Le Campus Cyber publie une note d’analyse sur les implications concrètes des dernières avancées des grands modèles d’IA pour la cybersécurité en France et en Europe. Le constat est préoccupant, les recommandations sont urgentes.
Deux semaines de consultations informelles, une dizaine de profils mobilisés — DSI, RSSI, experts en threat intelligence, spécialistes de la gestion de crise, pentesters, auditeurs, éditeurs de logiciels — et un document qui tranche avec la plupart des analyses produites depuis le lancement médiatisé du modèle Mythos d’Anthropic début avril. Le Campus Cyber ne cherche ni à amplifier la panique, ni à minimiser ce qui ressemble de plus en plus à un tournant structurel pour la filière.
La note l’affirme d’emblée : Mythos n’est pas une anomalie. C’est un point supplémentaire sur une courbe de progression exponentielle que les praticiens observaient depuis plusieurs années sans encore en mesurer pleinement les implications opérationnelles.
Ce que Mythos révèle plutôt que ce qu’il est
La note invite à ne pas se focaliser sur le modèle lui-même, mais sur ce qu’il dit de la trajectoire générale. “Il faut appréhender Mythos moins comme une rupture technique que comme le dernier signal en date d’une accélération très forte des modèles.”
Trois certitudes se dégagent. La progression des grands modèles en cybersécurité ne montre aucun signe d’essoufflement. La nouveauté introduite par Mythos tient moins à ses capacités individuelles qu’à leur combinaison : détection de vulnérabilités, exploitation, raisonnement, chaînage d’informations pour reconstruire un chemin d’attaque, passage d’une logique de test ponctuel à une logique de découverte automatisée à grande échelle. OpenAI a sorti GPT 5.4 Cyber moins de deux semaines après l’annonce de Mythos, suivi début mai de la version 5.5.
La probabilité d’un scénario de vague massive de vulnérabilités a sensiblement augmenté. Ce scénario se caractériserait par l’arrivée en libre accès, à très court terme, d’un ou plusieurs modèles capables de déclencher une campagne mondiale de détection de failles dans des millions de systèmes d’information, y compris des infrastructures critiques, sans offrir simultanément les correctifs correspondants. Des modèles open source d’origine chinoise équivalents pourraient être disponibles d’ici à la fin de 2026, selon les estimations citées dans la note.
Enfin, l’IA va s’imposer comme variable centrale de la cybersécurité. “Il s’agit d’une rupture complète, encore plus immédiate et prégnante que celle provoquée par le quantique.”
Un stress opérationnel déjà visible
Avant même toute commercialisation du modèle, les équipes cyber sont sous pression. DSI et RSSI font face à des sollicitations multiples pour apporter des réponses que, souvent, ils n’ont pas encore. Le Campus Cyber décrit cet état comme une pré-crise : “une vraie-fausse crise larvée, immédiate et différée à la fois”, avec les caractéristiques de la gestion de crise sans la réalité opérationnelle immédiate qui la justifierait pleinement.
Ce que les organisations doivent faire maintenant
La note formule des recommandations concrètes à mettre en oeuvre dans un horizon d’un mois : mettre à jour la cartographie des actifs critiques et des dépendances logicielles ; simuler une vague massive de zero-days pour tester la capacité des processus de patching à absorber un volume hors norme ; durcir l’architecture réseau ; se doter d’un plan de défense augmentée par l’IA en privilégiant des solutions européennes ou open source et en maintenant systématiquement une supervision humaine.
La note insiste sur un point souvent sous-estimé : ETI, PME et TPE, intégrées dans les chaînes de valeur des grands groupes, sont exposées au même titre. Ces derniers auront un rôle à jouer pour embarquer leurs fournisseurs critiques dans une logique de sécurisation par filière.
La question de la souveraineté, posée frontalement
Les entreprises européennes dépendent déjà à plus de 70 % de solutions cyber non européennes, selon une étude réalisée en décembre 2025 pour le Parlement européen. La domination américaine dans l’IA risque d’aggraver cette dépendance de manière structurelle. “La tenaille sera alors absolue, faute d’alternative européenne capable d’apporter aujourd’hui un niveau de performance comparable à Anthropic, Google, OpenAI ou Microsoft dans le domaine de la cybersécurité.”
La note préconise trois leviers indissociables : renforcer la capacité française et européenne d’anticipation sur les risques liés aux modèles de frontière ; positionner offensivement les acteurs européens de l’IA les plus avancés, Mistral AI en tête, sur les cas d’usage cyber en construisant un espace européen unifié de données pour l’entraînement des modèles ; appliquer pleinement l’IA Act et le Cyber Resilience Act, jusqu’à restreindre si nécessaire la commercialisation de modèles ne répondant pas aux exigences les plus élevées de transparence et d’interprétabilité.
Elle appelle également à la création d’un banc d’essai européen IA-Cyber indépendant, associant l’ANSSI, l’ENISA, le JRC, l’ECCC, des laboratoires académiques et des opérateurs critiques volontaires. La formulation est sans détour : “comme nous ne tolèrerions pas que notre chaîne de dissuasion nucléaire soit dépendante de tiers, nous n’avons pas davantage de raison d’accepter que notre bouclier cyber soit externalisé.”
La note sera complétée dans les prochains mois par des travaux de prospective sur l’avenir du marché de la cybersécurité à horizon 2030, intégrant les impacts de l’IA sur le paysage industriel, les métiers, les formations et l’architecture de résilience des organisations.
