La BCE convoque d’urgence les banques européennes ce mardi face aux risques cybernétiques posés par Claude Mythos d’Anthropic. Ce modèle d’IA révolutionnaire détecte des failles en 30 minutes, créant un déséquilibre technologique majeur entre l’Europe et les États-Unis.
L’IA menace les banques européennes, alerte la BCE
La BCE tire la sonnette d’alarme. Ce mardi 26 mai, l’institution de Francfort a convoqué d’urgence les principales banques du continent pour une réunion exceptionnelle consacrée aux risques cybernétiques que fait peser l’intelligence artificielle sur le système financier européen. Au cœur des inquiétudes : Claude Mythos, le dernier modèle d’Anthropic, dont les capacités à détecter et exploiter des failles de sécurité à une vitesse sans précédent suscitent une vive alarme chez les régulateurs.
Frank Elderson, membre du conseil de surveillance bancaire de la BCE, ne prend pas de gants : « Il semble que si l’un des grands fournisseurs de logiciels publie un correctif, il soit possible de faire de l’ingénierie inverse de la vulnérabilité que ce correctif devrait colmater, non pas en semaines, mais peut-être en trente minutes. » Une accélération proprement vertigineuse, qui bouleverse les fondements mêmes sur lesquels repose la cybersécurité bancaire traditionnelle — des fondements construits à une époque où les attaquants disposaient de jours, voire de semaines, pour exploiter une faille avant qu’elle ne soit comblée.
Claude Mythos : un détecteur de failles d’une puissance inégalée
Les performances de Claude Mythos redistribuent radicalement les cartes de la détection de vulnérabilités informatiques. Selon les données publiées par Finance Yahoo, le modèle a franchi 73 % des défis de niveau expert lors des tests Capture the Flag — un score jamais atteint par aucune intelligence artificielle avant avril 2025. Plus troublant encore, Mythos génère des exploits fonctionnels dès la première tentative dans 83 % des cas, surpassant régulièrement les spécialistes humains les plus aguerris.
Les chiffres dévoilés par Anthropic dans le cadre du Project Glasswing donnent le vertige. En un seul mois, les partenaires du programme ont recensé plus de 10 000 vulnérabilités, dont 6 202 failles de gravité élevée ou critique réparties dans plus d’un millier de projets open source — soit un taux de détection multiplié par dix par rapport aux méthodes antérieures. Le modèle a également permis de déjouer un virement frauduleux de 1,5 million de dollars au sein d’une banque partenaire. Mozilla, de son côté, a intégré pas moins de 271 correctifs dans Firefox 150 grâce aux découvertes de Mythos, un volume exceptionnel qui illustre à lui seul l’efficacité redoutable du système.
L’Europe face à un fossé technologique préoccupant
L’inquiétude de la BCE se teinte d’une amère frustration géopolitique. Le Project Glasswing ne compte qu’une quarantaine d’organisations partenaires, quasi exclusivement américaines : Amazon, Microsoft, Google, Nvidia, JPMorgan Chase… Aucune banque européenne ne figure sur cette liste restreinte, creusant un déséquilibre d’accès aux technologies de pointe particulièrement préjudiciable en matière de cybersécurité. Cette asymétrie n’est pas seulement technique : elle est stratégique. Les établissements américains partenaires bénéficient d’une longueur d’avance considérable pour détecter et corriger leurs propres failles, là où les banques européennes avancent à l’aveugle.
Les régulateurs du Vieux Continent en sont pleinement conscients. Valdis Dombrovskis, commissaire européen, a confirmé que l’Union européenne mène des négociations avec Anthropic depuis le 4 mai pour obtenir un accès aux capacités de Mythos. Ces pourparlers ont cependant marqué le pas à la mi-mai, selon The Next Web, sans qu’une issue claire se dessine.
Face à cette impasse, la France choisit de riposter par l’innovation souveraine. Mistral AI développe son propre modèle de cybersécurité destiné aux banques européennes, en s’appuyant sur ses clients existants — HSBC, BNP Paribas — pour en affiner les performances. Arthur Mensch, PDG de Mistral, présente ouvertement cette initiative comme une question de souveraineté technologique, refusant de laisser la sécurité des infrastructures financières du continent dépendre exclusivement d’acteurs américains dont les priorités et les calendriers ne coïncident pas nécessairement avec les intérêts européens.
Des exigences renforcées pour les banques européennes
La stratégie de la BCE se déploie selon trois axes complémentaires. En premier lieu, l’institution exige une accélération drastique des cycles de correction des failles de sécurité. Elderson y va d’une métaphore musicale saisissante : « En termes musicaux, je dirais qu’andante a peut-être suffi jusqu’ici, mais nous devons désormais passer à presto. » L’image dit tout de l’urgence ressentie par le régulateur.
En second lieu, la BCE presse les banques américaines présentes à la réunion de partager leurs retours d’expérience avec leurs homologues européens. Cette mutualisation contrainte vise à compenser, au moins partiellement, le handicap structurel dont souffrent les établissements du continent en matière d’accès aux outils de détection les plus avancés.
En troisième lieu, l’institution prévient que l’absence d’accès direct à Mythos ne saurait constituer une excuse à l’inaction. Car les acteurs malveillants, eux, ne se priveront pas longtemps de développer ou d’acquérir des capacités équivalentes : Anthropic estime à six à douze mois le délai avant que cet argument d’inaccessibilité ne devienne irrecevable.
Un défi systémique pour la stabilité financière
Les implications de cette révolution technologique débordent très largement le cadre purement technique. La Banque d’Angleterre et la Réserve fédérale américaine ont organisé des réunions similaires avec leurs propres dirigeants bancaires, soulignant la dimension systémique — et potentiellement déstabilisatrice — de ces risques pour l’ensemble du secteur financier mondial. Palo Alto Networks révèle pour sa part que les modèles d’intelligence artificielle avancés détectent désormais des vulnérabilités à un rythme sept fois supérieur à celui observé avec les méthodes conventionnelles.
Le cadre réglementaire européen, notamment le Digital Operational Resilience Act (DORA), devra s’adapter sans délai à cette nouvelle donne technologique. La question centrale demeure, lancinante : les institutions financières européennes parviendront-elles à se défendre efficacement contre des menaces qu’elles ne peuvent pleinement appréhender faute d’accès aux outils les plus performants ?
