« Le fait de ne pas avoir accès à ce modèle n’est pas une excuse pour rester inactif. » Cette déclaration de Frank Elderson, vice-président du conseil de surveillance prudentielle de la Banque centrale européenne (BCE), résume l’urgence avec laquelle l’institution financière européenne considère désormais les enjeux liés aux modèles d’intelligence artificielle avancés, comme Mythos, développé par Anthropic. Selon Cryptoast, la BCE a convoqué une réunion de crise ce 26 mai 2026 pour alerter les acteurs financiers de la zone euro sur les menaces que représentent ces outils en matière de cybersécurité.

Ce qu'il faut retenir

  • La BCE craint que des modèles d’IA comme Mythos, capables de détecter des failles de sécurité critiques, ne soient détournés par des acteurs malveillants pour des cyberattaques.
  • Le projet Glasswing d’Anthropic, basé sur Mythos, est déjà déployé auprès de quelques entreprises américaines, dont JPMorgan.
  • Selon Anthropic, Mythos a permis d’identifier « des milliers de failles graves » dans des systèmes d’exploitation et navigateurs majeurs.
  • La BCE craint que des correctifs de sécurité ne soient neutralisés en 30 minutes par l’IA, avant même leur déploiement.
  • Frank Elderson a souligné la nécessité d’une coopération accélérée avec les banques américaines pour anticiper ces risques.

L’IA comme arme à double tranchant en cybersécurité

La BCE n’est pas la première à tirer la sonnette d’alarme sur les cryptomonnaies ou la finance décentralisée, mais elle élargit désormais son spectre d’inquiétude à l’intelligence artificielle. Selon Cryptoast, l’institution s’alarme particulièrement du modèle Mythos, développé par le laboratoire américain Anthropic, connu pour son assistant conversationnel Claude. Ce modèle, présenté en avril 2026 dans le cadre du projet Glasswing, est conçu pour analyser et détecter des vulnérabilités informatiques à une échelle inédite. Anthropic affirme qu’il a déjà permis de repérer « des milliers de failles de sécurité très graves », dont certaines affectent les principaux systèmes d’exploitation et navigateurs web.

Pour autant, cette puissance soulève une question cruciale : et si ces outils tombaient entre de mauvaises mains ? Frank Elderson a rappelé dans les colonnes du Financial Times que « des acteurs malveillants pourraient bientôt avoir accès à cette technologie ». Une hypothèse d’autant plus plausible que le déploiement de Glasswing reste limité, pour l’instant, à quelques entreprises américaines triées sur le volet — un rythme que la BCE juge insuffisant face à la rapidité de l’IA.

Une course contre la montre pour les institutions financières

Lors de la réunion de crise organisée ce 26 mai, la BCE a insisté sur l’urgence d’agir. D’après Cryptoast, l’institution a exigé des retours concrets des banques américaines, comme JPMorgan, dont la filiale européenne est sous supervision directe de la BCE. Le géant bancaire américain fait en effet partie des rares entités à avoir déjà accès à Glasswing. Pour la BCE, cette coopération est indispensable, car les modèles d’IA comme Mythos permettent une analyse des vulnérabilités en temps réel — bien plus rapidement que les processus traditionnels de correction des failles.

Frank Elderson a illustré ce décalage en prenant l’exemple d’une faille corrigée par un éditeur de logiciels : « L’IA pourrait procéder à une ingénierie inverse de la vulnérabilité en tout juste 30 minutes, alors que sa mise en application ne serait pas encore effective. » Autrement dit, même avec un correctif disponible, le temps nécessaire à son déploiement laisse une fenêtre de vulnérabilité exploitable. Cette situation met en lumière l’asymétrie entre la réactivité des outils automatisés et la lenteur des protocoles humains et institutionnels.

Anthropic étend son projet Glasswing, mais reste flou sur les partenariats

Face à ces enjeux, Anthropic a annoncé qu’il comptait ouvrir son projet Glasswing à « des partenaires supplémentaires » sans préciser, pour l’instant, lesquels. Le laboratoire évoque toujours son objectif de proposer un jour un modèle d’IA grand public basé sur Mythos, accompagné de garde-fous adaptés. Anthropic n’a pas communiqué sur les critères de sélection de ces nouveaux partenaires, ni sur les garanties de sécurité mises en place pour éviter tout détournement. Cette opacité alimente les craintes des régulateurs, dont la BCE, qui craignent que la technologie ne soit utilisée à des fins malveillantes avant même que des cadres réglementaires ne soient établis.

Pour rappel, Anthropic a révélé que Mythos avait déjà permis de découvrir des failles dans des infrastructures critiques, avec « des répercussions qui pourraient être graves pour les économies, la sécurité publique et la sécurité nationale ». Une affirmation qui a de quoi inquiéter les autorités européennes, d’autant que les cyberattaques contre les institutions financières se multiplient depuis plusieurs années.

Et maintenant ?

La BCE a désormais placé la cybersécurité liée à l’IA en tête de ses priorités, mais son action dépendra en grande partie de la coopération internationale, notamment avec les États-Unis. Anthropic, de son côté, devra clarifier ses partenariats et ses engagements en matière de sécurité avant la prochaine phase de déploiement prévue dans les prochains mois. D’ici là, les acteurs financiers européens devront évaluer leurs propres vulnérabilités et adapter leurs protocoles — un processus qui s’annonce complexe dans un contexte où l’innovation technologique devance souvent la régulation.

Pour l’heure, la BCE n’a pas détaillé les mesures concrètes qu’elle compte imposer aux banques de la zone euro. Une chose est sûre : l’institution ne compte pas attendre que des incidents majeurs surviennent pour agir. « Il existe toute une série de questions relatives à la cybersécurité sur lesquelles nous travaillons avec les banques depuis des années et qui restent toutes d’actualité, mais compte tenu des progrès réalisés dans le domaine de l’IA, elles doivent être traitées plus rapidement », a insisté Frank Elderson.

Glasswing est une initiative lancée par Anthropic en avril 2026, basée sur son modèle d’IA Mythos. Elle vise à utiliser l’intelligence artificielle pour détecter des vulnérabilités de sécurité dans les systèmes informatiques. À ce stade, le projet est déployé auprès d’un nombre restreint d’entreprises américaines, mais Anthropic prévoit de l’étendre à d’autres partenaires.

La BCE craint que des modèles comme Mythos, capables d’identifier des milliers de failles en un temps record, ne soient détournés par des cybercriminels pour orchestrer des attaques ciblées avant que les correctifs ne soient appliqués. Selon Frank Elderson, l’IA pourrait inverser une vulnérabilité en 30 minutes — un délai bien inférieur à celui nécessaire pour déployer une correction.