Mythos rebat les cartes du cyber Pourquoi DORA devient votre meilleur allié
Le modèle Mythos d'Anthropic découvre et exploite des vulnérabilités à une vitesse inédite. La BCE a convoqué 300 acteurs bancaires en urgence. DORA, longtemps perçu comme contraignant, prend aujourd'hui tout son sens.
Ce qu'il faut retenir
Le 7 avril 2026, Anthropic dévoile Claude Mythos, un modèle capable de découvrir et d'exploiter des vulnérabilités informatiques de manière autonome, en quelques heures, pour quelques dizaines de dollars. Le 26 mai 2026, la Banque centrale européenne convoque en urgence plus de 300 acteurs bancaires européens. Frank Elderson, vice-président de la supervision bancaire, parle d'une situation urgente et précise que les correctifs logiciels peuvent désormais être rétro-ingéniés en 30 minutes. Dans ce contexte, le Règlement DORA (Digital Operational Resilience Act), entré en application le 17 janvier 2025, n'est plus une charge réglementaire. C'est une feuille de route opérationnelle qui devient critique pour les banques, assurances et mutuelles.
Que s'est-il passé en avril et mai 2026 ?
Le 7 avril 2026, Anthropic annonce le modèle Claude Mythos Preview. Les chiffres rapportés par l'entreprise et par les premiers tests indépendants donnent le vertige. Le modèle identifie et exploite des vulnérabilités zero-day sur les principaux systèmes d'exploitation et navigateurs. Il a trouvé un bug vieux de 27 ans dans OpenBSD, l'un des systèmes les plus rigoureux en matière de sécurité. Sur dix cibles intégralement patchées, Mythos a obtenu un détournement complet du flot de contrôle. Les modèles précédents n'y arrivaient jamais.
Plus inquiétant pour les défenseurs : Mythos transforme des correctifs en armes. Un patch publié pour combler une faille peut être analysé par le modèle et retransformé en exploit en quelques minutes. Frank Elderson parle de 30 minutes pour obtenir un exploit opérationnel à partir d'un patch.
Anthropic a refusé de rendre Mythos public. L'entreprise a lancé Project Glasswing, un consortium réunissant une quarantaine d'organisations triées sur le volet : AWS, Apple, Microsoft, Google, JPMorgan Chase, CrowdStrike, Palo Alto Networks. Aucune banque européenne, aucune mutuelle, aucune assurance française n'y figure publiquement.
Le 26 mai 2026, la BCE réagit. Frank Elderson, vice-président du Conseil de surveillance prudentielle, réunit plus de 300 participants en ligne. Sa formule reste dans les esprits : "L'absence d'accès ne constitue pas une excuse pour l'inaction."
Pourquoi cette nouvelle donne change la posture cyber
Avant Mythos, un attaquant sophistiqué avait besoin de plusieurs semaines pour préparer une attaque ciblée. Il fallait identifier les vulnérabilités, développer les exploits, tester les chaînes d'attaque, contourner les défenses. La fenêtre temporelle entre la publication d'un patch et son exploitation laissait aux équipes IT le temps de déployer.
Avec Mythos, cette fenêtre s'effondre. Les correctifs deviennent des sources d'information pour les attaquants. La cadence de patching, hier acceptable à plusieurs semaines ou mois selon la criticité, devient un facteur de risque majeur. Le rapport britannique du Centre for Emerging Technology and Security parle de la nécessité de patcher à la vitesse machine.
Le cyberassauteur a longtemps été un humain sophistiqué, rare, coûteux. Il devient un agent autonome, démultiplié, accessible. Cette transformation ne concerne pas que les grandes banques systémiques. Elle touche chaque organisation qui repose sur des systèmes informatiques pour servir ses clients.
| Avant Mythos | Après Mythos |
|---|---|
| Préparation d'une attaque ciblée : plusieurs semaines | Préparation d'une attaque ciblée : quelques heures |
| Coût d'une attaque sophistiquée : élevé (équipes spécialisées) | Coût d'une attaque sophistiquée : dizaines de dollars |
| Patch déployé sous 30 jours : acceptable | Patch déployé sous 30 jours : exposition critique |
| Acteurs capables : États-nations, groupes APT | Acteurs capables : toute organisation avec accès à un modèle équivalent |
| Surface d'attaque humaine (phishing, ingénierie sociale) | Surface d'attaque technique (zero-days, chaînes d'exploits) |
Pourquoi DORA prend tout son sens face à Mythos
Le Règlement DORA (Digital Operational Resilience Act) est entré en application le 17 janvier 2025. Il impose aux entités financières de l'Union européenne, banques, assurances, mutuelles, fonds, prestataires de services d'investissement, de structurer leur résilience opérationnelle face aux risques liés aux Technologies de l'Information et de la Communication (TIC).
Au moment de son adoption, beaucoup ont vu DORA comme une nouvelle couche réglementaire pesante. Encore des audits, encore des documents, encore des comités. Aujourd'hui, dans le contexte Mythos, chacune des exigences de DORA prend une dimension opérationnelle nouvelle.
Article 6 : un cadre de gestion des risques TIC documenté
DORA impose un cadre complet de gestion des risques liés aux TIC. Cartographie des systèmes, identification des actifs critiques, analyse des dépendances. Avant Mythos, cette cartographie était un exercice de conformité. Avec Mythos, elle devient la base de la défense : on ne peut prioriser les correctifs qu'à condition de savoir précisément ce que l'on défend.
Article 8 : la cartographie des fonctions critiques
Identifier les fonctions critiques et leurs dépendances n'est plus un exercice théorique. C'est la condition pour déployer des moyens défensifs là où ils comptent vraiment. Une mutuelle qui ne sait pas quels systèmes portent ses fonctions critiques ne peut pas se défendre à la vitesse exigée par la nouvelle menace.
Article 9 : la gestion des vulnérabilités
DORA exige un processus de gestion des vulnérabilités structuré, incluant la veille, l'évaluation, le traitement et la documentation. Cet article, parfois traité de manière minimale, devient le cœur du dispositif. Patcher vite, patcher juste, patcher partout, c'est la traduction opérationnelle directe de l'Article 9.
Article 11 : la continuité TIC
L'Article 11 impose des politiques et des plans de continuité TIC documentés, testés, maintenus. Quand un attaquant peut compromettre des systèmes à la vitesse de la machine, la capacité à basculer rapidement vers des environnements de secours, à isoler des segments compromis, à maintenir les services essentiels sous attaque devient stratégique. C'est exactement ce que DORA encadre.
Articles 24 et 25 : les tests de résilience
DORA impose un programme de tests de résilience opérationnelle, dont les fameux Threat-Led Penetration Testing (TLPT) pour les entités financières significatives, basés sur le framework TIBER-EU. Ces tests, conçus pour reproduire des scénarios d'attaque avancée, prennent un sens renforcé dans l'ère Mythos. Tester sa résilience contre des scénarios IA-augmentés n'est plus optionnel.
Article 28 : la surveillance des prestataires TIC tiers
Aucune entité financière ne défend ses systèmes seule. Elle dépend d'éditeurs de logiciels, de prestataires cloud, d'intégrateurs. L'Article 28 impose une surveillance contractuelle des prestataires TIC critiques. Dans un monde Mythos, ces prestataires deviennent des vecteurs d'exposition autant que des partenaires. Exiger d'eux des engagements précis sur leur propre cycle de patching et leur réponse à incident n'est plus négociable.
Le terrain : ce que j'observe dans les mutuelles que j'accompagne
Une mutuelle de taille moyenne soumise à DORA, environ 200 collaborateurs, que j'accompagne depuis l'an dernier, a vu son rapport à la réglementation changer en quelques mois.
Quand nous avons lancé le projet en 2025, l'objectif principal était la mise en conformité. Documenter le cadre de gestion des risques TIC, formaliser le registre des prestataires critiques, mettre à jour le PCA et les plans de continuité TIC. La direction générale percevait DORA comme une contrainte parmi d'autres, à traiter pour rester en règle vis-à-vis de l'ACPR.
Depuis l'annonce Mythos et la réunion BCE du 26 mai, le ton a changé. La direction veut savoir où en sont les patchs sur les systèmes critiques. Le RSSI a été invité à présenter sa cadence de déploiement à un comité de direction qui auparavant n'aurait pas posé la question. Le programme de tests de résilience prévu pour 2026 a été enrichi d'un scénario IA-augmenté.
Concrètement, ce que cette mutuelle avait construit pour DORA devient la base de sa réponse à Mythos. La cartographie des actifs critiques permet de prioriser les correctifs. Le registre des prestataires permet d'exiger de chacun des engagements actualisés. Le PCA TIC, testé en novembre 2025, sera retesté avec un scénario où l'attaquant exploite plusieurs failles simultanément, ce que les exercices classiques ne couvraient pas. J'ai détaillé la méthodologie complète dans mon article dédié à DORA pour les mutuelles.
Concrètement, par où commencer aujourd'hui ?
La BCE résume la situation en une formule : il n'y a plus d'excuse pour l'inaction. Mais l'action efficace nécessite une séquence. Voici la priorisation que j'applique dans mes missions actuelles.
| Priorité | Action | Article DORA concerné |
|---|---|---|
| 1 | Cartographier précisément les actifs et fonctions critiques | Articles 6 et 8 |
| 2 | Auditer le cycle de gestion des vulnérabilités (détection, évaluation, déploiement) | Article 9 |
| 3 | Réduire la fenêtre de patching sur les systèmes exposés à internet | Article 9 |
| 4 | Mettre à jour le PCA TIC et tester avec scénarios IA-augmentés | Article 11 |
| 5 | Réviser le registre des prestataires critiques et leurs engagements contractuels | Article 28 |
| 6 | Programmer un test de résilience type TLPT enrichi | Articles 24 et 25 |
| 7 | Documenter et remonter à la direction la posture cyber globale | Articles 5 et 17 |
Si vous êtes une banque, une assurance ou une mutuelle soumise à DORA, vous avez probablement engagé la plupart de ces chantiers. La question n'est plus de savoir si vous le faites, mais à quelle vitesse vous itérez. Ce que la BCE a dit le 26 mai, c'est que les rythmes hérités ne suffisent plus. Mon accompagnement PCA intègre désormais systématiquement cette dimension dans la conception des dispositifs et des exercices.
Ce que les exercices de crise doivent intégrer maintenant
La majorité des exercices cyber que j'anime depuis 5 ans suivent un schéma classique. Phishing initial, prise de pied dans le SI, élévation de privilèges, déploiement de ransomware ou exfiltration de données. Ce scénario reste valide. Il ne suffit plus.
Un scénario Mythos-augmenté change la temporalité et la simultanéité. L'attaquant ne se déplace pas pas à pas dans le SI. Il exploite plusieurs vulnérabilités en parallèle. Il compromet plusieurs prestataires en même temps. Il transforme un patch publié dans la matinée en exploit déployé l'après-midi. La cellule de crise doit décider sans information complète, sous une pression médiatique amplifiée et sans pouvoir s'appuyer sur les cycles habituels d'investigation.
Tester ce type de scénario nécessite un dispositif adapté. Mes simulations de crise immersives avec la plateforme Y Crisis permettent de reproduire ces conditions : réseaux sociaux qui s'enflamment, médias qui sollicitent, prestataires qui appellent, autorités qui exigent des comptes. C'est dans ce contexte que les organisations découvrent ce qui tient et ce qui craque.
Questions fréquentes sur DORA et Mythos
Les mutuelles sont-elles concernées par DORA face à Mythos ?
Oui. DORA s'applique aux mutuelles depuis le 17 janvier 2025, au même titre que les banques et assurances. La taille de la mutuelle ne change pas l'obligation, même si les modalités d'application sont proportionnées. L'arrivée de Mythos ne crée pas de nouvelles obligations réglementaires immédiates, mais elle rend les obligations existantes plus critiques à respecter.
Faut-il attendre des consignes officielles de la BCE ou de l'ACPR avant d'agir ?
Non. Frank Elderson l'a dit explicitement le 26 mai 2026 : l'absence d'accès au modèle Mythos n'est pas une excuse pour l'inaction. Les entités financières doivent accélérer dès maintenant sur les chantiers déjà ouverts par DORA. Des consignes plus précises arriveront probablement, mais elles préciseront un cadre, elles ne l'inventeront pas.
Mon organisation n'est pas soumise à DORA. Suis-je concerné ?
Indirectement, oui. Si votre organisation est prestataire d'une entité financière (éditeur de logiciel, fournisseur cloud, intégrateur), vous êtes concerné par l'Article 28 via vos clients. Plus largement, les principes de DORA constituent aujourd'hui un standard de fait pour structurer la résilience opérationnelle face à des menaces accélérées par l'IA. NIS 2, qui s'applique à un périmètre beaucoup plus large, impose des obligations similaires.
Les exercices de crise classiques sont-ils devenus obsolètes ?
Non, ils restent essentiels. Mais ils doivent intégrer de nouveaux scénarios. Une cellule de crise qui n'a jamais simulé une attaque multi-vecteurs à temporalité courte sera prise au dépourvu si elle survient. Enrichir le programme d'exercices avec des scénarios IA-augmentés est aujourd'hui une priorité, pas une option.
Comment expliquer la situation à mon COMEX ?
Trois phrases suffisent. Un modèle d'IA accessible à un nombre restreint d'acteurs peut désormais transformer des correctifs logiciels publics en exploits opérationnels en 30 minutes. La BCE a convoqué 300 acteurs bancaires européens en urgence pour traiter ce risque. Notre dispositif DORA est la colonne vertébrale de notre réponse, à condition d'accélérer son exécution.
Passez à l'action
DORA n'était déjà pas une option pour les entités financières. Avec Mythos, c'est devenu une boussole opérationnelle. La bonne nouvelle, c'est que les organisations qui ont structuré leur démarche DORA disposent déjà des leviers essentiels. La question n'est plus de tout reconstruire, mais d'accélérer et de tester contre les nouveaux scénarios.
Si vous voulez faire le point sur la maturité de votre dispositif DORA dans le contexte Mythos, ou structurer un exercice de crise intégrant ces nouveaux scénarios, réservez un créneau de 30 minutes via Calendly. On fait le point ensemble, sans engagement.
Sources et références
Anthropic gives major tech firms access to Claude Mythos via Project Glasswing (Fortune, 7 avril 2026)
Claude Mythos: What Does Anthropic's New Model Mean for the Future of Cybersecurity? (Centre for Emerging Technology and Security, Alan Turing Institute)
Claude Mythos : les banques convoquées en urgence par la BCE (CoinAcademy, mai 2026)
Cybersécurité : la BCE s'inquiète de Mythos et convoque les banques européennes (Next, mai 2026)
Test de résistance sur la cyberrésilience des banques (Banque centrale européenne, juillet 2024)
Vous avez trouvé cet article utile ?
À lire également
Culture de résilience : pourquoi le PCA ne suffit pas
Un PCA bien documenté ne suffit pas à garantir la résilience. Découvrez les 5 leviers pour ancrer une culture de continuité d'activité dans votre organisation.
DORA & PCA : ce que les mutuelles doivent mettre en place
DORA, en vigueur depuis janvier 2025 : ce que les mutuelles doivent concrètement mettre en place pour leur PCA et leur continuité d'activité.
Norme ISO 22301 : guide certification
Résumé : La norme ISO 22301 certifie votre Système de Management de la Continuité d'Activité (SMCA). Elle repose sur le cycle PDCA : Planifier, Déployer, Contrôler, Agir. Contrairement aux idées reçues, elle n'exige pas la perfection mais une démarche d'amélioration continue. La certification prouve à vos clients et partenaires que votre organisation peut maintenir ses services même en situation de crise.
Crise de Cuba : 3 leçons de gestion de crise
Octobre 1962 : Kennedy dispose de 13 jours pour éviter la guerre nucléaire. Trois leçons de gestion de crise toujours applicables en entreprise.
Besoin d'accompagnement ?
Découvrez nos offres dédiées à la mise en place d'un PCA, à l'accompagnement ISO 22301 ou aux exercices de crise immersifs. Pour en savoir plus sur ma démarche, consultez la page À propos.