L’agence européenne de cybersécurité ENISA va rejoindre le Project Glasswing d’Anthropic — un accès au modèle d’IA Mythos Preview jusqu’ici réservé aux grandes entreprises américaines et aux agences fédérales. Une concession arrachée de haute lutte, qui ne règle pas la question de fond : qui contrôle les outils qui sécurisent les infrastructures critiques du continent ?
Depuis le lancement du Project Glasswing en avril, le fabricant américain d’IA avait constitué un cercle très fermé autour de Claude Mythos Preview : des agences fédérales, les plus grandes banques et entreprises technologiques américaines (AWS, Apple, Microsoft, Google, Cisco, CrowdStrike, Nvidia, JPMorganChase, Palo Alto Networks), et, hors des États-Unis, le seul AI Security Institute britannique. Les institutions européennes regardaient de loin.
Le week-end du 31 mai, Anthropic a communiqué à la Commission européenne sa décision : l’ENISA intégrera le programme, rapporte Bloomberg. Le porte-parole de la Commission pour la souveraineté technologique, Thomas Regnier, a confirmé dans un échange avec dark reading : “Je peux confirmer que la Commission a eu plusieurs réunions productives avec Anthropic. Nous saluons ces derniers développements concernant un accès futur potentiel.” La porte-parole de l’ENISA, Laura Heuvinck, a été plus prudente : “Ils nous ont invités à avoir accès et nous examinons la façon dont cet accès potentiel fonctionnerait — les conditions, etc.”
L’accès n’est donc pas encore effectif. Les modalités, périmètre d’utilisation, conditions de réciprocité, droits de regard d’Anthropic sur les systèmes européens en contrepartie, restent à négocier. Ce distinguo a son importance : rejoindre Glasswing, c’est participer à un programme de recherche défensive sous contrôle strict d’Anthropic, pas disposer librement d’un outil d’audit surpuissant.
Deux mois de pression croissante
En mai, la vice-présidente exécutive de la Commission, Henna Virkkunen, avait publiquement reconnu que les organisations européennes devraient “se contenter des outils cyber avancés déjà disponibles” pour scanner leurs systèmes. Dans le même temps, la Banque centrale européenne avait convoqué les banques de la zone euro après avoir appris que Mythos avait détecté des vulnérabilités dans des logiciels financiers largement déployés sur le continent, alimentant une pression supplémentaire sur la Commission.
Des responsables de la Commission se sont rendus à San Francisco à la fin du mois de mai pour négocier directement avec les dirigeants d’Anthropic, selon Bloomberg. La décision a suivi le week-end. Élément de contexte non négligeable : mi-mai, OpenAI avait annoncé accorder à la Commission un accès à son propre modèle GPT-5.5-Cyber, aux capacités jugées comparables par l’AI Security Institute britannique — un signal que la concurrence entre les deux acteurs américains jouait, aussi, en faveur de Bruxelles, relève BankInfoSecurity.
Une première qui ne clôt pas le dossier
L’ENISA sera la première institution européenne à accéder à Mythos Preview, dont les résultats sont vertigineux. Depuis son lancement, le modèle a identifié plus de 10 000 vulnérabilités critiques ou de haute sévérité, selon la mise à jour d’Anthropic publiée le 26 mai — dont une faille vieille de 27 ans dans OpenBSD et une autre dans FFmpeg non détectée après cinq millions de passages d’outils automatisés. Sur le benchmark CyberGym, Mythos Preview atteint 83,1 % de reproduction de vulnérabilités contre 66,6 % pour le meilleur modèle public d’Anthropic. Parmi les vulnérabilités vérifiées par les partenaires du programme, 90,6 % se sont révélées être de vraies failles.
