La BCE organise une réunion d’urgence avec les banques européennes pour faire face aux risques cybernétiques posés par Claude Mythos, l’IA d’Anthropic capable d’identifier des milliers de failles de sécurité. L’institution européenne exige une accélération des mesures de protection face à cette nouvelle génération de menaces.
La BCE convoque les banques européennes face aux menaces cybernétiques de l’IA
La Banque centrale européenne (BCE) a réuni en urgence, ce mardi 26 mai, les dirigeants des principales institutions financières du continent pour les confronter à une menace d’un genre nouveau : celle que représente Claude Mythos, le dernier modèle d’intelligence artificielle conçu par la société américaine Anthropic. Cette convocation exceptionnelle traduit une inquiétude profonde au sein de l’institution de Francfort quant aux capacités de ce système à détecter — et potentiellement à exploiter — les failles de sécurité qui traversent les infrastructures bancaires européennes comme autant de fissures invisibles.
Frank Elderson, membre du conseil de surveillance de la BCE et vice-président du Conseil de surveillance prudentielle, n’a pas ménagé ses mots lors d’un entretien accordé au Financial Times. « Il existe tout un éventail de questions de cybersécurité sur lesquelles nous nous sommes engagés avec les banques depuis des années, qui sont toutes encore valides, mais compte tenu des progrès de l’IA, elles doivent être traitées plus rapidement », a-t-il averti, résumant en une phrase la nature du défi : non pas tant une rupture qu’une formidable accélération, dont les banques européennes peinent à mesurer l’ampleur.
Des capacités de détection exceptionnelles mais préoccupantes
Les résultats rendus publics par Anthropic dans le cadre du projet Glasswing ont de quoi saisir. En l’espace d’un seul mois, les partenaires du programme ont identifié plus de 10 000 vulnérabilités grâce à ce modèle expérimental, multipliant par dix les taux de détection antérieurs. Parmi les organisations impliquées figurent des mastodontes technologiques tels que Cloudflare et Mozilla, dont l’expertise en matière de sécurité informatique n’est plus à démontrer.
Les benchmarks confirment cette puissance hors normes. Selon Yahoo Finance, l’Institut britannique de sécurité IA a établi que Mythos Preview réussissait 73 % des défis dits « Capture the Flag » de niveau expert — un seuil qu’aucun modèle d’intelligence artificielle n’avait jamais franchi avant avril 2025. Ces épreuves, conçues pour simuler des attaques informatiques réelles dans des environnements contrôlés, constituent l’étalon-or de l’évaluation des capacités offensives et défensives en cybersécurité. Qu’un système automatisé les résolve avec une telle aisance illustre à quel point la frontière entre outil défensif et arme potentielle demeure ténue.
Dans une démonstration concrète de ses aptitudes, Claude Mythos a permis à l’une des banques partenaires d’identifier et de déjouer un virement frauduleux de 1,5 million de dollars, après qu’un malfaiteur eut compromis le compte de messagerie d’un client. Une prouesse qui illustre le double visage du système : redoutable bouclier entre les mains des défenseurs, redoutable épée dans celles des attaquants.
Un déséquilibre géopolitique préoccupant
C’est précisément là que réside le cœur du problème pour les régulateurs européens. L’accès à Claude Mythos demeure en effet jalousement restreint : seules quarante à cinquante organisations dans le monde ont obtenu le précieux sésame leur permettant d’utiliser ce modèle dans le cadre du projet Glasswing. Et la liste de ces heureux élus révèle une géographie troublante — Amazon, Microsoft, Google, Nvidia, JPMorgan Chase — soit un alignement presque exclusif de géants américains. Aucune banque européenne n’y figure. L’agence ANSA souligne que ce déséquilibre d’accès constitue en lui-même un risque systémique pour le secteur financier européen.
Cette asymétrie technologique place les établissements du Vieux Continent dans une position structurellement vulnérable : exposés aux mêmes menaces que leurs concurrents américains, mais privés des mêmes armes pour y faire face. D’après The Next Web, la BCE a expressément demandé lors de cette réunion aux banques américaines présentes à la table de partager leurs enseignements avec leurs homologues européens exclus du programme. Une requête qui, formulée à demi-mot, révèle l’étendue du fossé technologique désormais ouvert entre les deux rives de l’Atlantique.
Une course contre la montre technologique
L’urgence qu’exprime Frank Elderson ne relève pas du discours convenu. Elle s’ancre dans une réalité opérationnelle que les équipes de sécurité bancaire vivent au quotidien avec une angoisse croissante. « Il semble que, si l’un des grands fournisseurs de logiciels publie un correctif, il soit possible de faire de l’ingénierie inverse de la vulnérabilité que le correctif devrait corriger, non pas en semaines, mais peut-être en 30 minutes », a-t-il expliqué, mesurant dans cette seule phrase le vertige de l’accélération en cours.
Pendant des décennies, les établissements bancaires disposaient de plusieurs jours, parfois plusieurs semaines, pour analyser un correctif de sécurité, tester sa compatibilité avec leurs systèmes et le déployer à grande échelle. Cette fenêtre d’intervention s’est désormais réduite à la durée d’une réunion de crise. Les processus organisationnels, les chaînes de validation, les procédures de tests : tout un édifice méthodologique construit sur l’hypothèse d’un temps disponible se trouve soudainement caduc.
Pour traduire cette rupture de rythme, Elderson a eu recours à une métaphore musicale d’une clarté saisissante : « En termes musicaux, je dirais qu’andante était peut-être suffisant, mais nous devons passer à presto. » Une image qui dit tout de la transformation exigée — non pas un simple ajustement de tempo, mais un changement de nature dans la manière dont les banques conçoivent leur sécurité informatique.
