Dans un rapport d’analyse, le Campus Cyber passe en revue les conséquences de Mythos d’Anthropic et des modèles similaires pour l’écosystème. Pression accrue sur les équipes de sécurité et risques systémiques sont à prévoir.
Rarement un modèle n’a soulevé autant d’enthousiasme que de crainte. Avec son LLM Mythos annoncé en mars dernier dans le cadre du projet Glasswing, Anthropic risque bien de bouleverser le marché de la cybersécurité. Les premières analyses sur le sujet mettent d’ailleurs en lumière des lacunes dans la gestion des vulnérabilités et la réduction des délais d’exploitation à même de chambouler le quotidien des RSSI. Cette fois c’est au tour du Campus Cyber de se pencher sur Mythos – et plus globalement les modèles similaires – et les implications qui en découlent pour la cybersécurité en France et en Europe.
« S’il est important de ne pas céder à l’angoisse déclenchée par Mythos, il est essentiel de ne pas non plus sous-estimer la trajectoire de l’IA », indique l’organisme dans un rapport, envoyé à la presse, auquel ont participé DSI, RSSI, spécialistes IA en cybersécurité, gestion de crise, pentesting, audit et conseil… « Mythos cristallise et précipite plusieurs évolutions préoccupantes en créant notamment un risque systémique pour tous les systèmes de cyberdéfense », prévient le Campus Cyber. Ce dernier prend d’ailleurs acte d’un « changement irréversible tant au niveau de la sécurité des systèmes d’information que du paysage industriel de la cybersécurité en Europe. »
Des garde-fous IA perfectibles
Selon ces experts, les garde-fous de sécurité des modèles IA restent cependant largement perfectibles et l’apparition de comportements de contournement ou de dissimulation n’est pas à exclure. « Cela renforce l’idée que nous ne pouvons pas considérer les LLM, y compris ceux présentés comme défensifs, comme naturellement fiables », prévient l’organisme. « A cela s’ajoute la problématique de la fiabilité des données d’entraînement : en cybersécurité, les données massives issues d’Internet ne peuvent fournir un niveau de garantie de sécurité suffisant car toute vulnérabilité intrinsèque ou backdoor peut devenir un chemin d’attaque potentiel. »
Autre revers de la médaille concernant Mythos, un risque de générer des tensions supplémentaires sur toute la chaine de cyberdéfense, y compris les femmes et les hommes qui en ont la charge. Le Campus Cyber note ainsi que depuis l’annonce de ce LLM, responsables IT et sécurité sont sursollicités de demandes en tous genres sans être pour autant capables d’y répondre. « Ils font face à de multiples sollicitations en interne, par leur gouvernance, parfois au niveau des comités exécutifs, et en externe par les médias, pour apporter des éclairages sur des questions auxquelles ils n’ont bien souvent pas de réponse définitive. »
Une situation inédite à affronter
Dans ce contexte, DSI et RSSI hésiteraient cependant « à réallouer de la bande passante à un problème qui n’a pas encore une forte réalité opérationnelle. » Mais cela ne devrait pas les empêcher de prendre les devants, loin de là. « L’incertitude et les doutes qui entourent Mythos ne doivent en aucun cas servir de prétexte à un quelconque immobilisme ou à une sous-estimation des risques liés à l’IA », prévient le Campus Cyber. « Les organisations humaines pèchent bien souvent par myopie, par inertie et par excès de conservatisme. L’épisode Mythos plaide au contraire pour une approche intégrant des scénarios extrêmes. » Reste à savoir si les équipes IT et cybersécurité auront les reins – et surtout les ressources – assez solides pour supporter ce qui s’apparente à l’épreuve la plus inédite de toute leur carrière.