Anthropic a annoncé Mythos Preview le 7 avril, avant de déclarer qu'il ne le commercialiserait pas. Le modèle a détecté des milliers de vulnérabilités jusque-là inconnues, a mis au point des chaînes d'exploitation fonctionnelles sans intervention humaine et a mis au jour des bogues qui avaient échappé à 27 ans de révision manuelle dans OpenBSD.

Vous le savez déjà. Votre boîte de réception en est remplie depuis des semaines. Tout le monde parle de l'impact de Mythos sur la surface d'attaque.

Presque personne ne s'interroge sur ce que cela implique en termes de récupérabilité.

C'est le débat qu'il faut mener, car il modifie d'un seul coup les discussions au sein du conseil d'administration, celles sur le budget et celles sur les assurances.

Mythos n'est pas un cas isolé. Cinq mois avant l'annonce de Mythos Preview, Anthropic avait déjà révélé la première campagne d'espionnage orchestrée par l'IA. Un groupe affilié à l'État chinois a utilisé Claude Code comme moteur opérationnel, ciblant environ 30 organisations. L'IA a géré de manière autonome 80 à 90 % du travail. Deux mois auparavant, Anthropic avait documenté le cas d'un cybercriminel utilisant Claude Code pour mener des opérations d'extorsion de données contre 17 organisations issues des secteurs de l'administration, de la santé et des services d'urgence.

Anthropic s'attend à ce que d'autres laboratoires disposent de capacités offensives équivalentes d'ici 6 à 18 mois. Les chercheurs de l'Institut Alan Turing ont quant à eux souligné la rapidité avec laquelle des modèles contrôlés peuvent être copiés, modifiés ou débloqués dès que des capacités similaires sont accessibles aux écosystèmes publics.

Si, dans vos documents destinés au conseil d'administration, vous continuez à présenter l'IA de pointe comme une menace future, il est temps de mettre à jour vos diapositives PowerPoint. Les capacités existent déjà. Seul le calendrier de diffusion reste une inconnue.

La réponse de Mythos présente une lacune

Le débat qui a suivi Mythos a suivi un schéma prévisible. Si l'IA réduit les délais d'attaque, les défenseurs ont besoin d'une détection accélérée par l'IA, d'alertes plus rapides et de réponses davantage automatisées.

Cette logique est valable dans une certaine mesure. La détection est importante. La rapidité est importante. Personne ne réinvente la roue avec ce genre de conseils.

Mais le débat s'articule principalement autour de deux facteurs : la rapidité avec laquelle les attaquants peuvent agir et celle avec laquelle les défenseurs peuvent les détecter. L'hypothèse de base est que combler ce fossé en matière de détection permet d'assurer la survie de l'entreprise.

Nous étions présents lorsque cette hypothèse s'est révélée fausse.

L'équipe de reprise après sinistre de Fenix24 a constaté que même des organisations dotées de SOC bien rodés, d'une couverture EDR étendue et de systèmes de détection rapides pouvaient se retrouver paralysées pendant des semaines. Bien que la détection ait fonctionné comme prévu, Active Directory était tout de même hors service, les sauvegardes avaient été chiffrées, les chaînes de dépendances n'étaient pas claires, et personne ne pouvait affirmer avec certitude ce qui devait être rétabli en priorité ni combien de temps cela prendrait.

L'UK AI Safety Institute a évalué Mythos de manière indépendante et a constaté qu'il avait mené à bien une simulation d'intrusion dans un réseau d'entreprise en 32 étapes lors de 3 tentatives sur 10, un résultat qu'aucun modèle précédent n'avait atteint. L'AISI a également souligné que ces évaluations avaient été réalisées dans des environnements simplifiés, dépourvus de défenses multicouches et sans intervention humaine.

Bruce Schneier a qualifié Mythos de « phénomène à la fois inévitable et sans surprise » et a fait valoir que les véritables leçons à en tirer n’ont pas changé. Les organisations ont toujours besoin d’une architecture solide, du principe du privilège minimal, d’une documentation adéquate et de tests continus. Bain a abondé dans ce sens, soulignant que les propres tests de l’AISI avaient montré que Mythos n’était pas en mesure de mener de manière fiable des attaques autonomes contre des défenses bien renforcées et que la plupart des entreprises devraient commencer par résoudre leurs anciens problèmes.

Ils ont raison… mais il manque encore un élément essentiel.

Récupération.

La détection vous signale qu'un incident est en cours. La reprise détermine si l'activité reprend son cours. Le secteur continue de traiter ces deux aspects comme des questions distinctes. Or, lors d'un incident réel, il s'agit de phases successives d'un même événement. Et depuis des années, la deuxième phase est sous-financée et insuffisamment testée par rapport à la première.

Les environnements hautement sécurisés augmentent le coût de l'attaque pour les pirates, mais si votre capacité de reprise n'a pas été testée, vous ne saurez peut-être pas de quel côté de la barrière vous vous trouvez avant que le pire ne se produise.

On ne peut plus se permettre de faire comme si la reprise allait se faire toute seule.

Trois conversations sont désormais plus faciles à mener

Mythos offre une occasion unique où les investissements dans la relance sont plus faciles à vendre qu'ils ne l'ont été depuis des années. C'est le moment de mener ces discussions.

La discussion au sein du conseil d'administration

Autrefois, les conseils d'administration se demandaient : « Nos outils sont-ils capables de détecter l'attaque ? » Aujourd'hui, ils veulent savoir : « L'entreprise peut-elle se remettre sur pied ? »

Cette évolution ouvre la voie à un débat que la plupart des programmes de sécurité ont jusqu'à présent évité. La majorité des équipes de sécurité sont en mesure de rendre compte des indicateurs de détection. Elles sont en revanche bien moins nombreuses à pouvoir rendre compte des indicateurs de rétablissement avec la même assurance.

Si vous n’avez jamais testé votre temps de reprise dans un scénario réaliste (compromission d’Active Directory, sauvegardes ciblées, dégradation des communications), signalez-le et proposez de réaliser ce test. Les conseils d’administration réagissent mieux à une approche du type « nous avons identifié cette lacune et voici comment nous pouvons y remédier » qu’à la découverte de cette lacune lors d’un incident réel.

La discussion sur l'assurance

Les assureurs spécialisés dans la cyberassurance s'intéressent de plus en plus à la capacité de reprise après sinistre, et non plus uniquement aux mesures de prévention. Les questionnaires de souscription commencent à porter sur la résilience des sauvegardes, les délais de reprise des activités (RTO) validés par des tests et l'ordre de reprise des opérations.

Si vous êtes en mesure de démontrer une capacité de reprise opérationnelle vérifiée (sauvegardes immuables, restauration validée, dépendances cartographiées, temps de reprise mesuré), vous serez en meilleure position en matière de couverture, de primes et d'exclusions. Si vous ne pouvez pas le faire, les actuaires de l'assureur répercuteront cette incertitude sur le prix de votre police.

Plusieurs opérateurs s'orientent également vers l'exigence d'une preuve de tests de reprise d'activité comme condition de couverture, et non plus seulement d'une preuve de l'existence de procédures de sauvegarde. Si votre renouvellement approche, un rapport de reprise d'activité validé par des tests a plus de valeur qu'un tableau de bord affichant un statut « vert ».

Le débat sur la réglementation

Les règles de divulgation de la SEC exigent déjà que les incidents de cybersécurité significatifs soient signalés dans un délai de quatre jours ouvrables. Dans quelle mesure est-il possible de déterminer rapidement le caractère significatif d'un incident lorsque les systèmes sont hors service et que les informations sont incomplètes ?

La directive DORA (destinée à tous ceux qui sont exposés au secteur financier de l'UE) va plus loin, en exigeant des organisations qu'elles démontrent leur résilience opérationnelle numérique au moyen de tests basés sur des scénarios. La capacité de reprise est explicitement inscrite dans la réglementation, et non pas simplement sous-entendue.

La tendance est claire dans tous les secteurs. Les autorités de régulation ne se contentent plus de demander « aviez-vous un plan ? », mais exigent désormais de savoir « l’avez-vous testé et pouvez-vous en prouver les résultats ? ». Un plan de reprise après sinistre (RTO) documenté mais jamais validé devient un risque tant sur le plan de la conformité que sur le plan opérationnel.

Et maintenant ?

Le modèle qui succédera au Mythos sera meilleur à tous les égards.

C'est la courbe que tous les laboratoires de pointe ont publiée ces trois dernières années, et rien dans Mythos ne laisse présager un ralentissement de cette progression. Anthropic a choisi de ne pas publier celle-ci. Le prochain laboratoire à atteindre une capacité équivalente pourrait faire un choix différent. Ou bien cette capacité pourrait faire l'objet de fuites. Ou encore, elle pourrait être reproduite de manière indépendante. La question du confinement est intéressante, mais ce n'est pas celle qui devrait vous empêcher de dormir.

Lorsque les moyens offensifs sont banalisés et automatisés, il faut se demander : « Que se passera-t-il après une attaque ? »

Les organisations qui sauront mener à bien cette prochaine étape sont celles qui abordent la restauration comme une discipline d'ingénierie, avec la même rigueur que celle qu'elles appliquent à la détection et à la réponse. C'est là que réside la différence. Cela a d'ailleurs toujours été le cas. Mythos et l'IA de pointe ont simplement éliminé la dernière excuse valable pour ne pas passer à l'action.

Résilience et reprise dans un monde post-Mythos

La plupart des hypothèses concernant la résilience et la capacité de reprise s'avèrent erronées lors d'une attaque réelle.

• Il s'avère que les « sauvegardes immuables » ne sont finalement pas si immuables que ça.
• Ce ne sont pas seulement les données qui sont détruites, mais aussi les infrastructures.
• Une cartographie insuffisante des actifs et des dépendances entraîne des jours, voire des semaines, d'indisponibilité.
• Les RTO et les RPO ne sont pas réalistes.

Les analystes ne mâchent pas leurs mots lorsqu'il s'agit de l'avenir de la résilience. Vous souhaitez disposer d'un plan d'action pour concevoir et mettre en œuvre une véritable cyber-résilience ? Téléchargez le nouveau rapport de validation technique d'Omdia, « Concevoir et mettre en œuvre la résilience avec Fenix24 ».

Sachez où vous en êtes avant qu'une violation ne se produise

Fenix24 a élaboré ses évaluations, ses outils et son programme de cyber-résilience à partir des tendances observées lors de plus de 1 000 interventions liées à des violations de données.

Notre évaluation de la résilience a été conçue parce que les évaluations de sécurité classiques ne prennent pas en compte ce qui compte vraiment en cas d'attaque par ransomware. Vous n'avez pas besoin d'un simple audit consistant à cocher des cases sur vos défenses périmétriques ou vos outils de détection. Vous devez savoir si votre entreprise sera capable de survivre à sa pire journée. S'appuyant sur Argos99, notre plateforme de résilience destinée aux entreprises, cette évaluation vous offre une visibilité inégalée sur :

Résilience des sauvegardes. Vos sauvegardes sont-elles capables de résister à un attaquant qui aurait cartographié l'environnement et serait en possession d'identifiants privilégiés ? Pouvez-vous restaurer vos données à partir de ces sauvegardes lorsque le reste de l'environnement est compromis ?

Cartographie des dépendances et séquence de restauration. Disposez-vous d'un modèle à jour indiquant les dépendances entre les différents éléments ? L'ordre de restauration repose-t-il sur ces relations ou sur des hypothèses que personne n'a encore vérifiées ?

Restauration de l'infrastructure d'identité. Êtes-vous en mesure de reconstruire Active Directory à partir de zéro ? Combien de temps cela prend-il ? Votre équipe est-elle capable de mener à bien ce processus dans des conditions de stress ?

Capacité de reprise opérationnelle. L'équipe est-elle capable de planifier et de mettre en œuvre une reprise en cas de dégradation des communications et d'informations incomplètes ? Quelqu'un a-t-il mesuré le temps que cela prend ?

Analyse des lacunes en matière de reprise après sinistre. À quel niveau les plans présentent-ils des failles ? Quelles sont les lacunes les plus risquées ? Que faut-il corriger en priorité ?

Prêt à tester votre capacité de reprise ? Prenez rendez-vous dès aujourd'hui pour une évaluation de votre résilience. Contactez-nous au 423.305.7890 ou par e-mail à l'adresse info@fenix24.com.