Depuis plusieurs semaines, bon nombre de médias, plus ou moins proches du domaine de la cybersécurité, relaient une avalanche de messages au sujet de Mythos.
Comme souvent dans notre métier, l'exercice difficile consiste à séparer le discours marketing de l'information purement technique. Faut-il vraiment avoir peur de Mythos, ou non ? Je vous laisse écouter l'épisode que j'ai consacré au sujet et vous faire votre propre opinion.
Mais au-delà du débat qui anime la communauté cyber, force est de constater que la réaction des parties prenantes, et surtout des institutions, a été pour le moins vive. La dernière en date : la décision du président Donald Trump d'interdire à Anthropic de donner accès aux modèles Mythos et Fable à des citoyens ou des entreprises non-américains, et ce pour des raisons de sécurité nationale. Dans son communiqué, Anthropic explique ne pas vraiment comprendre les fondements de ce choix, et a donc décidé, tout simplement, de suspendre l'accès à ces deux modèles.
Au-delà de ce revirement, dont le président américain a le secret, que faut-il penser de cette situation ? Et surtout : qu'est-ce que Mythos nous montre réellement comme faille ?
La vraie question n'est pas l'outil. C'est la dépendance.
L'efficacité même de Mythos reste très discutable. Mais là n'est pas le sujet le plus intéressant. Ce qui interroge vraiment, c'est notre dépendance croissante à ce type de technologie.
Premier problème : cette dépendance n'est quasiment jamais prise en compte dans nos analyses de risque. Second problème : elle s'est massivement accélérée ces quinze dernières années. Le recours aux services cloud, les semi-conducteurs spécialisés, les systèmes d'exploitation pour smartphone, la liste est longue, et chaque maillon ajoute une laisse.
Mais ce que révèle vraiment l'affaire Mythos indirectement, c'est l'extrême volatilité de cette dépendance, et notre manque flagrant de lucidité face à elle. C'est pourtant exactement ce que le régulateur européen nous demande d'évaluer. Malheureusement, la tâche est bien plus complexe qu'il n'y paraît : le premier réflexe de beaucoup d'organisations, pour clore la discussion au plus vite, reste le confortable « ça n'arrivera pas ».
Ce qui tuera notre résilience
Ce qui tuera définitivement notre résilience, ce n'est ni le manque de savoir-faire, ni l'absence d'alternatives. C'est notre naïveté quant aux impacts géopolitiques sur notre souveraineté numérique. C'est de continuer à traiter la possibilité d'un embargo technologique comme un scénario de science-fiction, alors que c'est, très concrètement, le problème auquel nous faisons face aujourd'hui.
Pour ceux qui en douteraient encore :
Il y a moins de dix ans, vous étiez sûr que l'État américain resterait le gendarme du monde.
Il y a moins de cinq ans, vous étiez sûr qu'aucun conflit majeur n'éclaterait en Europe, et que sa stabilité politique resterait intacte.
Il y a moins de deux ans, vous étiez sûr qu'aucun pays ne chercherait à annexer le Groenland.
Il y a moins d'un an, vous étiez sûr qu'il fallait impérativement intégrer l'IA dans tous vos processus métier, même les plus critiques, comme la recherche de vulnérabilités et que vous pouviez le faire sans craindre le moindre revirement.
Alors, de quoi serez-vous vraiment sûr demain matin ?
Discussion des abonnés :