Les impacts d'Anthropic Claude Mythos sur les RSSI

L'arrivée de Claude Mythos et de ses capacités à détecter rapidement les failles bouleverse le monde de la cybersécurité. Deux analyses mettent en lumière les lacunes dans la gestion des vulnérabilité et la réduction des délais pour leur exploitation. Les RSSI doivent se préparer à ces évolutions.

La semaine dernière, la divulgation du projet Glasswing par Anthropic a provoqué deux types assez classiques de réactions. D'une part, de l'inquiétude face à un système IA capable d'identifier et d'exploiter de manière autonome des vulnérabilités. Et d’autre part, une certaine forme de dédain pour dire qu’il n’y avait là rien de nouveau. Une note d'information de la Cloud Security Alliance (CSA), rédigée sous la direction de Gadi Evron, CEO de Knostic (société en cybersécurité), de Rob T. Lee, directeur de la recherche et de l’IA au SANS Institute, et de Rich Mogull, analyste en chef à la CSA, apporte un point de vue plus nuancé. Le document s'appuie sur un large éventail de contributeurs, dont l'ancienne directrice de la CISA Jen Easterly, le spécialiste en sécurité Bruce Schneier, l'ancien directeur national de la cybersécurité aux Etats-Unis Chris Inglis et l'ancien RSSI de Google Phil Venables, ainsi que des dizaines de RSSI et de CEO.

Selon M. Evron, le fait de rassembler aussi rapidement des contributions de ce niveau parmi tant de dirigeants reflète la nature même de la cybersécurité : « Ce secteur est aussi une communauté, et pour se connaître, tout ce dont les gens ont besoin, c’est une bonne cause ; il est important pour nous de dissiper le bruit et de diffuser des informations fiables. » La conclusion du groupe est sans équivoque : Glasswing n’est pas un cas isolé. C’est le premier exemple d’une capacité qui va se généraliser, et les RSSI devraient commencer à s’y préparer. « À court terme, les équipes de sécurité risquent d’être submergées par la nécessité d’appliquer des correctifs et de réagir aux vulnérabilités, aux exploits et aux attaques autonomes détectés par l’IA », indique le document. « La vague de divulgations de vulnérabilités issue du projet Glasswing est la première d’une longue série », a-t-il poursuivi.

Un changement de vitesse

La détection de vulnérabilités par l’IA n’est pas une nouveauté. Ce qui a changé, c’est la vitesse. Des tâches qui prenaient autrefois des semaines, voire des mois — trouver une faille, créer un exploit, l’intégrer dans une attaque — peuvent désormais être accomplies en quelques heures. Selon le document, « Claude Mythos (Preview) d’Anthropic représente un changement radical dans cette trajectoire : il détecte de manière autonome des milliers de vulnérabilités critiques sur tous les principaux systèmes d’exploitation et navigateurs, génère des exploits fonctionnels sans intervention humaine et permet l’orchestration autonome d’attaques, le tout à une vitesse et à une échelle qui surpassent toutes les capacités antérieures. » Cette accélération accentue une asymétrie bien connue : les défenseurs doivent avoir raison à chaque fois, tandis que les attaquants n’ont besoin de réussir qu’une seule fois. De plus, « le délai entre la découverte et l’exploitation s’est réduit à quelques heures. Les attaquants en tirent un avantage disproportionné, et les cycles de correctifs, les processus de réponse et les indicateurs de risque actuels n’ont pas été conçus pour cet environnement », indique l’article. « Mettre en place un programme de sécurité « prêt pour Mythos » ne consiste pas à réagir à un modèle ou à une annonce en particulier, mais à combler de manière permanente le fossé entre la rapidité avec laquelle les vulnérabilités sont détectées et celle avec laquelle l’entreprise est capable de réagir. »

Claude Mythos marque une avancée

Une analyse distincte menée par l’AI Security Institute (AISI) au Royaume-Uni a évalué Mythos lui-même, avec à la fois des défis de type « capture the flag » (CTF) et des scénarios plus complexes conçus pour simuler des attaques en plusieurs étapes, dans lesquels le modèle a surpassé les autres systèmes IA. Mythos s’est classé en tête lors d’une simulation d’attaque de réseau d’entreprise en 32 étapes, allant de la reconnaissance initiale à la prise de contrôle totale du réseau, une tâche qui, selon les estimations de l'institut, prendrait 20 heures à un humain.

Les tests de l'AISI ont également montré que le service est capable d'attaquer de manière autonome des systèmes d'entreprise de petite taille et faiblement défendus une fois l'accès obtenu. « Nos tests montrent que Mythos peut exploiter des systèmes dont la posture de sécurité est faible, et d'autres modèles dotés de ces capacités seront probablement développés », a conclu l’organisme.

Ce que les RSSI doivent faire dès maintenant

Il recommande aux entreprises de renforcer leurs bases, notamment en appliquant régulièrement les mises à jour de sécurité, en mettant en place des contrôles d'accès robustes, en configurant correctement la sécurité et en instaurant une journalisation complète. L’institut britannique précise : « Les futurs modèles de pointe seront encore plus performants ; il est donc essentiel d'investir dès maintenant dans la cyberdéfense. Les capacités de l’IA sont à double usage : si elles posent des défis de sécurité, elles peuvent également contribuer à apporter des améliorations révolutionnaires dans le domaine de la défense. »

De son côté la Cloud Security Alliance met en avant trois points à surveiller pour les RSSI. Sur le plan opérationnel, il faut s’attendre à une vague de correctifs provenant des quelques 40 fournisseurs participant au programme d’accès anticipé à Mythos. Sur la gestion des risques, l’organisme plaide pour une meilleure collaboration entre les parties prenantes tout en soulignant que la capacité des RSSI à gérer les risques est de plus en plus limitée. Sur la partie planification stratégique, les responsables cybersécurité devront mener une analyse des lacunes à long terme et réorganiser de manière sélective les fonctions clés, , y compris les processus de gouvernance qui permettent une intégration plus rapide des technologies et le déploiement de contrôles de sécurité basés sur l’IA. Le rapport élève également Mythos comme une question relevant du conseil d’administration, ce qui permet aux RSSI de définir les capacités actuelles et de justifier de nouveaux investissements. En conclusion, la CSA indique que « les attaques fondées sur l'IA marquent un changement structurel dans le fonctionnement de l'attaque et de la défense, et cette tendance est appelée à perdurer. Le seuil de coût et de capacité nécessaire pour exploiter une faille diminue, le délai entre la divulgation d'une faille et son utilisation à des fins malveillantes tend vers zéro, et des capacités qui nécessitaient auparavant les ressources d'un État-nation deviennent désormais largement accessibles. »