Mythos Preview : quand l'IA dépasse les politiques de sécurité
Une progression qui bouscule les repères établis
Un mois. C'est le temps qu'il a fallu à Mythos Preview, le dernier modèle d'Anthropic, pour dépasser ses propres performances initiales et surclasser GPT-5.5 d'OpenAI sur les tests cyber conduits par l'AISI britannique - l'AI Safety Institute du Royaume-Uni. Une vitesse d'amélioration que plusieurs experts en sécurité qualifient ouvertement d'alarmante, selon les informations relayées par ZDNet France (zdnet.fr/actualites/lia-danthropic-progresse-a-une-vitesse-alarmante-selon-les-experts-en-securite-495073.htm).
Ce qui frappe ici, ce n'est pas tant le résultat final - un modèle qui surpasse un concurrent - que la vélocité du phénomène. Les cycles d'amélioration des grands modèles de langage se comptaient autrefois en trimestres, voire en années. On parle désormais de semaines.
La rapidité avec laquelle les capacités offensives potentielles de ces modèles s'améliorent est sans précédent - experts en sécurité cités par l'AISI
Pour les équipes de sécurité informatique, ce rythme pose un problème fondamental : les politiques internes, les audits de conformité et les cadres de gouvernance ne peuvent tout simplement pas suivre une cadence aussi soutenue.
Le vrai défi pour les décideurs tech : gouverner ce qu'on ne peut pas anticiper
La question stratégique posée par la progression de Mythos Preview n'est pas uniquement technique. Elle est organisationnelle et politique au sens large du terme. Comment intégrer dans un système d'information des modèles dont les capacités évoluent plus vite que les cycles de révision des politiques de sécurité ?
Trois tensions majeures à gérer
- La tension entre adoption et maîtrise : les équipes métier veulent accéder aux dernières versions pour rester compétitives, tandis que les RSSI ont besoin de temps pour évaluer les risques de chaque mise à jour.
- La tension entre performance et traçabilité : un modèle plus performant sur les benchmarks cyber peut aussi être plus efficace pour générer du code malveillant ou identifier des vulnérabilités - les deux faces d'une même capacité.
- La tension entre confiance et vérification : s'appuyer sur les évaluations de l'AISI est utile, mais ces tests restent des instantanés. Le modèle déployé en production aujourd'hui n'est peut-être déjà plus celui qui a été évalué.
| Critère | Approche traditionnelle | Approche adaptée à l'IA rapide |
|---|---|---|
| Cycle d'audit | Annuel ou semestriel | Continu, piloté par les mises à jour |
| Politique d'accès | Statique, par rôle | Dynamique, par niveau de risque évalué |
| Référentiel de risque | Basé sur des versions figées | Basé sur des capacités observées en temps réel |
| Responsabilité | Centralisée (RSSI) | Distribuée avec des garde-fous automatisés |
La réponse la plus pragmatique pour les décideurs consiste à découpler la gouvernance du modèle de la gouvernance de l'usage. Autrement dit : plutôt que de tenter de contrôler chaque version d'un modèle, définir des enveloppes d'usage strictes - ce que le modèle est autorisé à faire, dans quel contexte, avec quelles données - et surveiller les écarts en continu.
C'est un changement de paradigme important. La sécurité ne se joue plus à l'entrée, lors de la validation initiale d'un outil, mais tout au long de son cycle de vie, à chaque itération du modèle sous-jacent.
Besoin d'accompagnement en IA ?
Nos experts vous aident à identifier et déployer les solutions d'intelligence artificielle adaptées à votre entreprise.
Consultation stratégique offerte
