Introduction : Mythos ! panique réelle ou réaction disproportionnée ?
Le 13 avril dernier, l’institut Britannique de recherche et d’évaluation des risques liés à l’utilisation de l’intelligence artificielle, l’AISI, a publié un article de blogue sur les capacités offensives en cybersécurité de Claude Mythos. [Our evaluation of Claude Mythos Preview’s cyber capabilities]
Ils ont durant leurs tests démontré que Mythos, est le premier modèle d’IA à compléter entièrement une simulation d’attaque de la reconnaissance initiale jusqu’à la compromission complète du réseau.
Même si à première vue cela semble être assez critique, ils ont quand même nuancé le résultat, en indiquant que les environnements de test étaient beaucoup plus simples que les réseaux d’entreprise habituellement utilisés.
L’efficacité de Mythos est finalement proportionnelle au niveau de maturité de la sécurité du réseau sous attaque.
Cette nuance signifie que Mythos, face à une organisation mature, bien défendue avec des contrôles efficaces n’aura probablement pas la capacité d’effectuer une attaque d’envergure menant à une compromission réussie.
Malgrès cette nuance, une partie de la communauté de la cybersécurité est partie en peur et certaines organisations sont en pleine effervescence sur cet outil et ses capacités offensives.
Personnellement, j’ai l’intime conviction que les réactions sont disproportionnées car l’IA ne crée pas de nouvelles vulnérabilités, elle expose les vulnérabilités existantes.
L’efficacité de Mythos
Mythos est potentiellement efficace s’il attaque:
- Des réseaux peu protégés
- Des environnements vulnérables
- Des infrastructures où l’attaquant possède déjà un accès initial
Comment se protéger face à Mythos
les véritables intrusions ne demandent aucune IA sophistiquée. Elles exploitent des failles historiques que les organisations traînent depuis longtemps.
Dans ce contexte, il est primordial de traiter la cause racine qui est la dette technologique et l’absence d’hygiène numérique élémentaire. (Utilisation de protocoles non sécuritaire, flux en transit non chiffrés, absence de MFA, absence de processus etc.)
De plus, l’apparition d’outils ayant les mêmes capacités que Mythos va arriver rapidement incluant sûrement des solutions open source qui seront accessibles au grand public. La facilité d’accès aux outils de type Mythos va augmenter leur utilisation et les tentatives.
Quel processus pour réduire la surface d’attaque ?
La bonne réponse à la menace d’outils tels que Mythos, est de fermer la fenêtre d’exploitation des vulnérabilités exposées. Ceci est possible si vous avez un processus bien défini concernant la gestion des vulnérabilités.
En juin 2018, j’avais justement rédigé un article sur le blogue d’un de mes partenaires d’affaires de l’époque. [L’importance de la gestion des vulnérabilités et comment établir un processus bien défini. ] Cet article reste pertinent même si l’approche de la gestion des vulnérabilités a évolué depuis sa rédaction.
En effet, il est maintenant recommandé en 2026 d’avoir un Vulnerability Operations Center (VOC), qui est un centre opérationnel dédié à la gestion continue du cycle de vie des vulnérabilités. Il est complémentaire au Security Operations Center (SOC).
Conclusion
Les capacités offensives de l’IA en cybersécurité méritent d’être prises au sérieux. Mais l’histoire autour de Mythos, mérite d’être questionnée.
Lorsque la menace est amplifiée par ceux qui commercialisent la solution, on n’est plus dans l’alerte, on est dans le marketing de la peur !
Faites aussi attention avec les recommandations de sécurité, en provenance de certaines personnes parfois qui vous expliquent que la probabilité d’une exploitation d’une vulnérabilité est faible, alors que l’hygiène numérique élémentaire est absente.
Finalement, retenez ceci, en cybersécurité comme ailleurs, une recommandation sans expertise est une vulnérabilité !
Vollenberg Inc. est en mesure de vous aider à développer un VOC, une gouvernance de l’IA efficace et réussir la transformation numérique de votre entreprise.
Commentaires et Discussion
Partagez et discutez
💬 Je suis Yannick Vollenberg , si vous souhaitez participer à la discussion sur les réseaux sociaux. C'est le meilleur moyen de me faire part de vos commentaires et de partager l'article.