Anthropic a développé une IA capable de détecter des failles logicielles à une échelle inédite, puis a délibérément choisi de ne pas la commercialiser. Ce choix stratégique — rare dans un secteur obsédé par la course au déploiement — révèle une tensi…
© L'entreprise Intelligente
Anthropic a développé une IA capable de détecter des failles logicielles à une échelle inédite, puis a délibérément choisi de ne pas la commercialiser. Ce choix stratégique — rare dans un secteur obsédé par la course au déploiement — révèle une tension fondamentale que les dirigeants français doivent intégrer dans leur propre réflexion sur l'adoption de l'IA.
Une IA que son créateur juge trop dangereuse pour le marché
Selon The Economic Times (Inde), Anthropic a mis au point un modèle d'intelligence artificielle baptisé Claude Mythos, dont les capacités en matière de détection de vulnérabilités logicielles dépassent ce que l'entreprise estimait pouvoir confier au grand public. La décision de ne pas le rendre accessible librement n'est pas le résultat d'un retard technique : c'est un choix délibéré, motivé par le risque de détournement à des fins malveillantes.
Cette posture tranche avec la logique dominante de l'industrie, où la course à la publication prime souvent sur la prudence. Anthropic a préféré contrôler strictement les usages plutôt que de maximiser l'adoption. Pour les dirigeants de PME et d'ETI françaises, ce signal mérite attention : derrière chaque modèle d'IA mis sur le marché se cache une décision de risque calibrée — ou pas — par son éditeur.
Project Glasswing : l'IA de défense au service du bien commun
Toujours selon The Economic Times (Inde), plutôt que de commercialiser Mythos, Anthropic l'a déployé dans le cadre d'une initiative collaborative baptisée Project Glasswing, menée en partenariat avec de grands acteurs technologiques. L'objectif : identifier des milliers de failles dans des logiciels critiques avant que des acteurs malveillants ne les exploitent.
Le résultat documenté est significatif : des milliers de vulnérabilités ont été détectées grâce à cette approche. Ce chiffre illustre l'écart de performance entre une IA spécialisée à haut niveau et les outils d'audit conventionnels. Pour une PME française dont le système d'information repose sur des logiciels tiers — ERP, CRM, outils métiers — ce type de capacité représente une promesse de résilience que les prestataires de cybersécurité traditionnels peinent encore à offrir à l'échelle.
Un accès restreint, pas un accès zéro
Selon The Economic Times (Inde), Claude Mythos n'est pas définitivement enfermé dans un coffre. Anthropic a ouvert un accès contrôlé pour des besoins spécialisés en cybersécurité. Cette approche à deux vitesses — déploiement sélectif pour les acteurs qualifiés, refus d'un accès grand public — préfigure un modèle que l'on verra probablement se généraliser avec les IA les plus puissantes.
C'est précisément l'architecture que l'AI Act européen tente d'encadrer : les systèmes d'IA à haut risque, notamment ceux utilisés dans des infrastructures critiques ou des processus de sécurité, sont soumis à des exigences de conformité renforcées. Les PME françaises qui envisagent d'intégrer des outils d'IA pour auditer leur propre sécurité informatique doivent donc anticiper non seulement la question technique, mais aussi le cadre réglementaire applicable.
Ce que cela change concrètement pour les PME françaises
La leçon opérationnelle n'est pas de courir après Mythos — il n'est pas accessible librement. Elle est ailleurs : la cybersécurité devient un terrain d'application prioritaire de l'IA de haute performance, et les PME françaises sont les premières exposées faute de moyens pour recruter des équipes de sécurité dédiées.
Trois pistes concrètes méritent d'être explorées dès maintenant. Premièrement, interroger ses prestataires de cybersécurité sur leur usage effectif de l'IA dans leurs audits : les écarts de qualité entre acteurs vont se creuser rapidement. Deuxièmement, surveiller les offres issues de consortiums comme Glasswing, qui pourraient à terme proposer des services dérivés accessibles aux entreprises de taille intermédiaire. Troisièmement, prendre date avec BpiFrance sur les dispositifs de financement liés à la résilience numérique, plusieurs enveloppes étant conditionnées à des audits de sécurité documentés.
Une limite à ne pas occulter
Le récit d'Anthropic reste celui d'Anthropic. L'entreprise communique elle-même sur ses choix éthiques, ce qui ne garantit pas une vérification indépendante des résultats annoncés. Le nombre de vulnérabilités identifiées par Project Glasswing, cité par The Economic Times (Inde), repose sur des informations fournies par Anthropic elle-même. Aucun audit tiers public ne valide ces chiffres à ce stade.
Par ailleurs, l'accès contrôlé à Mythos reste l'apanage d'acteurs disposant de la crédibilité et des ressources pour être sélectionnés. Pour l'immense majorité des PME françaises, la question n'est pas de savoir si elles accéderont à Mythos, mais si leurs fournisseurs logiciels et leurs prestataires de sécurité, eux, en bénéficieront — et si cette valeur leur sera réellement transmise.
Sources : The Economic Times (Inde).