Blog 5 questions essentielles sur Mythos auxquelles tout RSSI doit répondre | Insight

Mythos a mis au jour des milliers de nouvelles vulnérabilités critiques. Voici les cinq questions que l'on va poser à tous les RSSI, et la méthode pour y répondre.

Si vous vous êtes réveillé à 3 heures du matin ces dernières semaines en passant mentalement en revue votre infrastructure informatique (les systèmes hérités, les dépendances open source auxquelles personne n'a touché depuis des années, les logiciels tiers intégrés lors de fusions-acquisitions), rassurez-vous : vous n'êtes pas seul.

Tous les RSSI avec qui j'ai échangé depuis qu'Anthropic a rendu public son modèle LLM Mythos effectuent le même inventaire mental.

En s'appuyant sur la puissance de Mythos, le Project Glasswing a révélé des milliers de vulnérabilités critiques jusqu'alors inconnues au sein des systèmes d'exploitation, des navigateurs et des couches d'infrastructure. C'est la partie qui a fait la une des médias.

La réalité la plus complexe surgit au milieu de la nuit : bien que rien n'ait changé physiquement dans notre environnement informatique, notre surface de risque et notre exposition ont augmenté de manière exponentielle. Des vulnérabilités qu'il était jusqu'ici impossible d'exploiter concrètement peuvent désormais être combinées en chaîne par Mythos pour compromettre n'importe quel réseau dès qu'un premier point d'accès est trouvé.

Ce phénomène ne pourra pas être endigué en restreignant simplement l'accès à Mythos. Tous les modèles d'IA de pointe (frontier models) intégreront désormais ces capacités natives. Une certitude s'impose : l'IA a créé cette surface d'exposition, et l'IA devra impérativement faire partie de notre stratégie de défense.

Voici ce que j'ai appris en répondant aux interrogations du terrain depuis le mois d'avril. Les angoisses nocturnes s'apaisent lorsque les correctifs sont appliqués. La stratégie de jour, elle, se construit dès maintenant.

Anticiper précisément ce que votre conseil d'administration, votre direction juridique et les autorités de régulation vont vous demander — et préparer une réponse opérationnelle et défendable — c'est ce qui vous permet de piloter la situation au lieu de la subir.

Voici les cinq questions cruciales.

En préambule : ce que Mythos a réellement fait

Le Project Glasswing était une coalition à diffusion contrôlée. Anthropic a mis son modèle d'IA le plus avancé, Mythos, à la disposition d'un groupe restreint d'acteurs technologiques afin qu'ils scannent leur propre code source à la recherche de vulnérabilités, avant toute divulgation publique.

Résultat : des milliers de failles critiques inconnues ont été détectées au sein des principaux systèmes d'exploitation, navigateurs, équipements réseaux (edge devices) et couches d'infrastructure. Mythos a analysé le code source directement à la racine, révélant des failles présentes en production depuis des années, parfois des décennies.

Les correctifs arrivent. La question est de savoir si votre entreprise est prête à les déployer.

Question 1 : « Quelle est notre exposition réelle, et disposons-nous d'un inventaire précis de nos actifs ? »

C'est généralement la première question, et souvent la plus difficile à aborder avec une totale franchise. Mythos a redéfini la dangerosité des vulnérabilités : l'IA est capable d'associer des CVE de sévérité moyenne ou faible pour obtenir le même niveau d'accès qu'un exploit critique. Votre pile de correctifs en retard (backlog) prend soudainement une importance capitale.

Si vous ne pouvez pas évaluer précisément l'exposition demandée par votre direction générale, c'est généralement parce que la visibilité continue des actifs informatiques n'a pas été traitée comme une fonction critique de l'entreprise. Dans la plupart des infrastructures, une infime fraction de vulnérabilités concentre l'immense majorité du risque réel. Vous devez identifier les failles critiques d'aujourd'hui, pas celles du trimestre dernier.

Et l'équation se complique face au volume de correctifs publiés par vos constructeurs, éditeurs (OEM) et fournisseurs d'infrastructure. Chaque système d'exploitation, navigateur et couche applicative fait face au même flux massif de divulgations, un rythme qui dépasse déjà les méthodes d'évaluation des risques (risk scoring) sur lesquelles nous nous appuyons depuis dix ans.

La seule réponse valable devant votre comité de direction est un indicateur d'exposition actualisé en temps réel, un responsable identifié pour chaque faille résiduelle, et une méthodologie de notation des risques adaptée aux vulnérabilités combinées en chaîne.

Question 2 : « Pouvons-nous déployer les correctifs assez vite et à grande échelle, sans paralyser la production ? »

L'idéal serait de répondre oui... mais ce n'est probablement pas possible avec vos processus actuels. La plupart des entreprises fonctionnent sur des cycles de patchs hebdomadaires ou mensuels, un rythme hérité d'une époque où les menaces évoluaient lentement. Dès qu'un correctif est publié, le compte à rebours commence pour tout le monde, y compris pour les cybercriminels qui analysent le patch par rétro-ingénierie (reverse engineering) pour identifier la faille sous-jacente.

Vouloir aller trop vite sans méthode casse les systèmes. Dans les structures où une seule personne gère l'informatique, la sécurité et une multitude d'autres fonctions, un déploiement défaillant au mauvais moment se traduit par des jours d'interruption d'activité. La solution consiste à structurer une capacité de réponse aux correctifs basée sur la criticité des actifs informatiques, une gestion du changement (change management) coordonnée et des circuits d'escalade clairs. C'est un nouveau modèle opérationnel, calibré pour la vitesse imposée par la menace.

Ce que vous devez présenter à votre direction est précisément cela : un accord de niveau de service (SLA) de correction strict pour vos actifs critiques, une hiérarchisation documentée pour le reste et un protocole de gestion du changement capable de résister à un déploiement réel en production.

Question 3 : « Que se cache-t-il dans nos logiciels tiers et nos composants open source ? »

Tout RSSI expérimenté connaît la réponse honnête : nous n'en savons rien avec certitude, et c'est là que doit se porter toute notre attention. Rappelez-vous Log4j. Des cyberattaquants avaient injecté des vulnérabilités dans cette bibliothèque des années avant que quiconque ne s'en aperçoive. Elle était utilisée par des milliers d'organisations, qui l'avaient souvent intégrée de bonne foi dans les logiciels livrés à leurs propres clients. L'exposition n'a pas été découverte à temps, elle était déjà partout.

Le Project Glasswing met en lumière cette même réalité, mais à une échelle industrielle. Les vulnérabilités dorment dans les bibliothèques open source intégrées par vos développeurs il y a des années, dans les solutions tierces héritées de rachats d'entreprises ou dans les packages qui propulsent vos infrastructures web.

Si vous ne disposez pas d'une nomenclature logicielle (SBOM - Software Bill of Materials) pour votre environnement, vous avancez à l'aveugle. Ce que vous devez présenter en réunion est un projet de SBOM en cours de déploiement, une liste prioritaire de vos dépendances les plus à risque, et une cellule de contact avec vos éditeurs opérationnelle avant la prochaine vague de divulgations.

Question 4 : « Disposons-nous des ressources d'ingénierie suffisantes pour résorber notre retard de correctifs ? »

C'est la question que personne n'ose formuler à haute voix devant la direction générale, mais que tout le monde garde à l'esprit. La remédiation technique exige des compétences pointues, et la pénurie mondiale de talents en cybersécurité ne s'est pas arrêtée pour faire place à Glasswing. Pour la plupart des entreprises, les ingénieurs capables de mener à bien ces corrections sont déjà saturés par leurs projets quotidiens.

S'il existe un déficit de capacité technique dans vos équipes, le reconnaître de manière transparente est la décision la plus responsable que vous puissiez prendre. Renforcez vos équipes avec des compétences externes, priorisez de manière drastique pour concentrer vos forces internes sur les risques majeurs, et intégrez des pratiques de sécurité dès la conception (*secure-by-default*) dans vos développements futurs. Les entreprises qui s'en sortiront le mieux sont celles qui prennent des décisions réalistes sur leurs ressources dès aujourd'hui.

Ce qui convaincra votre direction, c'est une équation mathématique honnête : le volume d'heures requis, l'écart avec la capacité réelle de votre équipe, et le plan d'action précis que vous mettez en œuvre pour combler ce manque.

Question 5 : « Si un correctif tarde à être appliqué, sommes-nous capables de détecter et de contenir l'exploit ? »

Regardons la réalité en face : tous les correctifs ne pourront pas être appliqués à temps. Le conseil d'administration le sait. La direction juridique le sait. La vraie question qu'ils vous posent est : quel est notre filet de sécurité ?

Le modèle Zero Trust intègre depuis toujours le principe du « postulat de la brèche » (*assume breach*), et la plupart des entreprises ont adopté ce paradigme depuis des années. C'est le moment précis où le postulat de la brèche cesse d'être un concept théorique pour devenir une posture opérationnelle active : surveillance continue, chasse proactive aux menaces (threat hunting) et confinement de l'attaque mesuré en minutes, et non plus en heures.

Si votre boucle de réaction entre la détection et l'isolement d'une menace se mesure en heures, les cyberattaquants avancent déjà plus vite que vous. La réponse défendable consiste à présenter votre temps moyen de confinement (MTTC) actuel, l'objectif de réduction vers lequel vous tendez, et un programme de *threat hunting* spécifiquement calibré pour les surfaces d'exposition liées à Mythos.

Les questions se cumulent. Les réponses aussi.

Aucune de ces cinq questions ne peut être traitée de manière isolée. Un manque de visibilité sur les actifs alimente directement les retards de correctifs. Un retard de correctif ouvre une fenêtre d'opportunité pour l'attaquant, qui met à l'épreuve vos capacités de détection. Une chaîne d'approvisionnement logicielle non auditée signifie que vous portez un risque dont vous n'avez même pas conscience. C'est cet effet cumulatif qui impose de traiter l'exposition à cette échelle par une stratégie parallèle : visibilité continue, correctifs coordonnés, audit de la supply chain logicielle, capacité d'ingénierie renforcée et détection en continu.

Cela implique de fonctionner à la vitesse de l'IA. Mythos a prouvé la puissance de l'IA sur le plan offensif. Notre stratégie défensive doit s'aligner, en intégrant l'automatisation et les outils d'IA à chaque étape de nos efforts de remédiation. C'est l'unique méthode pour garder une longueur d'avance sur les cybercriminels plutôt que de courir perpétuellement après la menace.

La fenêtre d'action est réelle, et elle est comptée. Les questions de vos directions générales arrivent déjà. Assurez-vous d'être prêt à présenter bien plus qu'une simple réponse théorique.

Comment nous avons cartographié ces enjeux en interne

Si vous vous demandez comment traduire concrètement ces réponses en actions, voici la méthode que nous avons appliquée chez Insight. Les cinq questions cruciales ci-dessus correspondent directement à cinq capacités fonctionnelles majeures, que nous avons déployées au sein de notre propre infrastructure informatique avant de les regrouper pour nos clients sous l'offre **Insight Managed Exposure Defence**. Si vous évaluez votre posture actuelle ou préparez un dossier pour votre direction, voici comment ces piliers s'articulent :

« Quelle est notre exposition réelle, et disposons-nous d'un inventaire précis de nos actifs ? »

• Gestion continue des vulnérabilités (CTEM - Continuous Threat Exposure Management) : Visibilité des actifs en temps réel, priorisation des vulnérabilités basée sur le niveau de risque réel et scans quotidiens pour travailler à partir d'une cartographie dynamique et vivante de votre environnement.

« Pouvons-nous déployer les correctifs assez vite et à grande échelle, sans paralyser la production ? »

• Gestion managée des correctifs (Managed Patch) : Remédiation pilotée par les exigences de vos SLA, notation basée sur la criticité des serveurs et applicatifs, gestion coordonnée des changements et circuits d'escalade pour les vulnérabilités critiques, évitant à vos équipes d'avoir à arbitrer entre rapidité d'exécution et stabilité opérationnelle.

« Que se cache-t-il dans nos logiciels tiers et nos composants open source ? »

• Gestion des risques de la Supply Chain logicielle et de l'Open Source (OSS Risk) : Analyse continue des bibliothèques open source, génération et mise à jour de vos nomenclatures logicielles (SBOM) et surveillance des risques liés aux dépendances, afin de répondre à vos audits de conformité sur la base de données factuelles et vérifiées.

« Disposons-nous des ressources d'ingénierie suffisantes pour résorber notre retard de correctifs ? »

• Ingénierie et développement logiciel en délégation : Mise à disposition de ressources d'ingénierie expertes en sécurité pour renforcer la capacité opérationnelle de votre équipe interne sans alourdir vos effectifs permanents, une approche taillée sur mesure pour absorber la dette technique et le backlog générés par Glasswing.

« Si un correctif tarde à être appliqué, sommes-nous capables de détecter et de contenir l'exploit ? »

• Services managés de détection et de réponse étendues (Managed XDR) : Surveillance 24/7 par nos équipes de SOC, chasse proactive aux menaces (*threat hunting*) et capacité de confinement des attaques mesurée en minutes, garantissant que la couverture de détection sécurise vos systèmes le temps que les vagues de remédiation soient déployées.

Si ces cinq piliers forment une offre de services managés parfaitement intégrée, et si nous les exécutons tous au sein d'Insight en ce moment même, c'est parce que les menaces cyber s'additionnent. Les traiter de manière fragmentée ou cloisonnée représente un risque majeur que les entreprises ne peuvent plus se permettre.

Que vous choisissiez de développer ces compétences en interne, d'acquérir les outils dédiés ou de vous appuyer sur un partenaire de confiance pour combler vos angles morts, l'objectif reste identique : bâtir une réponse unique et cohérente sur ces cinq dimensions. C'est maintenant qu'il faut agir.