Mythos et Fable 5 : la véritable rupture n'est pas celle que l'on croit

Gatewatcher

Mythos ne révolutionne pas la découverte des vulnérabilités, mais révèle le vrai défi : décider lesquelles corriger. En cybersécurité, l'avantage se jouera désormais dans l'arbitrage des risques.

L'annonce de Mythos, puis de sa version bridée Fable 5 par Anthropic, a immédiatement suscité les commentaires habituels : une nouvelle génération de modèles d'intelligence artificielle capables de découvrir des vulnérabilités plus vite, d'explorer des chemins d'attaque plus complexes et de renforcer l'avantage des attaquants.

Mais ce n'est pas là que se situe la véritable rupture.

Les modèles évolueront encore. Ils seront bientôt plus rapides, plus autonomes et plus performants. Cette trajectoire est désormais attendue. En revanche, ce que Mythos révèle est beaucoup plus profond : le véritable point de rupture n'est plus la capacité à découvrir des vulnérabilités, mais notre capacité à décider lesquelles traiter.

Pendant des années, le management des vulnérabilités reposait sur une hypothèse implicite : le principal défi consistait à identifier les failles. L'intelligence artificielle fait aujourd'hui voler cette hypothèse en éclats. La découverte n'est plus le facteur limitant. La décision devient le véritable goulot d'étranglement.

C'est probablement là que se jouera la prochaine étape de la cybersécurité.

Tout le monde parle de Mythos… mais la révolution est ailleurs

Il serait tentant de résumer l'arrivée de Mythos à une nouvelle accélération de la course entre attaquants et défenseurs. Les premiers disposeraient désormais d'un outil leur permettant d'explorer des surfaces d'attaque à une vitesse inédite, tandis que les seconds seraient condamnés à courir derrière.

Cette lecture est séduisante, mais incomplète.

Les générations précédentes de modèles étaient déjà capables de produire du code, d'explorer des scénarios d'exploitation ou de contourner certaines protections. La nouveauté n'est pas tant dans les capacités que dans leur accessibilité. Là où il fallait auparavant de solides compétences techniques pour construire une chaîne d'exploitation, l'IA permet désormais d'orchestrer beaucoup plus facilement des raisonnements complexes.

Autrement dit, Mythos démocratise davantage qu'il ne révolutionne.

Or, cette démocratisation produit un effet beaucoup plus important que l'amélioration des performances du modèle lui-même.

Le vrai changement : les petites vulnérabilités deviennent des chemins d'attaque

La plupart des organisations vivent déjà avec des centaines, parfois des milliers de vulnérabilités. Certaines sont connues depuis longtemps. D'autres sont considérées comme mineures. Beaucoup ne seront jamais exploitées isolément et les équipes sécurité apprennent à vivre avec ce risque, faute de pouvoir tout corriger.

Jusqu'à présent, cette stratégie restait relativement soutenable parce que construire une chaîne d'exploitation complète demandait du temps, des compétences et une bonne connaissance du système d'information.

C'est précisément cet équilibre que Mythos remet en question.

Le problème n'est pas qu'il découvre davantage de vulnérabilités. Le problème est qu'il est capable de relier entre elles des faiblesses qui, prises individuellement, semblaient anodines.

Une permission excessive ici, une configuration imparfaite là, un service oublié, une dépendance logicielle non corrigée : aucune de ces vulnérabilités n'est nécessairement critique seule. Ensemble, elles peuvent pourtant dessiner un chemin crédible jusqu'à un actif sensible.

La rupture n'est donc pas quantitative, elle est structurelle.

Nous passons d'un monde où l'on évaluait principalement les vulnérabilités une par une à un monde où leur combinaison devient le véritable risque.

Ce que Mythos révèle : la crise du management des vulnérabilités

En réalité, Mythos ne crée pas cette situation. Il révèle une faiblesse qui existait déjà.

Depuis plusieurs années, les organisations investissent massivement dans la détection : scanners, EDR, ASM, CTEM, Attack Surface Management, outils de priorisation, renseignement sur les menaces… Elles n'ont jamais eu autant de visibilité sur leurs vulnérabilités.

En revanche, elles n'ont jamais eu autant de difficultés à décider lesquelles corriger. Car une vulnérabilité ne se traite jamais dans le vide. Corriger une faiblesse peut interrompre une application métier, nécessiter une fenêtre de maintenance, mobiliser plusieurs équipes, créer un risque opérationnel ou remettre en cause des arbitrages budgétaires.

Le véritable problème n'est donc plus de savoir qu'une vulnérabilité existe. Il est de déterminer si elle mérite d'être traitée maintenant, compte tenu de ce qu'elle permet réellement à un attaquant. Le management des vulnérabilités cesse progressivement d'être un exercice d'inventaire pour devenir un exercice de décision.

De la détection à l'arbitrage

Cette évolution modifie profondément le rôle des équipes de sécurité. Pendant longtemps, leur performance pouvait être mesurée par leur capacité à découvrir toujours plus de vulnérabilités.

Demain, ce critère perdra progressivement de son importance. La valeur résidera dans la capacité à comprendre quelles vulnérabilités sont réellement exploitables, dans quel contexte, selon quelles chaînes d'attaque et avec quelles conséquences métiers.

Autrement dit, il faudra passer d'une logique de listes à une logique de graphes. Les listes resteront indispensables pour inventorier et piloter les actifs mais elles devront être enrichies par une compréhension des relations entre les vulnérabilités, des dépendances techniques et des chemins d'exploitation possibles.

L'intelligence artificielle jouera un rôle majeur dans cette analyse. Elle pourra proposer des scénarios, identifier des enchaînements plausibles, rapprocher des signaux dispersés.

En revanche, elle ne prendra pas la décision. Car aucune IA ne connaît les contraintes opérationnelles, les priorités métiers ou les arbitrages stratégiques propres à chaque organisation. Elle réduira l'incertitude technique mais elle ne supprimera jamais le jugement.

La maturité cyber se jouera désormais dans la décision

Faut-il alors conclure que Mythos marque une rupture majeure ?

Oui, mais pas pour les raisons souvent avancées.

La véritable révolution n'est pas qu'il découvre davantage de vulnérabilités. Elle est qu'il révèle que les organisations sont désormais confrontées à une abondance d'informations qu'elles ne peuvent plus transformer en décisions suffisamment vite.

Le facteur limitant n'est plus la visibilité. C'est la capacité d'arbitrage.

Les organisations les plus matures ne seront donc pas celles qui détecteront le plus de vulnérabilités. Elles seront celles qui sauront identifier les quelques chaînes d'exploitation réellement dangereuses, accepter certains risques, en traiter d'autres immédiatement et justifier ces décisions de manière cohérente.

La cybersécurité entre ainsi dans une nouvelle phase. Pendant vingt ans, le défi principal consistait à découvrir les vulnérabilités. Demain, le véritable avantage compétitif résidera dans la capacité à décider lesquelles comptent réellement. C'est probablement cela, plus que Mythos lui-même, qui constitue la véritable rupture.