrester, la vraie question n’est déjà plus de savoir si Mythos impressionne, mais si DSI et RSSI sont prêts à vivre avec ses conséquences. Car le monde de la sécurité informatique ne sera très bientôt plus le même.
L’annonce de Mythos la semaine dernière est bien plus qu’un coup de pub pour amplifier l’avance technologique désormais prise par Anthropic et les nouvelles capacités « cyber » de son plus puissant modèle agentique à ce jour. L’annonce acte un basculement plus profond : l’IA devient une couche d’infrastructure qui change la découverte des failles, la remédiation, l’assurance, la conformité et jusqu’aux compétences attendues dans les équipes sécurité et IT.
Mythos est capable de mettre à jour des failles de sécurité présentes depuis plus de 27 ans dans les systèmes d’exploitation et non repérées à ce jour, ou encore de terribles bugs dans des bibliothèques open source pourtant scannées plus de 5 millions de fois par des outils de tests automatisés.
Certains reprochent déjà à Anthropic d’avoir fait ici une opération de comm’. Sur les milliers de failles et bugs découverts, la plupart sont dans de vieux logiciels ou bibliothèques et sont impossibles à exploiter. Mais pour Forrester, l’annonce d’Anthropic reste malheureusement « valide, légitime et préoccupante ». Et ses effets persisteront bien au-delà du cycle médiatique immédiat.
Dans une analyse publiée ces derniers jours, Jeff Pollard, Allie Mellen, Jess Burn, Joseph Blankenship et Cody Scott constatent que « les problèmes introduits par Mythos ne peuvent pas être résolus à l’ancienne. S’ils le pouvaient, douze entreprises – dont beaucoup sont concurrentes – ne se seraient pas liguées pour tenter d’atténuer une partie des dégâts potentiels » et donner naissance à « Project Glasswing ».
Glasswing est à la fois une initiative portée par les géants de la Tech et un programme d’accès anticipé à Mythos pour aider les défenseurs à sécuriser les logiciels critiques avant que les attaquants n’en profitent à grande échelle. C’est un dispositif de préparation collective qui vise à donner une avance aux défenseurs, à partager ensuite les enseignements avec l’industrie, et à aider l’écosystème open source à absorber ce saut technologique avant que ce type de capacités ne se banalise davantage.
Pour Forrester, si douze sociétés rivales s’unissent dans l’urgence, c’est que quelque chose d’important est en train de se passer : le paradigme de la cybersécurité a changé. Un changement de paradigme qui se traduit dès aujourd’hui par 10 conséquences que bien des DSI et RSSI n’avaient nullement vu venir et qu’ils doivent désormais intégrer, dans l’urgence, à leurs réflexions et leur stratégie de cyber-résilience :
1 – Le goulot d’étranglement est humain : c’est le mainteneur open source
Les mainteneurs open source deviennent le vrai point de friction. Forrester rappelle que Glasswing a fait remonter des vulnérabilités vieilles de 16 et 27 ans dans des projets maintenus par de petites équipes, souvent bénévoles. Son diagnostic est sans appel : « Mythos fait de la découverte [de failles] un problème exponentiel. La capacité de remédiation dans le logiciel libre ne suit pas cette croissance. Elle reste humaine, finie, sous-payée et largement bénévole. »
L’IA trouve les bogues beaucoup plus vite que les êtres humains ne peuvent les corriger. Anthropic a annoncé 4 millions de dollars de dons à des organismes de sécurité du logiciel libre (2,5 M$ pour Alpha-Omega et l’OpenSSF via la Linux Foundation, 1,5 M$ pour l’Apache Software Foundation). Mais cette somme reste dérisoire au regard de l’ampleur du défi : le logiciel libre compose environ 97 % de l’infrastructure logicielle mondiale.
Pour une DSI, cela change la lecture du risque open source. Cartographier les composants ne suffit plus : il faut évaluer la capacité de remédiation de l’écosystème dont on dépend. Il faut identifier, financer et fidéliser les personnes capables de les corriger en toute sécurité. Et il faut intégrer le financement de la maintenance des codes open source dans les budgets informatiques, au même titre que les licences propriétaires. Vaste projet. Le temps va manquer.
2. Le modèle économique du pentest est obsolète !
Mythos porte un coup dur aux programmes de Bug Bounty et aux experts des tests d’intrusion. La découverte brute de failles perd sa rareté économique. « Les tests d’intrusion classiques pour les applications, les applications web et les infrastructures coûtent couramment entre 20 000 et 120 000 dollars, avec une tarification ancrée dans la rareté perçue de l’expertise de découverte. Mythos Preview a identifié de manière autonome des milliers de vulnérabilités comparables en quelques semaines, sans heures facturables » constate Forrester.
Vu des DSI, si Mythos fait remonter en masse des vulnérabilités, la valeur se déplace vers l’interprétation, la priorisation métier, l’aide à la correction et la capacité à défendre juridiquement les conclusions. Quand on vous dit que Mythos engendre un changement de paradigme…
3. Le fournisseur de modèle devient un partenaire de sécurité critique
Forrester n’y va pas par quatre chemins : « Anthropic est désormais le partenaire le plus important pour chaque éditeur de sécurité. »
Le modèle Mythos élève Anthropic au rang de dépendance structurelle pour de nombreux éditeurs de cybersécurité. Derrière la formule, il y a une idée lourde de conséquences : l’accès au modèle frontière, ses garde-fous, sa disponibilité, ses escalades, sa gouvernance et son assurabilité deviennent des variables de la chaîne de sécurité elle-même.
Vu d’une DSI, cela crée une nouvelle dépendance fournisseur à inscrire dans la gouvernance de la supply chain numérique. Rob Thomas, SVP d’IBM, défend la thèse selon laquelle la sécurité s’améliore davantage par la transparence que par la dissimulation. Or, Mythos est un logiciel propriétaire. Anthropic n’a publié aucun article technique décrivant sa construction. Le Stanford Foundation Model Transparency Index montre que l’industrie tout entière s’éloigne de la transparence, une tendance qui, selon Kush Varshney, chercheur émérite chez IBM, rend plus difficile l’évaluation des risques : « Quand il n’y a pas de transparence, on ne sait tout simplement pas. »
Autrement dit, la performance du modèle ne suffit pas : il faut aussi des garanties sur son opacité, son pilotage et ses limites. Et ces garanties sont plus crédibles sur des modèles ouverts.
4. L’avenir appartient aux services de remédiations, pas de détection
« La découverte est désormais bon marché. La remédiation, c’est là que réside la valeur. Trouver les failles est facile, les corriger est difficile » rappelle Forrester. Et d’anticiper l’arrivée d’une sorte de MDR de la correction, focalisé non sur la détection, mais sur le séquencement, le change control et l’orchestration des correctifs à grande échelle.
Les DSI vont devoir repenser leurs tactiques et leurs approches pour l’ère Mythos : interpréter les résultats générés par l’IA, les hiérarchiser selon le contexte métier et coordonner les correctifs à grande échelle. Cette catégorie de services n’existe pas encore. Mais pour Forrester, la fenêtre de tir pour la définir, la tarifer et fixer les attentes des acheteurs est de moins de 18 mois.
Pour les DSI et RSSI, la frontière entre vulnérabilité management, SecOps, opérations IT et DevSecOps devient plus poreuse. Sécuriser, désormais, signifiera surtout piloter la correction à cadence industrielle.
5. Le système CVE/NVD craque, inévitablement
Forrester anticipe une saturation du système CVE : « Mythos Preview a trouvé des milliers de failles inédites en quelques semaines dans un seul environnement. Étendez cela aux membres du consortium et à une disponibilité plus large, et le volume de CVE submergera entièrement l’infrastructure de tri. »
La défaillance ne sera pas spectaculaire, préviennent les analystes : elle se manifestera par des retards de plusieurs mois dans l’enrichissement des bases, tandis que les outils de gestion des vulnérabilités continueront de hiérarchiser le risque sur des données de plus en plus incomplètes.
Voilà qui doit changer le regard des DSI/RSSI sur les référentiels publics et qui va fragiliser les chaînes d’outils cyber qui en dépendent. Encore une fois, cela change le pilotage et nécessite d’intégrer exploitabilité réelle, contexte métier, exposition effective, capacité interne de remédiation…
6. Les États passent de la thésaurisation à la course
En 2026, la géopolitique n’est jamais bien loin des sujets IT et Cyber. Les services d’espionnage et de cyber-offensive des États ont passé des décennies à constituer des arsenaux de failles inédites. Forrester est catégorique : « Ces stocks et les décennies de ressources et de travail investis pour les constituer sont sur le point de devenir inutiles. »
La valeur de cette bibliothèque reposait sur la difficulté pour les autres de trouver les mêmes failles. Mythos rend cette asymétrie caduque. Conséquence directe anticipée par Forrester : les États qui disposent de tels arsenaux vont chercher à les utiliser avant qu’ils ne deviennent sans valeur, pour exfiltrer des données ou établir des points d’entrée persistants dans les infrastructures visées. C’est une fenêtre de danger considérable.
Dans un même ordre d’idées, Mythos sait aussi analyser du binaire compilé et reconstruire un comportement plausible, ce qui remet dans la zone de risque des systèmes anciens, fermés ou mal documentés. Comme le relève IBM, les systèmes anciens « qui traînent dans un coin », ne sont plus hors d’atteinte. Pour les DSI, cela remet brutalement les actifs hérités (le Legacy) au centre.
7. La cyberassurance va se retarifer brutalement
Les primes de cyberassurance étaient entrées dans l’année 2026 à des niveaux stables, voire en baisse. Forrester prévoit un choc : « Mythos brise les hypothèses de découverte intégrées dans les modèles de sinistres des assureurs. »
Les analystes anticipent l’apparition de clauses d’exclusion ciblant spécifiquement les vulnérabilités découvertes par l’IA et non remédiées dans des délais définis.
Pour la DSI, cela veut dire que le coût futur du risque ne se lira plus seulement dans les incidents, mais dans les franchises, exclusions et exigences probatoires des assureurs. Il faudra prouver plus vite, et plus finement, qu’une faiblesse identifiée a été évaluée, arbitrée, compensée ou corrigée. Et il va falloir se repencher sur les contrats déjà négociés et les angles morts qui découlent de Mythos.
8. Glasswing est un cas de référence pour les régulateurs
Forrester considère que Mythos et Glasswing redéfinissent la notion de « diligence raisonnable ». Les cadres comme l’EU AI Act, le NIST AI RMF ou les règles cyber de la SEC ont été pensés avant qu’une découverte autonome de zero-days à cette échelle soit publiquement documentée. Pour Forrester, « Mythos réinitialise de facto les normes de “diligence raisonnable” et offre aux régulateurs un nouveau point d’ancrage pour définir l’IA “à haute capacité”. »
Ainsi, Mythos Preview relève très probablement du « high risk » de l‘AI Act, même si ce dernier ne le voyait pas ainsi à sa création.
Pour les DSI, cela crée aussi un écart de conformité : l’application de correctifs selon les méthodes traditionnelles devient de plus en plus insuffisante comme preuve de « diligence raisonnable ».
9. La gouvernance de sécurité assistée par IA devient un marché à part entière
Forrester voit naître un champ nouveau de conformité autour de la gouvernance de sécurité assistée par IA. Régulateurs et assureurs exigeront des pistes d’audit documentées avec supervision humaine. La trajectoire anticipée est la suivante : découverte par l’IA, revue et validation humaine, autorisation, exécution. Cela crée un nouveau marché de l’audit et de l’évaluation autour de la gouvernance de la sécurité assistée par l’IA.
Pour une DSI, cela impose de relier des mondes encore trop séparés : outillage sécurité, ITSM, workflows de changement, DevSecOps, GRC et conservation de preuves.
Rob Thomas d’IBM soutient de son côté que le logiciel libre fournit le modèle le plus fiable pour la gouvernance de logiciels critiques, précisément parce qu’il permet à davantage de chercheurs, développeurs et défenseurs d’examiner les systèmes, de tester les hypothèses, d’identifier les faiblesses et de durcir le code en conditions réelles. La Linux Foundation travaille d’ailleurs sur le cadre d’orchestration OSS-CRS (Open Source Software Cyber Reasoning System), issu du concours AIxCC, qui définit une interface unifiée pour construire et exécuter des systèmes autonomes de détection et de correction de bogues fondés sur de grands modèles de langage.
10. Les métiers de la sécurité quittent la traque pour le jugement
Dernière conséquence, sans doute la plus sous-estimée : les carrières changent. Selon Forrester, « les nouvelles compétences critiques relèvent du jugement : valider les résultats produits par l’IA, tester en conditions adverses les correctifs générés par l’IA avant leur déploiement, et prendre des décisions engageant la responsabilité de l’entreprise sous forte pression temporelle. Les universités, les organismes de certification et de nombreuses plateformes de formation en cybersécurité forment encore des chercheurs de failles, pas des décideurs. »
Les compétences de découverte de vulnérabilités et de rétro-ingénierie de logiciels malveillants ne seront plus des compétences recherchées quand l’IA révèlera des milliers de failles, de façon autonome. Le nouveau profil critique se concentre sur l’expertise métier appliquée comme raisonnement structuré sous pression.
Pour les DSI et les RSSI, une conclusion s’impose : il va falloir reconvertir leurs équipes et vite ! vers ce profil constitueront correctement la prochaine génération d’équipes de sécurité opérationnelle.
Dans son analyse des conséquences de Mythos Preview, IBM formule de son côté le pendant opérationnel de cette mutation avec une phrase qui devrait hanter plus d’un comité de sécurité : « si les attaquants ne sont plus humains, les défenseurs ne peuvent plus l’être non plus ; c’est de la vitesse machine contre de la vitesse machine ». Inutile cependant de tomber dans le catastrophisme : nous ne sommes pas forcément dans « une ère entièrement nouvelle » au sens où les cadres d’évaluation existants restent encore exploitables.
Et maintenant ?
Oui, bien sûr qu’il y a beaucoup de comm’ derrière Mythos. Mais l’erreur serait de s’arrêter aux habituels travers du marketing américain. Il faut savoir voir au-delà. Et Mythos Preview nous apprend une chose fondamentale : la cybersécurité de demain se gagnera moins sur la détection que sur l’orchestration de la correction, la qualité des dépendances, la traçabilité des arbitrages et la maîtrise des actifs legacy. Ces sujets ne sont pas nouveaux. Mais leur ampleur et leur priorité changent.
Le vrai danger aujourd’hui, c’est cette phase de transition entre la cybersécurité pré-Mythos et la cyber-résilience post-Mythos. Une phase pendant laquelle les attaquants pourraient prendre un avantage significatif pendant que l’écosystème technologique digère l’impact de l’arrivée du modèle d’Anthropic.
La vraie leçon ? Prendre du retard n’est pas une option. Il faut aller vite. Il faut un projet « Glasswing » dans chaque entreprise afin d’anticiper les conséquences ainsi exposées par Forrester. Aux DSI et RSSI de s’en préoccuper, dès aujourd’hui… Vous êtes avertis…
À LIRE AUSSI :
À LIRE AUSSI :
