Cybersécurité : la BCE s’inquiète de Mythos et convoque les banques européennes
La Banque centrale européenne a convoqué mardi 26 mai les représentants des 111 plus grandes banques de la zone euro pour une réunion d'urgence consacrée aux risques cybersécuritaires liés aux nouveaux modèles d'intelligence artificielle. Au centre des discussions : Mythos, le modèle le plus avancé d'Anthropic, déployé dans le cadre du projet Glasswing auprès d'une cinquantaine de partenaires triés sur le volet, quasi-exclusivement américains. Frank Elderson, vice-président du conseil de surveillance prudentielle de la BCE, a alerté le Financial Times que des acteurs malveillants pourraient bientôt accéder à ce type de technologie, exhortant les banques européennes à ne pas attendre d'y avoir accès elles-mêmes pour se préparer. Anthropic a de son côté publié un premier bilan : les partenaires du projet Glasswing ont collectivement identifié plus de 10 000 vulnérabilités de gravité élevée ou critique dans leurs systèmes, et Mythos a déjà permis de bloquer un virement frauduleux d'1,5 million de dollars après la compromission d'une adresse e-mail client dans le secteur bancaire.
L'enjeu dépasse la simple indisponibilité d'un outil. Ce qui préoccupe la BCE, c'est la dissymétrie croissante entre attaquants et défenseurs. Elderson souligne qu'un pirate peut désormais analyser une mise à jour de sécurité pour en déduire la faille exacte qu'elle corrige en environ trente minutes, contre plusieurs jours ou semaines auparavant grâce aux outils d'IA. Les banques européennes, déjà exclues du déploiement de Mythos, risquent donc de se retrouver dans une position doublement vulnérable : sans accès aux outils défensifs de pointe, face à des adversaires qui, eux, pourraient les utiliser. La BCE entend aussi créer les conditions d'un partage d'expérience entre les grandes banques américaines opérant en Europe et leurs homologues européennes, afin de combler partiellement ce déficit.
L'accès à Mythos reste un point de friction diplomatique et industriel majeur. La Commission européenne négocie avec Anthropic pour obtenir un accès au modèle, mais les discussions avancent lentement, alors que Bruxelles a déjà obtenu un accès à GPT-5.5-Cyber d'OpenAI. Anthropic reconnaît elle-même que le principal goulot d'étranglement n'est plus la détection des failles, désormais largement automatisable, mais bien le triage, la divulgation responsable et le déploiement des correctifs, qu'elle qualifie d'enjeu majeur pour la cybersécurité mondiale. La startup prévoit d'élargir le projet Glasswing à de nouveaux partenaires sans en préciser le calendrier, tandis que les premières expériences concluantes chez Mozilla sur la chasse aux bugs dans Firefox alimentent la demande d'institutions européennes qui observent de loin une technologie dont elles sont pour l'heure exclues.
La BCE a convoqué en urgence les 111 plus grandes banques de la zone euro, alarmée par l'asymétrie cybersécuritaire croissante liée à l'IA : les établissements européens, privés d'accès aux outils défensifs avancés, risquent de faire face à des attaquants mieux armés, tandis que la Commission européenne négocie activement un accès à ces technologies.
Dans nos dossiers
Vu une erreur factuelle dans cet article ? Signalez-la. Toutes les corrections valides sont publiées sur /corrections.
