.png)
Claude Mythos, MCP et agents IA : quand la surface d'attaque devient incontrôlable
Agents autonomes, privilèges détournés, systèmes de défense dépassés : l'irruption de l'intelligence artificielle agentique redessine la surface d'attaque des entreprises. Lors d'une table ronde organisée par Riskintel Média et modérée par Yasmine Douadi, Jérôme Renoux, Regional Vice President France chez Akamai, Édouard Stoka, CISO applications chez Safran, et Marc Frédéric Gomez, expert en cybersécurité et réponse à incident, ont analysé une menace qui progresse plus vite que les défenses.
Le 7 avril 2026, Anthropic a sorti un modèle qu’elle a choisi de ne pas commercialiser. Claude Mythos Preview ne sera pas accessible via l’API publique, ni sur Claude. Pourquoi ? Trop puissant et trop dangereux. En quelques semaines de tests dans le cadre fermé du projet Glasswing (une coalition de 50 une coalition de cinquante organisations triées sur le volet, dont Amazon, Google, Nvidia, Apple et Microsoft), le modèle a identifié plus de 10 000 vulnérabilités critiques dans les systèmes les plus utilisées de la planète : Windows, macOS, Linux, Firefox, Chrome, les serveurs Apache, les infrastructures Cloudflare.
Cloudflare seule y a découvert 2000 failles, dont 400 classées à haut risque. 6 cabinets de sécurité indépendant ont depuis confirmé que 90,8% d'entre elles sont réelles. L'AI Security Institute britannique a publié ses propres conclusions : Mythos réussit 73% des défis de niveau expert sur les tâches de cybersécurité les plus avancées, un taux qu'aucun modèle d'IA n'avait jamais approché avant avril 2025, selon un rapport d’AISI.
À lire aussi : Guerre des blocs, drones, IA et souveraineté numérique : ce que le Risk Summit 2026 révèle sur le monde de demain
Pour Édouard Stoka, CISO applications chez Safran, l'annonce n'a pas été une surprise. "On a déjà eu des publications à partir de 2023 sur l'avancée des intelligences artificielles pour faire l'équivalent d'un travail d'un pentester. Donc identifier les zero-day, faire l'exploitation de ces vulnérabilités", rappelle-t-il. Ce que Mythos change, dit-il, c'est simplement l'échelle : "C'est juste que Mythos permet d'atteindre en fait des niveaux qui n'avaient jamais été égalés jusqu'à maintenant."
Le problème est donc sa vitesse et son nouveau mode opératoire. Les attaquants n’ont plus besoin de connaître en profondeur chaque couche d’un système d’information. Ce qui prenait des jours à une équipe de professionnels, peut aujourd’hui se faire en quelques heures, pour quelques dizaines ou centaines de dollars.
L’espace sans frontière
Il faut comprendre ce que signifie concrètement cette mutation pour saisir l’ampleur du défi. Pendant longtemps, sécuriser un système informatique revenait à défendre un périmètre. Une frontière entre l’intérieur (l’entreprise, son réseau et ses données) et l’extérieur. Les outils classiques (pare-feux, WAF, systèmes de détection d'intrusion) ont été conçus pour surveiller ce que les humains font : qui se connecte, depuis où, à quelle heure, avec quelle autorisation. Les agents IA ne fonctionnent pas comme ça, ils génèrent du trafic de machine à machine, ils enchaînent des appels API, ils lisent, écrivent, modifient et suppriment. Ils prennent des décisions sans demander et ils le font à une vitesse et une fréquence qui rendent obsolètes les modèles de surveillance traditionnels.
“La surface d'attaque est décuplée, elle prend vraiment une autre dimension dans le sens où elle devient comportementale, contextuelle, et le trafic machine to machine, qui est autogénéré, devient un risque qu'il faut cartographier", explique Jérôme Renoux, Regional Vice President France chez Akamai. Ce qu’il décrit n’est pas un simple changement, mais une vraie révolution. La menace n’est plus localisée dans l’espace, elle n’a plus vraiment de périmètre, elle est dans le comportement.
Édouard Stoka illustre ce glissement par une comparaison. Une API classique est "très cadrée" : les types d'appels sont définis, les réponses attendues, les actions possibles limitées. Un agent IA, c'est différent. "C'est cette liberté de pouvoir enchaîner plein d'appels différents, y compris écrire dans des bases de données, y compris écrire dans des repository, changer les codes, qui fait qu'il y a véritablement cette explosion de surface d'attaques", analyse-t-il. Marc Frédéric Gomez, expert en réponse à incident, ajoute à cette analyse : "les systèmes de détections classiques que nous avons ne sont pas du tout faits pour surveiller des agents", dit-il. Un agent est légitime par construction, il fait ce pour quoi il a été déployé. Surveiller son comportement avec des outils pensés pour détecter des intrusions humaines, c’est finalement chercher une anomalie dans un flux conçu pour paraître normal.
Le privilège comme faille
Au cœur du nouveau risque se pose une question institutionnelle : qui décide de ce qu’une IA a le droit de faire ? La réponse, dans la plupart des entreprises, reste encore floue. Les agents héritent des droits de leurs opérateurs. Ils agissent avec les autorisations de la personne qui les a déployés, ou parfois avec des autorisations bien plus larges que ce que cette personne devrait elle-même posséder. Jérôme Renoux met un nom sur ce risque : l'abus de privilège. "On va faire faire à une IA quelque chose pour lequel on n'a pas les droits ou les bons privilèges. Typiquement on va lui demander de faire imprimer des dossiers qui finalement vont se révéler confidentiels et pour lesquels moi-même je n'aurais pas eu les droits.”, explique-t-il.
L’agent agit alors comme un intrus dans le système d’autorisations, permettant une montée en privilèges qu’un humain n’aurait jamais pu obtenir directement. La recommandation de Jérôme Renoux est la minimisation des droits, la suppression des accès superflus pour tout le monde, et "surtout une vérification en temps réel des évolutions de privilège pour bien comprendre qui a des privilèges sur quoi, de quelle manière ça évolue, de quelle manière les métiers en ont besoin."
À lire aussi : IA et cybersécurité en 2026 : attaques plus rapides, défenses augmentées... Ce qui change vraiment
Il y a une dimension supplémentaire que les discussions habituelles sur les IA négligent souvent : celle des Shadow MCP. Le Model Context Protocol (standard qui permet à un agent IA de se connecter aux données et systèmes d'une entreprise) était encore inconnu du grand public il y a 18 mois. Il est aujourd'hui l'un des vecteurs d'attaque les plus identifiés par les experts. Jérôme Renoux signale un phénomène qui commence à inquiéter les équipes de sécurité : "On voit également apparaître du Shadow MCP, donc des MCP qui ne sont pas référencés, qui sont utilisés dans le périmètre d'une entreprise mais qui sont en mode shadow, donc qui ne sont pas visibles et qui vont pouvoir générer des actions." Des agents actifs, connectés, capables d'agir et totalement invisibles pour les équipes chargées de surveiller le système d'information.
L’illusion du contrôle
Il reste une question que les experts n’esquivent pas, même si elle est inconfortable : celle du facteur humain. Non pas l’humain comme cible d’attaque mais la supervision humaine montre ses limites. Marc Frédéric Gomez a une façon de poser le problème qui résiste à l'euphémisme. "Au début, on disait que l'humain devait valider tout ce que va faire l'intelligence artificielle. Mais dans la réalité, quand pendant une semaine, deux semaines, un mois, vous voyez que les résultats sont tous à la hauteur de vos attentes, vous allez continuer à contrôler ?" La supervision humaine est une posture plus qu’une pratique. Elle s’affaiblit dès lors que l’agent se montre fiable et c’est dans cet espace de confiance accumulée que la menace trouve son angle.
Il illustre par un cas concret une autre dimension du problème : l'intoxication des modèles. "J'ai inventé une CVE sous ChatGPT. J'ai laissé 24 heures, je me suis reconnecté à ChatGPT en étant en mode grand public. J'ai rentré ma CVE, il a donné mon nom comme quoi c'était moi qui avait découvert cette CVE", raconte-t-il. Une vulnérabilité fictive, créditée à son inventeur, référencée comme réelle. "L'intoxication d'une IA ce n'est pas un fantasme, c'est très facile à faire", conclut-il.
Ce que cela implique pour les entreprises qui font confiance aux réponses agents IA est vertigineux. Un agent peut, sur la base d'informations empoisonnées, donner de mauvaises directives à un client financier, orienter un médecin vers un protocole erroné, ou plus simplement, fausser une décision stratégique. "Ça serait extrêmement facile de dire, tiens je vais sur le portail de l'entreprise A pour dire du mal de l'entreprise B", note Gomez. Les atteintes réputationnelles entrent maintenant dans l’arsenal des attaques permises par les failles de gouvernance des IA.
À lire aussi : Palantir, GAFAM, spywares : la France a-t-elle perdu sa souveraineté numérique ?
Le tableau que dressent ces experts n'est pas celui d'une menace future à anticiper mais celui d'un présent mal cartographié. Jérôme Renoux le dit sans détour : il faut "aller au-delà du périmètre traditionnel, aller vers de l'analyse comportementale, contextuelle et avoir un zero trust complet qui s'étend à cette surface initiale." Les outils classiques du marché (bot management, WAF, systèmes de détection…) restent indispensables, simplement, ils ne suffisent plus. Édouard Stoka, de son côté, rappelle que les grands groupes ont depuis des années des systèmes de classification des données critiques et qu'ils "voient très bien les risques d'exposer des données critiques de l'entreprise à des IA dont les serveurs pourraient éventuellement se faire hacker et donc récupérer toutes les traces, tous les prompts et toutes les données." La mémoire des échanges avec un LLM est elle-même une surface d'attaque. Ce qui ne s’est jamais dit autour d’une table de réunion a parfois été écrit dans une fenêtre de discussion.
.avif)
.avif)