Vous avez subi une attaque ?
|
Assistance
|
Contactez-nous
|
+1 855 426 3983
Blog
/
Cyber-résilience

Ce que le projet Glasswing signifie pour les responsables de la cybersécurité

Alex Goller
Ingénieur commercial principal
Illumio Editorial
Avril 30, 2026
23 min. lire

Le projet Glasswing d'Anthropic a été lancé il y a quelques semaines, et vous avez probablement vu les gros titres.  

Douze partenaires, dont des leaders de la technologie et de la cybernétique tels que Microsoft, Apple, Amazon, Google, CrowdStrike et Palo Alto Networks, ont accepté d'utiliser le modèle d'IA Mythos Preview de Claude à des fins de sécurité défensive. Anthropic s'est engagée à verser 100 millions de dollars en crédits d'utilisation dans le cadre de cet effort.

Mythos Preview a déjà permis de découvrir des milliers de vulnérabilités de type "zero-day" de haute sévérité, y compris des failles dans tous les principaux systèmes d'exploitation et navigateurs web. Elle a découvert en quelques semaines des vulnérabilités que l'ensemble de la communauté des chercheurs en sécurité n'a pas détectées pendant des décennies.

Andrew Rubin, PDG et fondateur d'Illumio, a clairement indiqué dans un récent billet de blog qu'il ne s'agissait pas d'un changement progressif. Lorsque les attaquants se déplacent à la vitesse d'une machine et que les défenseurs continuent à se déplacer à la vitesse d'un être humain, c'est la fin de la partie.  

L'ancien modèle consistant à tenter de bloquer les menaces au niveau du périmètre est révolu, la prévention parfaite a toujours été une chimère - encore plus aujourd'hui - et la résilience doit remplacer la prévention en tant que mission essentielle de la cybersécurité.

L'annonce anthropique est un événement majeur, et je voudrais parler de ce qui se passera ensuite. Plus précisément, je souhaite examiner ce que cela signifie pour les personnes qui gèrent l'informatique et la cybersécurité dans les organisations qui ne figurent pas sur la liste des partenaires du projet.

L'inondation de la CVE est imminente

Soyons précis quant à la capacité démontrée par Mythos.  

Mythos Preview analyse les logiciels de production existants, tels que les systèmes d'exploitation, les navigateurs et les bibliothèques open-source sur lesquels des milliards de personnes s'appuient quotidiennement.  

Il trouve des vulnérabilités de manière autonome, écrit des exploits fonctionnels et enchaîne de multiples failles dans des séquences d'attaque complètes. Et ce, avec un taux de réussite de 83% à la première tentative.

À l'heure actuelle, cette capacité se cache derrière une diffusion contrôlée. Une quarantaine d'organisations y ont accès, avec des règles strictes concernant l'utilisation défensive et la divulgation coordonnée.  

Anthropic signale d'abord les vulnérabilités aux mainteneurs avant de les rendre publiques, afin de leur laisser le temps de les corriger. Elle ne publie les détails techniques qu'après le déploiement des correctifs.

Mais voici ce qu'Anthropic a reconnu dans son annonce: "La défense de la cyberinfrastructure mondiale pourrait prendre des années. Les capacités de l'IA des frontières sont susceptibles de progresser considérablement au cours des quelques mois à venir".

Ces capacités se répandront. Si Anthropic l'a construit, d'autres le feront aussi. La libération contrôlée permet de gagner du temps, mais elle ne change rien à l'évolution de la situation.

Nous nous dirigeons vers un monde où la découverte de vulnérabilités se fait à la vitesse de la machine, en continu, dans tous les logiciels existants.

Et l'écosystème CVE est déjà mis à rude épreuve. GitHub a connu une augmentation de 224% des rapports de vulnérabilité au cours d'une période récente de 90 jours. Les responsables de la maintenance se noient, et ce avant même que les résultats de Mythos ne commencent à circuler en masse dans le pipeline de divulgation.

Qu'est-ce que cela signifie pour les RSSI, les directeurs informatiques et les équipes de sécurité ?

Il est utile d'envisager cette question du point de vue d'une personne qui reçoit un mardi matin une notification l'informant que 40 nouveaux CVE critiques sont apparus pour des logiciels fonctionnant dans son environnement.

L'application de correctifs était déjà impossible à grande échelle. Aujourd'hui, c'est un fantasme.  

Le problème des correctifs n'a jamais été le correctif lui-même. Il s'agit des chaînes de dépendance, des tests de régression et des fenêtres d'approbation des changements. Vous ne pouvez pas mettre à jour un système de production critique sans vous assurer qu'il fonctionne toujours par la suite.  

Il faut en moyenne 60 à 150 jours à une entreprise pour remédier à une vulnérabilité critique. Lorsque des modèles d'IA de classe Mythos génèrent des centaines de CVE critiques par semaine dans l'ensemble de la pile logicielle, ce calcul n'est pas seulement cassé, il devient absurde.  

Votre programme de gestion des vulnérabilités est devenu un exercice de triage

Chaque équipe de sécurité dispose déjà d'un arriéré de milliers de vulnérabilités non corrigées. Ce retard est sur le point de se multiplier.  

La question n'est plus de savoir si l'on peut patcher tout ce qui est critique. mais "pouvons-nous déterminer quels sont les 2% qui comptent réellement dans notre environnement spécifique ?"  

Les scanners et les outils de gestion de l'exposition deviennent plus précieux que jamais, non seulement pour trouver des vulnérabilités, mais aussi pour les classer par ordre de priorité. Les équipes de sécurité doivent savoir lesquels de ces 500 nouveaux CVE se trouvent sur un chemin qu'un attaquant pourrait exploiter dans votre réseau.

Le délai d'exploitation va encore s'allonger

Nous constatons d'ores et déjà que le temps d'exploitation des attaquants diminue.  

Selon une étude récente, 32% des CVE exploités au cours du premier semestre 2025 ont fait l'objet d'une activité d'exploitation le jour de la divulgation ou avant. Les exploitations de vulnérabilités ont dépassé le phishing en tant que premier vecteur d'accès initial.  

Ajoutez maintenant des modèles d'IA qui peuvent générer des exploits fonctionnels en 10 à 15 minutes pour environ un dollar. Le délai entre la publication d'une vulnérabilité et l'apparition d'un exploit dans la nature est proche de zéro.  

Votre cycle de correctifs de 90 jours n'est plus seulement un plan, mais une responsabilité.

Mythos va-t-il changer la façon dont les logiciels sont construits ?

Pour l'instant, les participants à Glasswing utilisent Mythos pour analyser les logiciels de production existants. Il n'est pas intégré dans le cycle de développement des logiciels (SDLC).  

Mais il est naïf de penser que cela restera le cas à l'avenir. Une fois que vous disposez d'un modèle capable de trouver des exploits de type "zero-day" dans un code de production à cette échelle, la prochaine étape évidente est de l'utiliser pendant le développement, dans les pipelines CI/CD, avant que le code ne soit expédié.

C'est le scénario optimiste. Si l'analyse de classe Mythos fait partie du cycle de développement durable, les logiciels deviennent plus sûrs avant d'atteindre la production. Cela signifie que les fournisseurs livrent moins de vulnérabilités et que l'afflux de CVE finit par se stabiliser.

Mais cette transition prendra des années. Tous les grands fournisseurs de logiciels doivent intégrer cette capacité, réorganiser leurs processus de développement et corriger ce que le modèle trouve avant de le publier.  

En attendant, nous vivons dans l'intervalle. L'IA trouve les vulnérabilités plus rapidement que quiconque, vendeur ou client, ne peut les corriger.

Pourquoi l'endiguement des brèches fondé sur la segmentation est la solution

Si vous ne pouvez pas appliquer de correctifs à la vitesse de la machine (et vous ne le pouvez vraiment pas), vous avez besoin de contrôles qui sont déjà en place avant que l'exploit n'arrive. C'est là que la conversation doit passer de la correction des brèches à l'endiguement.

La segmentation devient le contrôle principal plutôt qu'un avantage.

Si un attaquant peut exploiter une vulnérabilité dans les heures qui suivent sa divulgation, la seule chose qui limite les dégâts est de savoir s'il peut se déplacer latéralement après la compromission initiale.  

La microsegmentation forcée en temps réel avec des outils comme Illumio Segmentation limite le rayon d'action, quelle que soit la vulnérabilité spécifique exploitée. Il n'y a pas de vulnérabilité.  

Et c'est exactement ce dont vous avez besoin lorsque le volume de vulnérabilités dépasse votre capacité à les suivre individuellement.

La question n'est plus "qu'est-ce qui est vulnérable ?" mais "qu'est-ce qui est accessible ?".  

Un jour zéro critique sur un système isolé sans possibilité de mouvement latéral n'est pas prioritaire.  

Mais une faille de gravité moyenne dans un système qui se trouve sur le chemin le plus court entre votre périmètre et vos actifs critiques ? Il s'agit d'une véritable urgence.  

Les équipes doivent comprendre non seulement où se trouvent les vulnérabilités, mais aussi comment les attaquants peuvent se déplacer latéralement dans leur environnement. Des solutions comme Illumio Insights les aident à donner la priorité au confinement là où c'est le plus important.

Les contrôles d'identité et d'accès aggravent l'effet

La segmentation empêche les attaquants de se déplacer dans votre réseau. De solides contrôles d'identité limitent les possibilités d'action d'un pirate, même à l'intérieur d'un segment. Cela permet un accès avec le moins de privilèges possible, des informations d'identification juste à temps et une vérification continue.  

Chaque couche de confinement que vous ajoutez complique la tâche de l'attaquant, quelle que soit la rapidité avec laquelle il est entré.

Cinq choses à faire ensuite

Que pouvez-vous donc faire ? Voici par où commencer.

  • ‍Faites decette décision un choix de résilience de l'entreprise plutôt qu'un projet de sécurité. La segmentation est une discipline permanente directement liée à la façon dont votre entreprise fonctionne sous pression. Commencez par formuler la conversation au niveau de la direction : si un identifiant est compromis demain, qu'est-ce qui empêche réellement l'attaquant d'atteindre les systèmes critiques ? Si la réponse n'est pas claire, vous portez un risque opérationnel non quantifié. Appliquer la politique, la tester et l'étendre au fil du temps. L'objectif est de réduire continuellement le nombre de voies de déplacement latéral.‍
  • Définissez votre surface de protection. Identifiez les charges de travail dont la compromission serait réellement catastrophique : contrôleurs de domaine, systèmes de paiement, données des patients, environnements OT. Chaque décision doit répondre à une seule question : cela réduit-il les chemins qu'un attaquant peut emprunter pour atteindre ces biens?‍
  • Identifiez les risques en cartographiant la façon dont les attaquants peuvent se déplacer. Vous devez comprendre non seulement ce qui est vulnérable, mais aussi ce qui est accessible. Cartographiez les chemins qui mènent d'un point d'appui potentiel à vos actifs critiques. Chaque relation de confiance implicite que vous n'avez pas explicitement définie est un chemin qu'un attaquant peut emprunter.‍
  • Prévenez les mouvements latéraux en segmentant d'abord le noyau. Commencez là où l'impact est le plus fort. Appliquez des politiques de segmentation autour de vos systèmes les plus critiques, validez-les par rapport au trafic réel, puis appliquez-les et étendez-les vers l'extérieur. La valeur augmente au fur et à mesure que vous supprimez des chemins.‍
  • Construire un modèle de réponse autour de l'endiguement. Supposez que les agresseurs entreront. Votre plan d'intervention doit se concentrer sur la rapidité avec laquelle vous pouvez isoler les systèmes affectés, limiter la propagation et maintenir les opérations. Le confinement n'est pas la dernière étape. C'est le contrôle qui détermine le résultat.

Pourquoi la sécurité par les correctifs ne fonctionne plus

Mythos n'est pas une mauvaise nouvelle. Le modèle de divulgation coordonnée est exactement le type de déploiement responsable de l'IA dont nous avons besoin.  

Mais elle accélère une prise de conscience que le secteur de la cybersécurité a évitée.  

Le modèle de sécurité centré sur les correctifs ne fonctionne plus. Il ployait déjà sous le poids de plus de 30 000 CVE par an. La découverte à grande échelle grâce à l'IA va tout bouleverser.

Les organisations qui s'en sortent le mieux ne sont pas celles qui se rétablissent le plus rapidement. Ce sont eux qui ont accepté qu'ils ne pouvaient pas tout corriger. Ils construiront leurs environnements en conséquence, en limitant les brèches grâce à la segmentation et à la hiérarchisation des risques en fonction du chemin parcouru.

Ce type d'infrastructure constituait déjà une bonne pratique. L'avant-première de Claude Mythos d'Anthropic vient de le rendre urgent.

Voyez comment Illumio Segmentation permet d'endiguer les brèches en temps réel dans votre environnement.

Alex Goller
Ingénieur commercial principal
Illumio Editorial
Avril 30, 2026
23 min. lire
Cyber-résilience
Contactez-nous
Partager

Articles connexes

Il est temps de réécrire l'ensemble du modèle de cybersécurité ou d'en subir les conséquences
Cyber-résilience

Il est temps de réécrire l'ensemble du modèle de cybersécurité ou d'en subir les conséquences

Repenser la cybersécurité à l'ère de l'IA : les attaques à la vitesse de la machine dépassent les défenses humaines, ce qui rend la résilience et l'endiguement des brèches essentielles à la survie.

En savoir plus
Cyber-résilience
L'avenir de la cybersécurité est anti-fragile, pas seulement résiliente
Cyber-résilience

L'avenir de la cybersécurité est anti-fragile, pas seulement résiliente

Découvrez pourquoi la cybersécurité antifragile va au-delà de la résilience et comment Zero Trust aide les systèmes à s'adapter, à réduire les risques et à s'améliorer après chaque attaque.

En savoir plus
Cyber-résilience
La cybersécurité est en panne : Pourquoi les résultats ne s'améliorent pas et ce qui doit changer
Cyber-résilience

La cybersécurité est en panne : Pourquoi les résultats ne s'améliorent pas et ce qui doit changer

Repensez la cybersécurité moderne et donnez la priorité au confinement des brèches afin d'arrêter les mouvements latéraux, de limiter le rayon d'action et de protéger les actifs critiques contre les attaques modernes.

En savoir plus
Cyber-résilience
Comment atteindre la conformité DORA avec Illumio
Cyber-résilience

Comment atteindre la conformité DORA avec Illumio

Découvrez les trois outils disponibles dans la plateforme Illumio Zero Trust Segmentation (ZTS) qui vous aideront à vous conformer à la loi DORA.

En savoir plus
Conformité
Faut-il s'inquiéter d'une trop grande dépendance de la cybersécurité à l'égard de l'IA ?
Cyber-résilience

Faut-il s'inquiéter d'une trop grande dépendance de la cybersécurité à l'égard de l'IA ?

Découvrez pourquoi l'IA est un atout pour la cybersécurité malgré ses faiblesses et comment la combinaison de la puissance de l'IA et de l'intelligence humaine peut atténuer les craintes d'une dépendance excessive à l'égard de l'IA.

En savoir plus
Aucun élément n'a été trouvé.
Analyse de l'étude de Vanson Bourne sur le cloud : 3 points clés à retenir
Cyber-résilience

Analyse de l'étude de Vanson Bourne sur le cloud : 3 points clés à retenir

Découvrez les tendances de l'informatique en nuage qui ont un impact sur la prise de décision des RSSI et ce qu'Illumio fait pour apporter le ZTS aux environnements hybrides et en nuage.

En savoir plus
Sécurité du cloud

Découvrez Illumio Insights dès aujourd'hui

Découvrez comment l'observabilité alimentée par l'IA vous aide à détecter, comprendre et contenir les menaces plus rapidement.
Essayez Illumio Insights