Mythes et mythe du zéro : pourquoi les banques doivent cesser de chercher à éliminer les vulnérabilités

La technologie bancaire a été construite comme un bâtiment tentaculaire, constamment occupé - conçu pour s'adapter, fonctionner et être utilisé en permanence. Il n'a jamais été non garanti.  

Les portes sont verrouillées, les couloirs sont équipés de caméras et certaines pièces nécessitent des badges et une escorte. Si une porte n'est pas verrouillée, il existe un processus répétitif pour la verrouiller.

Ce processus était souvent basé sur les risques. Lorsqu'un correctif n'était pas disponible, une approche méthodique a été adoptée pour appliquer des contrôles compensatoires en attendant que les mesures correctives soient prises.  

C'est une discipline bancaire normale. Et cela a fonctionné lorsque le rythme de la découverte était humain.

Claude Mythos, le modèle d'IA frontalier d'Anthropic, a changé cela, en faisant apparaître les vulnérabilités plus rapidement que tout processus de remédiation conçu pour y faire face et en donnant aux adversaires une fenêtre d'action avant que les défenses ne puissent la refermer.

La bonne vieille affaire : trouver la faiblesse, réparer la faiblesse

Pendant la majeure partie de la dernière décennie, les arriérés de vulnérabilités ont été gérés au moyen d'un processus standard de correctifs, d'un contrôle des modifications et d'un cycle de validation que même les autorités de réglementation ont fini par accepter.

Les régulateurs ont renforcé ce modèle par des attentes en matière d'hygiène cybernétique, de tests disciplinés et de gestion rigoureuse des correctifs. Le département des services financiers de l'État de New York (NYDFS), par exemple, a intégré la correction des vulnérabilités et le contrôle des changements directement dans ses examens de cybersécurité.

Mais comme le savent tous ceux qui ont vécu une mise à niveau du noyau, une fenêtre de correctifs d'un week-end ou une dépendance fragile, certaines portes peuvent être fermées rapidement, tandis que d'autres nécessitent plus de force et d'efforts.  

Les fermer sans préparation peut interrompre les cycles de paie, les chaînes de règlement, les flux de travail de souscription et l'accès des clients. C'est précisément ce que les programmes de résilience sont censés éviter.

Les institutions ont toujours travaillé avec un arriéré de risques et de vulnérabilités. Un processus de gestion des risques bien défini a été suivi pour y faire face. Le mythe rend l'arriéré impossible à ignorer et rend l'ancien processus obsolète.

La nouvelle réalité : la découverte est passée à la vitesse de la machine

Au cours de tests contrôlés, l'aperçu Mythos d'Anthropic a fait apparaître de manière autonome des milliers de vulnérabilités inconnues jusqu'alors dans les principaux systèmes d'exploitation et navigateurs. Nombre d'entre eux existaient depuis des décennies sans être détectés.  

Ce qui nécessitait auparavant des équipes de spécialistes et des cycles d'audit prolongés a été comprimé en un seul passage basé sur un modèle.

Lors de la conférence téléphonique sur les résultats de JPMorgan Chase, le PDG Jamie Dimon a décrit l'IA comme une arme à double tranchant. Selon lui, Mythos montre que beaucoup plus de vulnérabilités doivent être corrigées.

Il a raison. Mais la question la plus importante est de savoir ce qu'il advient de ceux qui ne sont pas réparés à temps.

Le rapport Verizon 2026 Data Breach Investigations Report montre que les attaquants parviennent généralement à exploiter massivement les vulnérabilités nouvellement divulguées dans un délai d'environ cinq jours. L'assainissement complet dans les secteurs réglementés prend souvent des semaines de plus.  

Le fossé entre la découverte et le correctif a toujours existé. Mythos vient de rendre les deux côtés de ce fossé visibles en même temps.

Dans les banques, les portes ont toujours été là. Aujourd'hui, ils sont étiquetés, cartographiés et exploités plus rapidement que le bâtiment ne peut être rénové.

La question a changé

Pendant des années, les conversations sur la vulnérabilité ont pris la forme d'une course : à quelle vitesse pouvez-vous patcher ?

Aujourd'hui, les institutions qui posent la bonne question se posent des questions plus opérationnelles : si ce problème n'est pas corrigé ce soir, jusqu'où un attaquant peut-il se propager dans notre réseau ?

C'est la différence entre un modèle de sécurité fondé sur une prévention parfaite et un modèle fondé sur des conséquences limitées. Et cela se traduit par la manière dont les régulateurs formulent de plus en plus leurs attentes.

Le B-13 de l'OSFI, par exemple, met l'accent sur les tests basés sur les menaces qui reflètent le même instinct : le confinement dans le monde réel.  

La Banque d'Angleterre a rappelé que le risque cybernétique évolue en même temps que les défenses et qu'il ne disparaît pas. La résilience doit être quelque chose que vous construisez, testez et rafraîchissez.

Les conversations sur les menaces réglementaires convergent vers le même point. La plupart des programmes de lutte contre la vulnérabilité n'ont pas rattrapé leur retard.

Pourquoi "extrême mais plausible" est le chaînon manquant

Si l'accès à Mythos est actuellement contrôlé, il ne le restera pas longtemps.  

L'IA des frontières rattrapera son retard et banalisera cette capacité. Lorsque c'est le cas, l'asymétrie s'inverse de façon permanente. Les attaquants seront en mesure d'identifier et d'exploiter les vulnérabilités plus rapidement qu'un cycle de correctifs ne peut le faire.

Cela signifie que les institutions doivent cesser d'organiser leur dispositif de sécurité en fonction d'une ligne d'arrivée qui n'existe plus.

Le scénario auquel les banques se préparent aujourd'hui est celui d'un attaquant doté d'IA qui se déplace dans un environnement bancaire étroitement interconnecté - systèmes de paiement, moteurs de règlement, canaux de contact avec la clientèle et infrastructures partagées - avant que les outils de détection ne signalent quoi que ce soit d'inhabituel. L'endiguement des brèches est donc la seule stratégie de sécurité viable.

Les banques ont déjà plus d'atouts qu'elles ne le reconnaissent parfois :

• Tests de résistance de DORA
• Simulations CBEST
• Planification de scénarios

Ces cadres existent précisément parce que les régulateurs comprennent que la compromission éventuelle fait partie du modèle de menace. La question qu'ils se posent est de savoir si vous avez conçu votre environnement de manière à ce qu'il survive à une violation.

Le changement pratique : de la vitesse de propagation au rayon d'explosion

La gestion de la vulnérabilité a besoin d'un deuxième axe.

Le premier axe est celui que vous avez déjà, comprenant la gravité, l'exploitabilité et la criticité des actifs. Le deuxième axe est celui qui manque à la plupart des programmes : le potentiel de mouvement latéral.  

Si cette vulnérabilité est exploitée ce soir, qu'est-ce qu'un attaquant peut atteindre à partir de là ? Qu'est-ce qui se trouve à un saut de puce ? Deux ?

Toutes les vulnérabilités ne sont pas égales en termes de probabilité, et toutes les vulnérabilités ne sont pas égales en termes de rayon d'explosion. Une faille dans une couche d'authentification orientée vers l'internet sur un rail de paiement central est catégoriquement différente d'une faille dans un ancien système de reporting qui n'a pas été mis en production depuis trois ans.  

Le risque est la voie d'accès, pas la vulnérabilité.

Les institutions qui y parviennent n'apportent pas nécessairement des correctifs plus rapidement, mais conçoivent leur architecture de manière à ce que les portes non verrouillées s'ouvrent sur des couloirs qui ne mènent à rien d'important.

Ce que cela signifie pour les RSSI bancaires à l'heure actuelle

Le mythe est un miroir. Il reflète un paysage qui existait déjà, avec des milliers de vulnérabilités, dont beaucoup sont anciennes et tolérées tranquillement. Il s'agit de savoir si votre programme a été conçu pour cette réalité.

La réponse consiste à être impitoyablement clair sur deux points. Vous devez savoir quelles vulnérabilités, si elles sont exploitées, peuvent devenir systémiques et quels contrôles architecturaux limitent le rayon d'action, quel que soit l'état des correctifs.

C'est ce qu'il faut faire maintenant : endiguer par la conception.

Vous souhaitez en savoir plus sur l'impact de Mythos sur le secteur financier ? Lisez notre fiche d'information.