Le nouveau modèle d'IA d'Anthropic, « Mythos », a mis les régulateurs bancaires en alerte. François-Louis Michaud, nouveau président de l'Autorité bancaire européenne (EBA), a déclaré à la presse le 16 avril 2026 que la cybersécurité liée à Mythos était « clairement en tête des priorités » et faisait l'objet de discussions avec les partenaires internationaux.
Mythos, présenté par Anthropic comme un outil destiné à « révolutionner la cybersécurité », serait capable d'identifier des milliers de failles critiques dans les logiciels les plus utilisés au monde — au point qu'Anthropic n'a pas diffusé le modèle publiquement et ne l'a partagé qu'avec une poignée de grandes entreprises pour laisser le temps aux éditeurs de corriger les vulnérabilités. Aux États-Unis, les dirigeants des grandes banques ont été convoqués par le Trésor ; le patron de JPMorgan, Jamie Dimon, a estimé que les outils d'IA allaient intensifier le risque cyber, tandis que David Solomon, chez Goldman Sachs, a confirmé que la banque disposait du modèle et renforçait la résilience de son infrastructure en lien avec Anthropic.
Le gouverneur de la Banque d'Angleterre, Andrew Bailey, a qualifié le risque cyber de menace « qui ne disparaît jamais » depuis la crise de 2008. Les systèmes informatiques « legacy » des banques (logiciels de base vieux de plusieurs décennies) sont jugés particulièrement exposés, du fait d'un empilement d'outils modernes et d'un secteur très interconnecté utilisant un ensemble restreint de prestataires pour l'onboarding, le KYC (« Know Your Customer », contrôle anti-blanchiment) et le traitement des transactions. Michaud cite l'AI Act européen et DORA (le règlement sur la résilience opérationnelle numérique encadrant le risque IT des banques) comme défenses. Source : Les Echos, 16 avril 2026, Ingrid Feuerstein.
L’information en une phrase : Les régulateurs bancaires mondiaux — désormais rejoints par l’EBA sous la direction de son nouveau président François-Louis Michaud — ont fait de Mythos, le modèle non diffusé d’Anthropic, une menace cyber de premier plan pour le système financier.
Chiffres clés
- Mythos permettrait de découvrir des milliers de failles critiques dans les logiciels les plus utilisés au monde.
- Anthropic n’a pas diffusé le modèle publiquement, le partageant seulement avec une poignée de grandes entreprises afin de corriger les failles avant une exposition plus large.
- Les dirigeants des grandes banques américaines ont été convoqués par le Trésor pour discuter du risque.
- JPMorgan, Goldman Sachs et plusieurs grandes banques américaines ont confirmé qu’elles testaient la technologie.
- Le gouverneur de la Banque d’Angleterre, Andrew Bailey, a qualifié le risque cyber de menace la plus progressant depuis la crise de 2008.
- Boîte à outils réglementaire européenne : AI Act et DORA (règlement sur la résilience opérationnelle numérique).
Pourquoi c’est important
Les banques exploitent un ensemble hétérogène de systèmes « legacy » (logiciels cœur vieux de plusieurs décennies) auxquels viennent s’ajouter des outils plus récents — une source connue de vulnérabilités. Le secteur est par ailleurs très interconnecté, avec un nombre restreint de fournisseurs pour le KYC (« Know Your Customer », contrôle anti-blanchiment), le traitement des transactions et la conformité, ce qui peut provoquer des effets en cascade. La capacité de découverte de code renforcée de Mythos élève la barre pour les attaquants comme pour les défenseurs ; les régulateurs poussent les banques et leurs prestataires IT à démontrer leur résilience avant la diffusion plus large du modèle.
À retenir
La supervision cyber est passée de la périphérie au cœur de l’agenda réglementaire bancaire. Attendez-vous à des « stress tests » IT plus intrusifs dans le cadre de DORA et à un examen renforcé des dépendances banques-prestataires sur les 12 prochains mois.
Source : Les Echos, 16 avril 2026, Ingrid Feuerstein.