Claude Mythos et Project Glasswing : comment Anthropic déploie l'IA pour sécuriser les infrastructures critiques

Réponse directe. Le 2 juin 2026, Anthropic a annoncé l'extension de son programme de cybersécurité Project Glasswing à 150 nouvelles organisations — portant le total à environ 200 partenaires dans plus de 15 pays. Ces organisations opèrent des infrastructures critiques mondiales : réseaux électriques, distribution d'eau, systèmes de santé, télécommunications, et maintenant des acteurs de la sécurité informatique comme Okta et Samsung, ainsi que des institutions comme l'agence de cybersécurité européenne ENISA et l'OTAN selon des informations rapportées par le Financial Times.

Depuis le lancement du programme en avril 2026, le modèle Claude Mythos — la version la plus avancée d'Anthropic, dont l'accès reste restreint — a permis d'identifier plus de 10 000 failles logicielles de niveau élevé ou critique dans les systèmes des partenaires. C'est un résultat opérationnel concret, pas un benchmark de laboratoire.

Pour les entreprises françaises qui intègrent l'IA dans leurs processus, cette annonce pose deux questions importantes : comment l'IA appliquée à la cybersécurité change-t-elle le rapport de force entre attaquants et défenseurs ? Et que faut-il anticiper quand des capacités comparables seront accessibles publiquement ?

Qu'est-ce que Project Glasswing ?

Project Glasswing est le programme de cybersécurité offensive-défensive d'Anthropic, lancé le 7 avril 2026. Son nom fait référence au papillon Greta oto dont les ailes translucides rendent difficile toute approche de prédateurs — une métaphore pour des systèmes d'information rendus « invisibles » aux attaquants.

Le principe : donner accès à Claude Mythos pour trouver des vulnérabilités avant les attaquants

Le programme repose sur un accès contrôlé au modèle Claude Mythos — la version la plus puissante d'Anthropic — pour permettre aux organisations partenaires d'effectuer des analyses de sécurité à une échelle impossible manuellement. Claude Mythos est capable d'analyser du code source, de déduire des chemins d'attaque complexes, et d'identifier des vulnérabilités de type zero-day dans des codebases massives.

Le modèle travaille en collaboration avec les équipes de sécurité des partenaires, pas en mode autonome : les résultats sont vérifiés par des experts humains avant correction. C'est une approche « IA en soutien », pas une délégation complète de la sécurité à l'automatisation.

Un programme à accès très restreint, volontairement graduel

Anthropic a délibérément choisi un déploiement progressif pour deux raisons explicitement documentées dans ses communications officielles :

• Risque de double usage : un modèle capable de trouver des vulnérabilités inconnues est aussi capable d'en exploiter. Anthropic développe des garde-fous pour éviter que ces capacités soient détournées — et admet publiquement qu'ils ne sont pas encore suffisamment robustes pour un déploiement grand public.
• Calibration des résultats : travailler d'abord avec des partenaires maîtrisant la sécurité offensive permet d'affiner les capacités du modèle et de réduire les faux positifs avant une sortie grand public.

L'expansion du 2 juin : 150 nouvelles organisations dans 15+ pays

Le 2 juin 2026, Anthropic annonce sur sa page officielle l'extension de Project Glasswing à 150 nouvelles organisations, portant le total à environ 200 partenaires. Cette expansion est significative à plusieurs égards.

Nouveaux secteurs couverts

La première vague du programme (avril 2026, une cinquantaine d'organisations) était dominée par les entreprises de cybersécurité et les éditeurs logiciels. L'expansion du 2 juin intègre des secteurs qui n'étaient pas représentés :

• Énergie : opérateurs de réseaux électriques et d'installations de production.
• Distribution d'eau : systèmes de traitement et de distribution municipal et régional.
• Santé : hôpitaux et systèmes de santé gérant des données patients.
• Télécommunications : opérateurs d'infrastructures réseau nationales.

Anthropic estime qu'une cyberattaque majeure touchant plusieurs de ces partenaires pourrait affecter plus de 100 millions de personnes.

Des organisations nominalement citées

Selon des informations rapportées par le Financial Times (et non confirmées directement par Anthropic dans son annonce officielle), les nouvelles organisations partenaires incluent Okta, Samsung, l'agence de cybersécurité européenne ENISA, et l'OTAN. Si ces informations se confirment, elles illustrent l'ambition géopolitique du programme — Anthropic ne s'adresse pas uniquement au secteur privé américain mais positionne Project Glasswing comme une infrastructure de défense collective transatlantique.

Un déploiement mondial : 15 pays représentés

Les organisations partenaires sont basées dans plus de 15 pays. La dimension internationale est notable : elle signifie que les résultats (failles identifiées, patterns d'attaque, méthodes de correction) bénéficient à un écosystème de sécurité global, pas seulement américain. Pour l'Europe — et particulièrement pour les entreprises soumises à la directive NIS2 — c'est potentiellement une source de renseignement sur les vulnérabilités systémiques qui précède leur exploitation par des acteurs malveillants.

Claude Mythos : un modèle IA spécialisé en cybersécurité

Claude Mythos est décrit par Anthropic comme son modèle le plus avancé à ce jour. L'accès reste restreint aux partenaires Project Glasswing — le grand public n'y a pas accès en juin 2026. Voici ce que l'on sait de ses capacités concrètes.

10 000 failles détectées en moins de deux mois

Depuis le lancement du programme en avril 2026, les partenaires Project Glasswing ont, avec l'aide de Claude Mythos, identifié plus de 10 000 vulnérabilités de niveau élevé ou critique. Ce chiffre est publié officiellement par Anthropic et constitue le résultat opérationnel le plus concret communiqué à ce stade.

Pour contextualiser : une équipe de pentest humaine performante peut identifier de quelques dizaines à quelques centaines de vulnérabilités significatives par semaine sur une cible donnée. La capacité de Claude Mythos à analyser des volumes de code beaucoup plus importants en parallèle explique cette différence d'échelle.

L'identification de zero-days : un cap qualitatif

Ce qui distingue Claude Mythos des outils de scan automatisé traditionnels (comme les outils SAST/DAST courants) est sa capacité déclarée à identifier des vulnérabilités de type zero-day — des failles non documentées, inconnues des éditeurs et des bases de données CVE. Identifier un zero-day requiert une compréhension sémantique du code, de son contexte d'exécution et des interactions entre composants — une tâche qui nécessitait jusqu'ici des experts humains très spécialisés.

Anthropic précise que la vérification humaine reste indispensable : Claude Mythos signale des candidats, les experts valident. Ce n'est pas un système autonome mais un multiplicateur de capacité pour les équipes de sécurité existantes.

Accès public prévu « dans quelques semaines »

Anthropic a annoncé que des modèles de la classe Mythos seraient disponibles pour tous les clients « dans quelques semaines ». Toutefois, la société conditionne explicitement ce calendrier au développement de garde-fous robustes contre le double usage — des protections qui empêcheraient d'utiliser ces capacités de détection de vulnérabilités à des fins offensives malveillantes. La date précise n'est pas confirmée.

Ce que ça implique pour la cybersécurité des entreprises

L'arrivée de modèles IA capables de détecter des zero-days à grande échelle modifie le paysage de la cybersécurité de manière structurelle. Voici une lecture pragmatique pour les entreprises qui ne sont pas des opérateurs d'infrastructures critiques mais qui dépendent de logiciels tiers, d'API, et de services cloud.

Les éditeurs logiciels vont corriger plus vite — et c'est une bonne nouvelle

Si les principaux éditeurs logiciels rejoignent des programmes comme Glasswing (ou s'inspirent de son approche), la surface d'attaque disponible pour les cybercriminels va mécaniquement se réduire. Les 10 000+ failles identifiées en deux mois représentent autant de portes potentiellement fermées avant qu'elles soient exploitées en production.

Les attaquants auront accès aux mêmes capacités

C'est le revers de la médaille. Quand des modèles comparables à Claude Mythos seront accessibles au grand public — ce qu'Anthropic promet « dans quelques semaines » — les acteurs malveillants auront également accès à des outils d'identification de vulnérabilités beaucoup plus puissants qu'aujourd'hui. La fenêtre entre la découverte d'une faille et son exploitation pourrait se réduire drastiquement.

Pour les entreprises, cela renforce l'urgence de trois pratiques :

• Mises à jour rapides : si un zero-day est corrigé par un éditeur, le délai entre le patch disponible et le patch appliqué dans votre infrastructure doit se réduire. Des processus de patch management automatisés ne sont plus optionnels.
• Inventaire logiciel à jour : vous ne pouvez pas corriger ce que vous ne savez pas que vous avez. Un SBOM (Software Bill of Materials) à jour est la condition préalable pour réagir vite quand une faille est annoncée dans un composant que vous utilisez.
• Tests de sécurité réguliers : les audits de sécurité annuels ne suffisent plus dans un contexte où les outils de détection de vulnérabilités s'améliorent aussi vite que les outils d'exploitation. Des tests continus, assistés par IA, deviennent la norme attendue.

L'EU AI Act et les systèmes IA à usage de sécurité

Sous l'angle réglementaire, les systèmes IA déployés dans des contextes de cybersécurité d'infrastructures critiques entrent dans les catégories à risque élevé de l'EU AI Act. Pour les entreprises françaises développant ou intégrant ce type d'outils, les obligations de documentation, de traçabilité et de supervision humaine s'appliquent. Notre article sur l'EU AI Act et les obligations pour les systèmes à haut risque détaille ces exigences.

Si vous souhaitez auditer la posture de sécurité de vos applications IA ou intégrer des pratiques de développement sécurisé dès la conception, notre équipe peut vous accompagner. Chez Genee, la sécurité est intégrée dans nos développements sur mesure dès le départ — pas rajoutée en fin de projet.

FAQ — Claude Mythos et Project Glasswing : comment Anthropic déploie l'IA pour sécuriser les infrastructures critiques

Qu'est-ce que Claude Mythos et en quoi diffère-t-il de Claude Opus 4 ?

Claude Mythos est le modèle le plus avancé d'Anthropic, disponible uniquement aux partenaires Project Glasswing depuis avril 2026. Ses capacités cybersécurité — notamment l'identification de vulnérabilités zero-day à grande échelle — le distinguent des versions commerciales actuelles. Anthropic prévoit de rendre des modèles de cette classe disponibles publiquement dans les prochaines semaines, mais sans date précise confirmée à ce stade.

Project Glasswing concerne-t-il uniquement les grandes entreprises et infrastructures critiques ?

Dans sa phase actuelle (juin 2026), oui. Le programme est réservé à environ 200 organisations sélectionnées dans des secteurs critiques (énergie, eau, santé, télécoms, cybersécurité). Mais ses effets bénéficient indirectement à toutes les entreprises : les failles identifiées chez les éditeurs logiciels partenaires (Okta, Samsung selon le FT) sont corrigées avant d'être exploitées — y compris dans des logiciels utilisés par des PME.

Quels sont les risques d'un modèle IA aussi puissant pour trouver des vulnérabilités ?

Anthropic reconnaît explicitement le risque de double usage : un modèle capable de détecter des zero-days peut aussi les exploiter s'il est mal encadré. C'est précisément pourquoi le déploiement reste restreint et que l'accès public est conditionné au développement de garde-fous robustes. Le déploiement graduel de Project Glasswing vise à calibrer ces protections dans des conditions contrôlées avant généralisation.

Comment les 10 000+ failles détectées par Claude Mythos ont-elles été traitées ?

Le chiffre de 10 000+ vulnérabilités de niveau élevé ou critique est publié par Anthropic sur sa page officielle. Le processus déclaré est que Claude Mythos signale des candidats, qui sont ensuite vérifiés par des experts de sécurité humains chez les organisations partenaires, puis transmis aux éditeurs concernés pour correction. Il n'y a pas de données publiques sur le taux de faux positifs à ce stade.

L'ENISA et l'OTAN sont-ils vraiment partenaires de Project Glasswing ?

Ces informations proviennent d'une source rapportée par le Financial Times et ne sont pas confirmées directement dans l'annonce officielle d'Anthropic du 2 juin 2026. Anthropic mentionne que les nouvelles organisations incluent des secteurs comme l'énergie, l'eau, la santé et les télécoms, et que les partenaires sont basés dans plus de 15 pays — sans lister les noms. À traiter avec précaution jusqu'à confirmation officielle.

Quand pourrai-je utiliser un modèle comparable à Claude Mythos dans mon entreprise ?

Anthropic a annoncé que des modèles de la classe Mythos seront disponibles pour tous les clients « dans quelques semaines » (annonce du 2 juin 2026), mais ce calendrier est conditionné au développement de garde-fous anti-double-usage jugés suffisants par l'équipe de sécurité d'Anthropic. Aucune date précise n'a été communiquée. Le suivi de la page anthropic.com/news est le moyen le plus fiable pour être informé en temps réel.

Sources

• Annonce officielle — Expanding Project Glasswing (Anthropic)
• Page Project Glasswing (Anthropic)
• Anthropic scales Claude Mythos to critical infrastructure in 15+ countries — TechCrunch
• Anthropic shares Mythos with 150 more organizations — Cybersecurity Dive
• Anthropic Expanding Mythos Access to 150 New Organizations — SecurityWeek