Claude Mythos dans les SOC européens : quand l'IA souveraine devient l'outil de test d'intrusion préféré des DSI

Claude Mythos dans les SOC européens : quand l'IA souveraine devient l'outil de test d'intrusion préféré des DSI

Vous avez un prestataire de pentest qui vient deux fois par an, un SIEM qui génère trop d'alertes pour être vraiment lu, et une équipe sécurité débordée. Entre les deux audits, vos failles vieillissent tranquillement. C'est précisément dans ce vide opérationnel que des équipes IT européennes ont commencé à positionner Claude Mythos — le modèle d'Anthropic taillé pour le raisonnement complexe et le travail sur des environnements contraints — comme un assistant de red teaming en continu. Le résultat est plus nuancé qu'un simple gain d'efficacité. C'est une recomposition partielle du métier.

Ce qui s'est passé, et pourquoi maintenant

Claude Mythos, déployé par Anthropic en début d'année, n'est pas apparu dans le vide. Il s'inscrit dans une trajectoire claire : celle des grands modèles de langage qui ont progressivement gagné la capacité d'exécuter des raisonnements multi-étapes sur des contextes longs et techniques. Ce qui change avec cette génération de modèles, c'est moins la puissance brute que la capacité à maintenir une cohérence de raisonnement sur des chaînes de pensée complexes — un prérequis pour simuler la logique d'un attaquant qui pivote d'un système à un autre.

Ce qui a déclenché l'adoption côté européen, c'est la conjonction de trois facteurs. D'abord, la disponibilité de Mythos via des infrastructures d'hébergement conformes au RGPD, notamment à travers des API déployables en région UE. Ensuite, une pression réglementaire accrue : NIS2 est en cours de transposition dans la plupart des États membres, et les entreprises concernées cherchent des moyens de justifier une posture de sécurité active sans exploser leur budget. Enfin, une maturité croissante des équipes IT qui, après avoir expérimenté les LLM sur des cas d'usage de productivité, cherchent à les pousser sur des sujets plus stratégiques.

Le red teaming assisté par IA n'est pas une idée neuve. Ce qui change, c'est qu'il devient accessible à des organisations qui n'ont pas les moyens d'une équipe offensive dédiée.

Ce que ça veut dire concrètement pour un DSI de PME/ETI

Soyons précis sur ce que Mythos fait — et ce qu'il ne fait pas — dans ce contexte.

Ce qu'il fait bien. Mythos excelle à modéliser des scénarios d'attaque à partir d'une description d'architecture. Vous lui donnez votre schéma de réseau, vos technologies exposées, vos points d'entrée connus, et il vous produit une analyse de surface d'attaque avec une logique de priorisation qui tient la route. Il peut aussi générer des scénarios de phishing sophistiqués pour vos campagnes de sensibilisation, rédiger des playbooks de réponse à incident calibrés sur votre contexte, ou éplucher des logs bruts pour identifier des patterns anormaux qu'un analyste humain aurait laissé passer faute de temps.

Certaines équipes l'utilisent aussi pour ce qu'on appelle l'adversarial emulation : simuler le raisonnement d'un groupe APT spécifique sur votre environnement, à partir de rapports de threat intelligence disponibles publiquement. Le modèle ne remplace pas un outil de pentest, mais il structure la réflexion tactique d'une manière qui était jusqu'ici réservée aux consultants expérimentés.

Ce qu'il ne fait pas. Mythos ne va pas sur votre réseau. Il n'exécute pas de code, ne scanne pas vos ports, ne tente pas d'exploitation réelle. C'est un outil de raisonnement, pas un framework d'attaque. Confondre les deux serait une erreur d'appréciation sérieuse. Il ne remplace pas un Metasploit, un Burp Suite, ni a fortiori une équipe de pentesters humains qui comprennent les subtilités de votre environnement de production.

La vraie valeur est dans l'espace entre les deux : l'analyse stratégique continue, le travail de préparation, la documentation, la formation.

La question de la souveraineté, posée honnêtement

Il serait trop facile de présenter Mythos comme une solution souveraine clé en main. La réalité est plus complexe.

Anthropic est une entreprise américaine, soumise au droit américain et potentiellement aux instruments de surveillance qui l'accompagnent. La conformité RGPD d'un déploiement Mythos dépend entièrement de la façon dont vous le déployez : via quel fournisseur, dans quelle région, avec quelle garantie contractuelle sur la non-utilisation de vos données pour l'entraînement.

Certaines ETI choisissent de passer par des acteurs comme Scaleway ou d'autres hébergeurs certifiés HDS/SecNumCloud qui proposent des configurations d'API compatibles. D'autres, dans des secteurs réglementés comme la finance ou la santé, ont pris la décision inverse : exclure tout modèle dont le code source n'est pas auditable, et se tourner vers des modèles open source déployés on-premise — Llama ou Mistral en tête — quitte à sacrifier une partie des capacités de raisonnement.

Le vrai sujet souveraineté n'est pas idéologique, il est contractuel et opérationnel. Posez à votre prestataire les bonnes questions : où mes données sont-elles traitées ? Sont-elles utilisées pour améliorer le modèle ? Quelle est la procédure en cas de demande d'accès par une autorité étrangère ? Si vous n'obtenez pas de réponse claire, ce n'est pas une question de confiance dans l'IA, c'est une question de due diligence basique.

Ce que les early adopters ont appris à leurs dépens

Plusieurs équipes ayant expérimenté Mythos sur des cas de sécurité offensifs font remonter les mêmes observations.

Le prompt engineering est une compétence sécurité. Un modèle de langage, même excellent, produit des analyses d'autant meilleures que vous lui fournissez un contexte riche et structuré. Les équipes qui ont obtenu les résultats les plus pertinents sont celles qui ont investi du temps à construire des templates de briefing — équivalents des questionnaires de cadrage qu'on remplit avant un audit externe. Ceux qui ont simplement tapé « analyse ma sécurité » ont obtenu des généralités sans intérêt.

La confiance aveugle est le principal risque. Mythos peut produire des scénarios d'attaque plausibles mais incomplets, ou rater des vecteurs spécifiques à votre contexte parce qu'il ne connaît pas la dette technique de votre ERP vieux de quinze ans. Le modèle ne dit pas « je ne sais pas » aussi souvent qu'il le devrait. La validation humaine n'est pas optionnelle.

L'usage en formation dépasse souvent l'usage offensif. Là où plusieurs DSI ont trouvé le ROI le plus évident — sans inventer de chiffres, simplement en observant l'adoption — c'est dans la formation continue de leurs équipes SOC. Mythos comme partenaire de simulation de scénarios, comme outil de debriefing après incident, comme générateur de cas pratiques pour les juniors. C'est moins glamour que le red teaming, mais c'est là que le levier est le plus immédiat.

Ce que ça devrait changer dans votre façon de piloter la sécurité

Si vous pilotez la sécurité d'une ETI avec une équipe de taille réduite, l'émergence de ces outils soulève une question de fond : est-ce que votre modèle opérationnel de sécurité est encore adapté à 2026 ?

Pendant longtemps, la logique dominante a été celle du cycle audit : on mandate un cabinet, on reçoit un rapport, on priorise les corrections, on attend le prochain audit. Ce modèle reste valable pour la conformité réglementaire formelle. Mais il est structurellement aveugle entre les cycles, précisément là où les attaquants opèrent.

Les outils comme Mythos n'ont pas vocation à remplacer cette logique — ils peuvent l'enrichir d'une couche de questionnement continu. Un analyste qui passe deux heures par semaine à challenger l'architecture du SI avec un assistant de raisonnement, à simuler des scénarios sur les nouvelles surfaces d'attaque introduites par les derniers projets, à documenter les hypothèses testées et leurs limites : c'est un profil qui devient plus stratégique, pas moins.

Mais cela suppose d'accepter un changement de posture managériale. Donner à un analyste le temps et la légitimité de faire ce travail de réflexion, plutôt que de le noyer dans la gestion des tickets et des alertes, c'est un choix d'organisation. L'outil ne fait rien si la culture n'est pas là.

La vraie question que peu de DSI se posent encore

Derrière l'enthousiasme pour Mythos et les outils similaires se cache un problème qui ne sera pas résolu par la technologie : la pénurie de profils capables d'exploiter ces outils à leur plein potentiel. Un modèle de raisonnement avancé entre les mains d'un profil junior sans culture de la sécurité offensive peut produire une fausse impression de couverture. Pire, il peut générer des analyses partielles qui endorment la vigilance au lieu de la stimuler.

L'IA amplifie les capacités de ceux qui savent quoi chercher. Elle ne comble pas le déficit de compétences — elle le rend plus visible.

La vraie question n'est donc pas « est-ce que j'adopte Mythos pour la cybersécurité ? » mais « est-ce que j'ai les bons profils pour que cet outil soit autre chose qu'un générateur de rapports rassurants ? » C'est une question de ressources humaines avant d'être une question technologique. Et c'est probablement le débat que les DSI européens devraient avoir maintenant, avant que la pression réglementaire NIS2 ne les force à y répondre dans l'urgence.