Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Merci, Mythos : l’essor de l’IA relance enfin le vrai débat sur la sécurité des données

Merci, Mythos : l’essor de l’IA relance enfin le vrai débat sur la sécurité des données

par Tim Freestone updated avril 15, 2026 Gestion des risques liés à la cybersécurité
temps de lecture: 8 minutes

En avril 2026, Anthropic a présenté en avant-première Claude Mythos, un modèle de pointe polyvalent dont les capacités de recherche de vulnérabilités ne proviennent pas d’un entraînement spécialisé, mais résultent de progrès en raisonnement sur le code et en autonomie. En quelques semaines, il a découvert des milliers de vulnérabilités zero-day sur tous les principaux systèmes d’exploitation et navigateurs Web. Il a mis au jour une faille TCP vieille de 27 ans dans OpenBSD. Un bug de codec vieux de 16 ans dans FFmpeg, présent depuis une refonte de 2010 d’un code initialement écrit en 2003. Une vulnérabilité d’exécution de code à distance vieille de 17 ans dans le serveur NFS de FreeBSD, qu’il a entièrement exploitée, de façon autonome, en environ quatre heures.

Points clés à retenir

  1. La sécurité au niveau applicatif est désormais structurellement indéfendable. Claude Mythos a découvert des milliers de vulnérabilités zero-day sur tous les principaux OS et navigateurs — non pas grâce à un entraînement spécialisé, mais comme conséquence des progrès en raisonnement sur le code. Il est impossible de s’en sortir uniquement par des correctifs.
  2. La découverte de vulnérabilités par l’IA dépasse de loin la capacité humaine à les corriger. Avant Mythos, les outils d’IA trouvaient déjà en quelques minutes des failles exploitables cachées dans des bases de code depuis des décennies. Le délai moyen de correction des vulnérabilités critiques est de 74 jours. Le délai moyen d’exploitation est désormais de moins sept jours.
  3. La sécurité centrée sur la donnée n’est plus un simple « plus ». NIST, CISA, NSA, Gartner et IBM désignent tous la couche donnée comme l’investissement prioritaire. Gartner prévoit que 75 % des organisations utilisant GenAI réorienteront leurs priorités vers la sécurité des données non structurées d’ici 2026.
  4. Les données chiffrées et régies par des politiques n’offrent aucune surface d’attaque applicative. Quand la protection accompagne la donnée — chiffrement intégré, contrôles d’accès basés sur les attributs, clés gérées par le client — une compromission de l’application ne compromet que le contenant, pas le contenu.
  5. Mythos n’a pas créé de nouveaux risques — il a détruit une dangereuse illusion. Ces zero-days existaient déjà. La faille OpenBSD vieille de 27 ans était là depuis toujours. Ce que Mythos a fait, c’est réduire à néant l’écart entre ce que savent les défenseurs et ce que savent les attaquants.

La plupart du secteur de la cybersécurité a réagi avec inquiétude. J’ai eu une autre réaction : enfin.

Non pas que je me réjouisse de l’existence de vulnérabilités. Mais parce que Mythos réalise ce que le secteur de la sécurité n’a pas su faire depuis vingt ans : il démontre, de façon irréfutable, que la sécurité au niveau applicatif est une impasse. Et cela signifie que la discussion se déplace enfin, inévitablement, là où elle aurait toujours dû être : la couche donnée.

Le tapis roulant de la sécurité applicative était déjà cassé. L’IA vient de le prouver.

J’ai passé des années à voir des équipes de sécurité compétentes dépenser des budgets colossaux pour corriger, scanner et renforcer les applications. Et j’ai vu ces mêmes équipes se faire compromettre malgré tout. Non pas par incompétence, mais parce que l’équation est intenable.

Regardez la situation avant même Mythos. En 2025, environ 48 000 CVE ont été publiées, soit 131 par jour, septième année consécutive de records. Le délai moyen d’exploitation s’est effondré ; le rapport M-Trends 2026 de Google Mandiant l’évalue à moins sept jours, ce qui signifie que l’exploitation commence en moyenne une semaine avant la publication d’un correctif. Pendant ce temps, le délai moyen de correction des vulnérabilités critiques reste à 74 jours. Ce n’est pas un écart, c’est un gouffre. Au premier semestre 2025, plus de 32 % des vulnérabilités exploitées l’ont été le jour même ou avant leur divulgation, le chiffre annuel s’établissant autour de 29 %. CrowdStrike a mesuré un temps moyen de passage de l’accès initial au mouvement latéral de 29 minutes, avec un record à 27 secondes.

Ajoutez l’IA à l’équation. Avant Mythos, Claude Opus 4.6 a trouvé 22 CVE dans 4,6 millions de lignes de code C++ de Firefox (un sous-ensemble des 21 millions de lignes du code complet) en deux semaines. Le premier bug est apparu en 20 minutes. Big Sleep de Google a découvert une faille exploitable dans SQLite, qui, selon Google, n’était connue que des cybercriminels. Security Copilot de Microsoft, associé à des méthodes d’analyse traditionnelles, a identifié 20 vulnérabilités inédites dans des bootloaders permettant de contourner Secure Boot. o3 d’OpenAI a trouvé un use-after-free dans le noyau Linux. La startup IA AISLE a découvert 13 des 14 CVE OpenSSL attribuées en 2025, dont des bugs présents dans le code depuis la fin des années 1990. XBOW, un pentester autonome basé sur l’IA, est devenu la première IA à atteindre la première place du classement HackerOne aux États-Unis sur une période de 90 jours, soumettant plus de 1 060 rapports de vulnérabilité et réalisant des benchmarks 85 fois plus vite que les pentesters humains.

Puis Mythos est arrivé et a fait tout cela, partout, simultanément.

Je ne dis pas cela pour dramatiser. Je le dis parce que chaque RSSI doit intégrer une vérité simple : il est impossible de s’en sortir uniquement par des correctifs. Pas quand l’IA découvre des vulnérabilités plus vite que votre équipe ne peut les traiter. Pas quand le volume de failles détectables va bientôt dépasser la capacité de réaction de n’importe quelle organisation. La couche applicative n’est pas seulement difficile à défendre. Elle est structurellement indéfendable comme première ligne de protection.

La vraie question n’est pas « Comment trouver les bugs plus vite ? » mais « Que se passe-t-il quand la compromission réussit ? »

C’est là que la discussion doit évoluer, et c’est là que je pense que Mythos rend un vrai service au secteur.

Pendant des années, la sécurité centrée sur la donnée a été considérée comme un simple bonus. Un ajout après avoir fait le « vrai » travail de sécurité : pare-feu, EDR, SIEM, gestion des vulnérabilités. Mais ce raisonnement est totalement inversé. Si chaque application est vulnérable (et Mythos vient de le prouver de façon définitive), alors la seule question qui compte est : quand un attaquant passe, sur quoi tombe-t-il ?

Une donnée chiffrée à la couche donnée, régie par des politiques d’accès intégrées et contrôlée par des clés que l’attaquant ne possède pas, n’offre aucune surface d’attaque applicative. Il n’y a pas de buffer overflow, pas d’API à mal configurer, pas de dépendance à empoisonner. La donnée porte sa propre protection. Une compromission de l’application ne compromet que le contenant, pas le contenu.

Ce n’est pas une idée marginale. NIST SP 800-207 décrit l’architecture Zero Trust comme « principalement axée sur la protection des données et des services, mais pouvant et devant être étendue à tous les actifs et sujets de l’entreprise ». Le modèle de maturité Zero Trust de la CISA fait de la donnée l’un des cinq piliers. Les recommandations de la NSA d’avril 2024 sur l’avancement du Zero Trust via le pilier données sont explicites : les défenses périmétriques traditionnelles sont insuffisantes, et les adversaires qui prennent pied accèdent souvent sans restriction à toutes les données. La NSA reconnaît aussi que le pilier données reste le moins mature dans la plupart des déploiements fédéraux.

Les analystes l’ont compris aussi. Gartner prévoit qu’en 2026, 75 % des organisations menant des initiatives GenAI réorienteront leurs budgets vers la sécurité des données non structurées. Le marché de la sécurité centrée sur la donnée croît à un rythme annuel de 24,2 %. Le rapport IBM 2025 sur le coût des violations de données, qui fait état d’un coût moyen de 10,22 millions de dollars par violation aux États-Unis (un record), recommande explicitement la découverte, la classification, le contrôle d’accès, le chiffrement et la gestion des clés comme posture de défense principale.

Tout le monde sait que c’est là que nous allons. Mythos a simplement transformé le « un jour » en « maintenant ».

À quoi ressemble concrètement la sécurité à la couche donnée ?

Je vais être direct : c’est précisément le problème que Kiteworks a été conçu pour résoudre.

Notre plateforme applique les principes Zero Trust non pas au réseau ou à l’application, mais à la couche donnée elle-même. Nous regroupons les canaux de contenu sensible (messagerie électronique, partage sécurisé de fichiers, transfert sécurisé de fichiers, SFTP, formulaires de données, salles de données virtuelles, API et GDN nouvelle génération) sous un cadre de gouvernance unique avec une application unifiée des règles. Chaque opération est évaluée par notre moteur de politiques de données, qui croise l’identité de l’utilisateur, la sensibilité des données et l’action souhaitée avant d’autoriser l’accès.

L’implémentation technique est essentielle. Un chiffrement AES-256 à double couche protège les données au niveau du fichier et du disque, avec des modules cryptographiques validés FIPS 140-3 et des clés de chiffrement gérées par le client, soutenues par des modules matériels de sécurité. Notre intégration Trusted Data Format intègre des contrôles d’accès basés sur les attributs et un chiffrement persistant directement dans les fichiers, de sorte que la protection accompagne la donnée où qu’elle aille. Si un fichier est mal orienté ou si un rôle change, l’accès est révoqué instantanément.

Notre fonctionnalité SafeEDIT va plus loin. Elle diffuse une version vidéo éditable des fichiers à 60 images/seconde, ce qui signifie que le fichier réel ne quitte jamais l’environnement sécurisé. Un collaborateur peut travailler sur le contenu sans jamais le posséder. Impossible d’exfiltrer ce que vous n’avez jamais eu.

Et pour l’ère de l’IA en particulier, nous avons lancé Compliant AI lors du RSAC 2026, appliquant les mêmes règles ABAC, le chiffrement et la journalisation des accès pour chaque interaction d’un agent IA avec des données réglementées. Notre serveur Secure MCP permet à des clients IA comme Claude et Copilot de se connecter à la plateforme Kiteworks via l’authentification OAuth 2.0, garantissant que les identifiants n’atteignent jamais les modèles de langage. Contrairement aux garde-fous au niveau du modèle, qui peuvent être contournés par injection de prompt, nous appliquons la gouvernance au niveau de l’accès aux données, la seule couche que les agents IA ne peuvent pas contourner.

Le paradoxe Mythos : l’IA la plus effrayante nous rend plus sûrs

Il y a une ironie assumée dans le choix du nom « Mythos » par Anthropic. Un mythos est un récit fondateur, une histoire qui façonne la vision du monde d’une culture. Et l’histoire que raconte Mythos est puissante.

Il ne crée pas de nouveaux risques. Ces vulnérabilités existaient déjà. La faille OpenBSD vieille de 27 ans était là depuis toujours. Les bugs OpenSSL de 1998 étaient exploitables depuis 25 ans. Ce que fait Mythos, c’est réduire à néant l’écart entre ce que nous savons et ce que savent les attaquants. Il rend visible à tous la fiction des « applications sécurisées », et non plus seulement aux chercheurs et aux États qui exploitaient ces failles en silence.

C’est une bonne chose. Car cette fiction était dangereuse. Elle a permis aux organisations de croire que patcher et scanner suffisaient. Elle a permis aux conseils d’administration de valider des budgets de sécurité fondés sur l’idée que les applications pouvaient être rendues sûres. Mythos détruit cette illusion. Et ce faisant, il oblige à un débat plus honnête sur l’endroit où la sécurité doit réellement résider.

Je défends la sécurité à la couche donnée depuis longtemps. L’idée qu’une donnée individuelle, chiffrée et contrôlée, n’a pas de vulnérabilité parce qu’il n’y a pas d’application autour. Que le chiffrement, les règles, les contrôles et la sécurité à la couche donnée deviennent l’investissement clé dans un monde où tout logiciel est présumé vulnérable.

Mythos n’a pas changé mon argumentaire. Il l’a juste rendu impossible à ignorer.

Quand toutes les serrures peuvent être crochetées, seules survivront les organisations qui rendent le contenu du coffre-fort lui-même impénétrable. Ce n’est plus une position théorique. C’est la réalité d’aujourd’hui.

Que doivent faire les organisations maintenant ?

Premièrement, admettre que la sécurité applicative, bien que toujours nécessaire, n’est plus suffisante comme stratégie de défense principale. Le volume de vulnérabilités détectables va bientôt dépasser la capacité de réaction de toute organisation. Les budgets et architectures de sécurité doivent se réorienter vers la protection des données indépendamment des applications qui les traitent.

Deuxièmement, réaliser un exercice de découverte et de classification des données. Le rapport Thales Data Threat 2026 a révélé que seulement 33 % des organisations savent précisément où résident leurs données. Impossible de protéger ce que l’on ne trouve pas. Investissez dans des outils automatisés de découverte qui cartographient les données sensibles dans les référentiels structurés et non structurés, sur le cloud comme sur site.

Troisièmement, mettre en place un chiffrement à la couche donnée avec des clés gérées par le client. Le chiffrement au niveau applicatif ou du transport est nécessaire mais insuffisant. Les données doivent être chiffrées au repos et en transit avec des clés contrôlées par l’organisation — ni par le fournisseur cloud, ni par l’éditeur SaaS, et encore moins par le modèle d’IA.

Quatrièmement, déployer des contrôles d’accès basés sur les attributs qui accompagnent la donnée. Les accès statiques basés sur les rôles échouent quand la donnée circule entre organisations, dans les workflows IA ou via des écosystèmes tiers. Les règles d’accès doivent être intégrées à la donnée elle-même pour être appliquées quel que soit le système ou l’endroit où le fichier est ouvert.

Cinquièmement, gouverner l’accès aux données par l’IA avec la même rigueur que pour les humains. Le rapport CrowdStrike 2026 Global Threat a documenté une hausse de 89 % des attaques menées par des adversaires dopés à l’IA. Les agents IA sont à la fois des outils de productivité et des vecteurs d’attaque. Chaque interaction IA avec des données sensibles doit être authentifiée, autorisée, journalisée et traçable — à la couche donnée, pas au niveau du modèle.

Les organisations qui considèrent Mythos comme un signal d’alarme — et réorientent dès maintenant leurs investissements vers la sécurité à la couche donnée — seront celles qui survivront à ce qui arrive.

Foire aux questions

Les correctifs restent nécessaires mais ne suffisent plus comme première ligne de défense. Des modèles d’IA comme Mythos découvrent des vulnérabilités plus vite que les organisations ne peuvent les corriger — le délai moyen de correction est de 74 jours alors que l’exploitation commence désormais avant même la publication des correctifs. Les organisations doivent maintenir leurs programmes de patching tout en réorientant leurs investissements principaux vers la sécurité à la couche donnée, qui protège le contenu sensible indépendamment des applications qui le traitent.

La sécurité centrée sur la donnée intègre le chiffrement et les contrôles d’accès directement dans les fichiers grâce à des technologies comme les contrôles d’accès basés sur les attributs et les formats de chiffrement persistant. Un fichier reste protégé où qu’il aille — sur le cloud, dans des systèmes tiers ou dans des workflows IA. Le rapport Thales Data Threat 2026 montre que seulement 33 % des organisations savent où résident leurs données, d’où l’importance d’une protection intégrée à la couche donnée.

Les agents IA sont à la fois des outils de productivité et un risque pour la sécurité des données. Le rapport CrowdStrike 2026 Global Threat fait état d’une hausse de 89 % des attaques dopées à l’IA. Il faut gouverner l’accès aux données par l’IA à la couche donnée — et non au niveau du modèle — en utilisant des règles ABAC, l’authentification OAuth 2.0 et la journalisation infalsifiable de chaque interaction IA avec des données réglementées.

Oui. NIST SP 800-207 définit l’architecture Zero Trust comme centrée sur la protection des données et des services. Les recommandations de la NSA en 2024 sur l’avancement du Zero Trust abordent spécifiquement le pilier données, notant qu’il reste le moins mature dans la plupart des déploiements fédéraux. Le Zero Trust doit s’étendre à l’accès aux données par l’IA, avec authentification, autorisation et journalisation appliquées à chaque requête d’agent.

Les outils IA accédant à des données réglementées par HIPAA nécessitent les mêmes contrôles d’accès, chiffrement et traçabilité que les utilisateurs humains. Appliquez des règles ABAC à la couche donnée pour que les agents IA n’accèdent qu’aux données autorisées, avec un chiffrement validé FIPS 140-3 et des journaux d’audit immuables. Le cadre Compliant AI de Kiteworks régit l’accès des agents IA aux informations médicales protégées (PHI) avec la même rigueur que pour les humains.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks