Mythos : le guide du Portail FinDev

Les dernières actualités autour du nouveau modèle d’intelligence artificielle (IA) Mythos ont suscité des inquiétudes dans de nombreux milieux quant à l’augmentation des risques en matière de cybersécurité, en particulier pour le secteur financier. Chez Portail FinDev, nous suivons de près ces développements afin d’en comprendre les implications pour l’inclusion financière. À ce stade, les questions sont encore plus nombreuses que les réponses.

Néanmoins, nous avons rassemblé les informations disponibles publiquement afin de proposer un premier éclairage sur les préoccupations soulevées par Mythos et leurs implications potentielles pour la finance inclusive. Il est important de garder à l’esprit que les modèles d’IA évoluent rapidement et que cette situation continuera probablement à soulever des incertitudes pendant un certain temps.

Qu’est-ce que Mythos ?

Mythos est un modèle d’IA développé par l’entreprise américaine Anthropic, dévoilé le 7 avril 2026. Ce qui le distingue des modèles de langage généralistes comme Claude ou ChatGPT, c’est sa capacité présumée à identifier et exploiter des failles 'zero-day". Il s’agit de vulnérabilités informatiques inconnues, qui peuvent être exploitées avant même d’avoir été détectées.

Selon l’AI Security Institute du Royaume-Uni, lors d’évaluations en environnement contrôlé, Mythos a été capable de mener des "attaques en plusieurs étapes sur des réseaux vulnérables et de découvrir et exploiter des failles de manière autonome, des tâches qui prendraient plusieurs jours à des humains expérimentés". À ce jour, Mythos n’a pas été dévoilé au grand public. Toutefois, Anthropic a récemment accordé un accès en avant-première à plusieurs grandes entreprises technologiques et financières américaines, notamment Microsoft, Google, Apple, Amazon Web Services et JPMorgan Chase, afin qu’elles puissent analyser leurs systèmes informatiques et corriger d’éventuelles failles avant qu’elles ne soient exposées.

Pourquoi est-ce une source d'inquiétude ?

La principale préoccupation ne concerne pas uniquement Mythos lui-même, mais le danger que ce type de modèle d’IA pourrait représenter pour les cyberattaques futures. Mythos nous montre que les mêmes technologies capables d’aider à identifier des failles peuvent également être utilisées pour les exploiter avant qu’elles ne soient identifiées.

La crainte est que ces outils ne restent pas confinés indéfiniment. S’ils tombaient entre de mauvaises mains, des attaques qui nécessitaient auparavant des compétences très avancées et plusieurs jours de travail pourraient être menées plus rapidement, à plus grande échelle et par des acteurs beaucoup moins expérimentés.

La plupart des experts s’accordent à dire que les cyberattaques assistées par l’IA représentent une menace sérieuse et croissante, et qu’il convient de prendre au sérieux les risques liés à des modèles comme Mythos. Toutefois, le niveau d’alerte fait débat : certains spécialistes estiment qu’il s’agit d’une évolution logique des capacités de l’IA, plutôt que d’une menace existentielle.

Qui pourrait être affecté par ces modèles d'IA ?

Les risques associés à des modèles comme Mythos concernent potentiellement tous les secteurs, mais de manière différente. Les gouvernements s’inquiètent pour la sécurité nationale. Les infrastructures critiques (réseaux électriques, systèmes d’eau et autres services publics) reposent sur des logiciels informatiques, ce qui les rend vulnérables aux cyberattaques assistées par l’IA.

Les autorités de régulation financière redoutent des risques systémiques. Les banques et institutions financières sont particulièrement exposées, notamment parce que beaucoup utilisent encore des systèmes anciens, conçus bien avant l'avènement d’Internet, qui coexistent aujourd’hui avec des technologies modernes connectées. Les points de jonction entre anciens et nouveaux systèmes sont souvent des zones de faiblesse, précisément celles que des outils comme Mythos peuvent identifier et exploiter. Par ailleurs, le secteur bancaire repose sur une poignée de grands fournisseurs de services cloud : une attaque visant ces acteurs pourrait avoir des effets en cascade sur l’ensemble du système financier.

Pour les consommateurs, ces cyberattaques pourraient se traduire par des comptes bloqués, des transactions échouées ou une exposition des données personnelles. De telles perturbations risquent d’éroder une confiance qui met des années à se construire.

Quelles implications pour l’inclusion financière ?

Les risques de cybersécurité dans le secteur de l’inclusion financière étaient déjà en hausse avant l’apparition de Mythos. En juillet 2024, une attaque par rançongiciel visant un fournisseur technologique desservant des centaines de petites banques en Inde rurale a perturbé les systèmes de paiement de près de 300 institutions, empêchant les clients d’effectuer des transactions numériques ou de retirer de l’argent. Bien qu’aucune perte financière n’ait été signalée, cet incident a illustré de manière frappante comment une faille à un point donné du système peut se propager et affecter les institutions au service des populations les plus vulnérables. Ce que change Mythos, c’est l’ampleur et la sophistication des attaques possibles.

Une méthodologie développée par MITRE montre que les attaques contre les systèmes financiers suivent généralement une série d’étapes : identification d’une faille, progression dans les systèmes connectés, accès aux comptes, puis extraction de fonds ou perturbation des opérations. Des outils comme Mythos pourraient automatiser cette chaîne. L’AI Security Institute du Royaume-Uni a ainsi constaté que le modèle était capable d’exécuter ce type d’attaque multi-étapes de manière autonome et rapide.

Pour les institutions financières, y compris les petites banques, les institutions de microfinance, les fintechs et les opérateurs de mobile money au service des populations à faibles revenus, cela signifie des attaques plus rapides, touchant davantage d’acteurs simultanément et beaucoup plus difficiles à détecter avant qu’il ne soit trop tard.

Le Fonds monétaire international (FMI) souligne que les cadres de cybersécurité dans les économies émergentes et en développement sont souvent insuffisants. De nombreux pays ne disposent pas encore de stratégies nationales dédiées ou de réglementations spécifiques pour la cybersécurité des services financiers. L’émergence de modèles comme Mythos risque d’accentuer cet écart.

Quelles réponses face à ces risques ?

Anthropic a lancé le projet Glasswing afin de donner aux grandes entreprises technologiques et aux institutions financières une longueur d'avance pour identifier et corriger les failles avant que des outils comme Mythos ne soient plus largement diffusés. Les régulateurs aux États-Unis, en Europe, en Asie et en Australie ont exprimé leurs préoccupations, mais une réponse coordonnée à l’échelle mondiale reste à définir.

Étant donné que les organisations impliquées dans ce projet Glasswing sont principalement de grandes entreprises technologiques américaines et des institutions financières majeures, il reste incertain dans quelle mesure les protections développées bénéficieront aux acteurs plus modestes, comme les institutions de microfinance, fintechs, opérateurs de mobile money ou banques communautaires qui servent les populations à faibles revenus et disposent souvent de ressources limitées pour se protéger.

Le FMI avait déjà identifié une forte demande de la part de ses pays membres pour un appui dans le renforcement des cadres de cybersécurité. L’émergence de modèles comme Mythos rend cette priorité encore plus urgente. Les implications concrètes pour les pays en développement et le secteur de l’inclusion financière, ainsi que la réponse de la communauté internationale, restent encore à préciser.

Affaire à suivre

Mythos est peut-être aujourd’hui l’exemple le plus médiatisé de l’évolution des risques en cybersécurité, mais il est peu probable qu’il soit le dernier. Le Forum économique mondial souligne que si les capacités de défense progressent, elles le font de manière inégale, et qu’une période de risque accru est à prévoir.

Portail FinDev continuera à suivre ces évolutions et à partager des analyses au fur et à mesure que la situation se clarifie.

Nous invitons les professionels de l’inclusion financière à partager leur expérience : considérez-vous les menaces de cybersécurité liées à l’IA comme un risque réel et croissant pour votre organisation ou votre secteur ? Avez-vous déjà pris des mesures pour y faire face ? Selon vous, où se situent les vulnérabilités les plus importantes pour les institutions et les communautés que vous accompagnez ? Partagez vos réflexions dans les commentaires.