La BCE somme les banques de corriger les failles révélées par l'IA Claude Mythos d'Anthropic

La réponse en trois axes de la BCE

Le 26 mai 2026, la BCE a organisé une réunion exceptionnelle avec les banques pour affronter les risques de cybersécurité révélés par Claude Mythos Preview et d’autres modèles d’IA comparables . À Francfort, Frank Elderson, vice-président du conseil de surveillance prudentielle, a été on ne peut plus direct.

Corriger plus vite, sans excuses. Il a prévenu les banques que « le compte à rebours est lancé » et leur a enjoint d’« accélérer considérablement » leurs efforts pour sécuriser leurs systèmes informatiques en corrigeant les vulnérabilités mises au jour . Pour Elderson, ce chantier est urgent : il faut « réparer les failles qui ont été exposées » .

Partager l’information. Les banques européennes étant largement exclues du consortium restreint qui teste le modèle, la BCE a demandé aux banques américaines qui y ont accès de partager leurs analyses avec leurs consœurs européennes. Elderson a reconnu que la situation était « regrettable », tout en martelant que « l’absence d’accès au modèle n’est pas une excuse pour l’inaction » .

Rendre des comptes au superviseur. La BCE utilise son dialogue prudentiel régulier pour sonder méthodiquement les banques sur leur degré de préparation : exposition aux menaces, cadence de déploiement des correctifs, outils de défense mobilisés . La démarche s’inscrit dans une action réglementaire mondiale coordonnée, même si la BCE n’a pas émis de convocation aussi spectaculaire que celle du Trésor américain .

L’urgence est validée par des éléments concrets, pas seulement théoriques. L’institut britannique de sécurité en IA (AISI) a constaté que Mythos Preview réussissait 73 % des défis de type Capture the Flag de niveau expert — un seuil qu’aucun modèle d’IA n’avait franchi avant avril 2025. Mozilla a livré Firefox 150 avec 271 correctifs pour des vulnérabilités trouvées par le modèle .

Ce que Claude Mythos Preview a réellement trouvé

Ces vulnérabilités ne relèvent pas de la spéculation. Durant une période d’évaluation contrôlée, le modèle a identifié et produit de manière autonome des exploits fonctionnels pour des milliers de failles de haute sévérité :

• Une faille d’exécution de code à distance vieille de 17 ans dans le serveur NFS de FreeBSD, qui donne un accès root non authentifié à n’importe quel attaquant connecté à Internet .
• Une vulnérabilité de plantage dans OpenBSD, non détectée depuis 27 ans par les auditeurs humains .

La portée est systémique, et non limitée à un éditeur particulier. Tous les principaux systèmes d’exploitation et navigateurs sont concernés . Plus de 99 % des vulnérabilités découvertes n’ont pas encore été corrigées, ce qui laisse une surface d’attaque immense en évidence dans les infrastructures technologiques parfois vieillissantes du secteur financier .

La capacité d’exploitation du modèle va bien au-delà de la détection passive. Il a démontré de façon autonome des chemins d’exploitation pour des failles critiques dans des logiciels largement déployés, en confirmant ses découvertes par des preuves de concept fonctionnelles pendant la période d’évaluation .

Pourquoi l’Europe opère à l’aveugle

Le défi le plus aigu pour les institutions européennes ne tient pas seulement à l’existence des vulnérabilités, mais à l’asymétrie d’accès à l’outil qui les a découvertes. Anthropic a structuré la mise à disposition de Claude Mythos Preview à travers Project Glasswing, une préversion de recherche fermée dont l’accès est priorisé pour des cas d’usage défensifs en cybersécurité — mais réservé à un consortium majoritairement composé de partenaires technologiques américains, parmi lesquels AWS, Google Cloud et CrowdStrike .

Les banques, les régulateurs et les entreprises de cybersécurité européens sont majoritairement tenus à l’écart. Ils doivent remédier à des failles qu’ils ne peuvent ni sonder ni vérifier de manière indépendante avec la même capacité d’IA . Cette situation crée une asymétrie défensive : des attaquants qui auraient accès au modèle pourraient exploiter des vulnérabilités que les défenseurs en Europe peinent à analyser ou à reproduire.

Ce décalage réglementaire est particulièrement frustrant pour les décideurs politiques de l’Union européenne. La BCE et le Parlement européen réclament des réponses et des actions, mais ne disposent pas de l’accès technologique direct dont bénéficient les membres du consortium basé aux États-Unis, ce qui complique la supervision et l’évaluation indépendante des risques . L’Association des banques allemandes (Bundesverband deutscher Banken, BdB) a déclaré à S&P Global Market Intelligence être en « dialogue continu » avec les experts en cybersécurité de ses banques membres, le ministère fédéral des Finances, l’Autorité fédérale de supervision financière (BaFin), la Bundesbank et les institutions européennes et internationales — mais cet engagement reste davantage réactif que proactif .

Anthropic s’est engagée à publier un rapport public dans les 90 jours sur les conclusions du projet Glasswing — une échéance que l’industrie suit de près . D’ici là, les régulateurs européens sont pris en étau entre une menace opérationnelle pressante et un outil auquel ils n’ont pas accès, demandant aux banques d’accélérer leurs correctifs face à un adversaire qu’elles ne peuvent pas encore pleinement discerner.