La Commission européenne a pris contact avec Anthropic Mythos : Dombrovskis confirme l’intervention de l’UE dans un modèle d’IA confidentiel

La Commission européenne a confirmé le 4 mai qu’elle a pris contact avec Anthropic, et a mené une présentation technique concernant son modèle d’IA de cybersécurité de niveau « armes », Mythos, afin d’évaluer les effets possibles sur les politiques et le cadre juridique de l’UE. Dans un article de Reuters, Valdis Dombrovskis, vice-président exécutif de la Commission chargé des Affaires économiques, a déclaré aux journalistes que des représentants de la Commission avaient rencontré Anthropic, écouté les détails techniques de Mythos concernant les « capacités d’attaque par le cyber » et les « risques d’aperçu de la recherche », et qu’ils étaient actuellement en « train d’évaluer les effets possibles dans le contexte des politiques et de la législation de l’UE ». Dombrovskis a également révélé que, jusqu’à présent, Mythos n’avait été mis à disposition d’aucune banque européenne.

Mythos, c’est quoi : un modèle d’IA capable de trouver automatiquement des failles zero-day

Mythos est le modèle phare conçu par Anthropic pour la recherche en cybersécurité : il peut identifier et exploiter de manière autonome des failles zero-day (zero-day) dans les principaux systèmes d’exploitation et navigateurs. Le modèle est actuellement, sous la forme de research preview, uniquement accessible à une quarantaine d’entreprises américaines et d’unités de sécurité nationale ayant été auditées, y compris des organisations de renseignement telles que la National Security Agency (NSA) — cette liste limitée est un sujet central de plusieurs articles d’abmedia au cours desquels elle a déjà été largement évoquée.

Pour le secteur bancaire, les capacités de Mythos sont une arme à double tranchant : (1) si elles sont utilisées par les défenseurs, elles peuvent accélérer considérablement l’analyse des vulnérabilités et renforcer la cybersécurité ; (2) si elles tombent entre les mains des attaquants, elles pourraient accélérer, en un laps de temps, les attaques contre les systèmes centraux des banques. Le design de « l’accès échelonné » d’Anthropic cherche à limiter Mythos aux seuls défenseurs, mais les détails d’exécution et les mécanismes d’audit continuent de susciter des controverses.

Pourquoi l’UE intervient : l’inquiétude des banques face à une IA de cybersécurité « réservée aux États-Unis »

Le déclencheur de cette prise de contact par la Commission européenne, c’est la demande formulée collectivement par les ministres des Finances de la zone euro, lors d’une réunion à Bruxelles, afin d’obtenir un accès à Mythos. D’après Bloomberg, les ministres des Finances de la zone euro ont indiqué que Mythos peut identifier et exploiter automatiquement des failles zero-day dans les principaux systèmes d’exploitation et navigateurs, que cette capacité est actuellement limitée au plan « Project Glasswing » mené par les entreprises technologiques américaines et la NSA, et que les gouvernements européens comme les banques n’ont pas obtenu de droit d’accès.

La préoccupation centrale des ministres des Finances de la zone euro tient à un écart asymétrique en cybersécurité :

Les banques américaines peuvent, dans le cadre du Project Glasswing, utiliser Mythos pour des tests défensifs sur leurs propres systèmes

Les banques européennes n’ont pas des ressources et des capacités équivalentes, ce qui peut les faire décrocher

Si des capacités similaires sont mises à disposition d’attaquants situés en dehors des États-Unis, ce sont les infrastructures financières européennes qui en paieront le premier prix

Cette revendication hisse Anthropic, d’une « entreprise américaine d’IA privée », au niveau de l’agenda de régulation de l’UE — ce n’est pas seulement un « choix commercial d’Anthropic », mais un enjeu géopolitique lié à la répartition des capacités de cybersécurité transatlantique.

Boîte à outils de l’UE : la loi sur l’IA, les règles sur les subventions étrangères, et les exigences de sécurité des données

Dombrovskis a déclaré que, dans le cadre de l’« évaluation des politiques et de la législation de l’UE », la boîte à outils mobilisable inclut :

La loi sur l’IA (AI Act) — si Mythos est défini comme un « système d’IA à haut risque », Anthropic devra, pour fournir des services dans l’UE, se conformer à des exigences de transparence, de gestion des risques, de supervision humaine, etc.

Les règles sur les subventions étrangères (Foreign Subsidies Regulation) — si Mythos et des projets du gouvernement américain (Project Glasswing) ont un lien substantiel, cela pourrait déclencher un examen

La directive de protection des infrastructures critiques (NIS2, DORA) — les exigences de cybersécurité auxquelles font face les banques européennes et les institutions financières, et qui pourraient, en sens inverse, exiger qu’Anthropic fournisse un « accès équivalent » aux partenaires européens

En pratique, l’UE est la plus susceptible de ne pas adopter une interdiction directe, mais une « admission conditionnelle » : demander qu’Anthropic, si elle veut fournir des services commerciaux de Claude dans l’UE, ouvre à des banques européennes un accès équivalent à Mythos, ou fournisse des résultats de tests autorisés.

À surveiller ensuite : réponse d’Anthropic, politiques concrètes de l’UE, et transparence autour de Project Glasswing

Les points clés à observer lors de l’étape suivante :

Si Anthropic répond publiquement à la prise de contact de l’UE, en particulier la position personnelle de Dario Amodei — abmedia 4/19 a rapporté que Amodei s’est rendu à la Maison-Blanche pour négocier sur la question de Mythos ; s’il intervient personnellement aussi au niveau de l’UE, ce serait un signal de l’importance que la société accorde au sujet

Les politiques concrètes que la Commission européenne pourrait mettre en œuvre — si des exigences d’admission conditionnelle concernant Mythos sont proposées avant le T3

La transparence de Project Glasswing — si le gouvernement américain dévoile la portée du projet, les entreprises participantes, et si une coopération avec l’Europe est possible

Le positionnement d’autres modèles d’IA de niveau cybersécurité — si GPT-5.5-Cyber, lancé par OpenAI le 4/30, sera également examiné de manière parallèle par l’UE

Pour les secteurs financier et de la cybersécurité à Taïwan, les points à surveiller dans ce dossier concernent un modèle de « capacités asymétriques en cybersécurité par l’IA » : l’accès des institutions financières taïwanaises aux modèles d’IA de niveau cybersécurité américains est, à l’heure actuelle aussi, limité par le contrôle en matière de sécurité nationale aux États-Unis. Si l’UE parvient à obtenir un accès équivalent, la question de savoir si Taïwan pourra, dans une logique similaire, formuler les mêmes demandes, sera un sujet important au cours des prochains mois.

Cet article « La Commission européenne prend contact avec Anthropic pour Mythos : Dombrovskis confirme l’implication de l’UE dans un modèle d’IA confidentiel » est apparu pour la première fois sur ChaîneNews ABMedia.