Mythos : l’Europe tenue à l’écart du modèle IA le plus ambitieux du moment
Anthropic a dévoilé Mythos, son nouveau grand modèle de langage spécialisé dans la cybersécurité, en limitant drastiquement son accès à une quarantaine d'organisations et une dizaine d'entreprises, toutes américaines. Le modèle s'inscrit dans le projet Glasswing, dont l'objectif est de laisser le LLM analyser le code de logiciels pour détecter des bugs, corriger des vulnérabilités et boucher des failles de sécurité. JPMorgan Chase est le seul établissement bancaire partenaire confirmé à ce stade. Aux États-Unis, les banques ont été encouragées à adopter Mythos pour renforcer leurs systèmes. L'administration Trump a été directement présentée au modèle, malgré une relation tendue avec Anthropic : le gouvernement américain a désigné l'entreprise « fournisseur à risque pour la sécurité nationale » après qu'elle a refusé d'accorder une licence pour certains usages militaires, un différend qui se règle désormais devant les tribunaux. En Europe, sur les huit agences de cybersécurité interrogées par Politico, seule l'agence fédérale allemande BSI a indiqué avoir engagé des discussions avec Anthropic, sans pour autant avoir pu tester le modèle. Le Royaume-Uni fait figure d'exception : l'AISI, son organisme dédié à la sécurité de l'IA, a publié le 13 avril une première évaluation indépendante des capacités offensives de Mythos.
Cette mise à l'écart de l'Europe illustre une fracture concrète dans l'accès aux technologies d'IA de pointe. Les infrastructures critiques européennes, gouvernements compris, n'ont pas été conviés au projet alors même qu'elles seraient potentiellement parmi les premières bénéficiaires d'un tel outil. L'agence néerlandaise NCSC-NL a souligné l'impossibilité de vérifier l'impact réel des vulnérabilités identifiées par Mythos, faute de détails techniques accessibles. Ce manque de transparence place les régulateurs européens dans une position d'observateurs passifs face à un modèle dont Anthropic elle-même revendique le potentiel « dévastateur » dans sa propre communication.
L'épisode Mythos révèle une tension structurelle entre la puissance réglementaire européenne et sa dépendance technologique envers les acteurs américains. L'AI Act, malgré son ambition, ne garantit pas à l'Union un accès aux modèles les plus sensibles développés outre-Atlantique. Comme le résume Daniel Privitera, de l'ONG allemande KIRA, « l'Europe ne dispose actuellement d'aucun plan pour garantir cet accès ». La distribution sélective de Mythos préfigure un enjeu qui va s'amplifier : dans un monde où les capacités offensives et défensives en cybersécurité reposent de plus en plus sur des LLM propriétaires, la souveraineté numérique se jouera aussi sur la capacité à accéder aux modèles de frontier, pas seulement à les réguler.
Les agences de cybersécurité européennes, dont l'ANSSI en France, sont explicitement exclues de Mythos, laissant les infrastructures critiques du continent sans accès à un outil de détection de vulnérabilités que les États-Unis déploient déjà à l'échelle fédérale et bancaire.
