Anthropic vient de publier les premières données du Projet Glasswing, et si vous travaillez en cybersécurité ou en conformité, voici ce que ça signifie concrètement pour votre organisation.

Ce que Glasswing a accompli en un mois

En collaboration avec une cinquantaine de partenaires, Anthropic a utilisé son modèle Claude Mythos Preview pour analyser les logiciels les plus critiques au monde. Le bilan après 30 jours :

  • Plus de 10 000 vulnérabilités de sévérité haute ou critique identifiées
  • Cloudflare : 2 000 bogues détectés, avec un taux de faux positifs inférieur à celui des testeurs humains
  • Mozilla : 271 vulnérabilités trouvées dans Firefox 150, soit 10 fois plus qu’avec la version précédente du modèle
  • Plus de 1 000 projets open source analysés, avec 6 202 vulnérabilités haute/critique estimées

Ce n’est pas une amélioration marginale. C’est un changement d’ordre de grandeur.

Le vrai problème : ce n’est plus la détection

Voici la phrase la plus importante du rapport, et celle qu’on ne lit pas assez :

“Progress on software security used to be limited by how quickly we could find new vulnerabilities. Now it’s limited by how quickly we can verify, disclose, and patch them.”

Traduction directe : trouver les failles est devenu trivial. Les corriger, c’est là où ça coince.

Plusieurs mainteneurs de projets open source ont demandé à Anthropic de ralentir les divulgations parce qu’ils n’ont pas la capacité humaine de traiter le volume. En moyenne, un bogue critique prend deux semaines à corriger après découverte.

La leçon que nos pratiques n’ont pas encore intégrée

Pendant des décennies, l’industrie a fonctionné sur un modèle de divulgation à 90 jours : on découvre une faille, on attend, on avise, on déploie un correctif. Ce cycle était tolérable quand trouver les failles prenait des semaines.

Ce n’est plus le cas.

Mythos Preview peut trouver et exploiter des vulnérabilités à une vitesse que les humains ne peuvent pas suivre. Des modèles comparables seront bientôt disponibles partout, y compris pour les attaquants.

Attendre 30, 45 ou 90 jours avant de déployer un correctif, c’est maintenant une décision à haut risque.

Palo Alto Networks a sorti une mise à jour avec 5 fois plus de correctifs que d’habitude. Microsoft a annoncé que les volumes de correctifs “continueront à augmenter pour un bon moment”. Ce n’est pas un accident de calendrier, c’est une adaptation forcée à une nouvelle réalité.

Ce que ça exige de nous, concrètement

Anthropic le dit explicitement dans son rapport :

  • Développeurs : raccourcir les cycles de correctifs, rendre les mises à jour aussi faciles que possible pour les utilisateurs, être plus insistants auprès de ceux qui tournent encore sur des versions vulnérables connues.
  • Défenseurs réseau : raccourcir les délais de test et de déploiement des correctifs. Les contrôles de base (MFA, journalisation, durcissement des configurations) ne sont plus optionnels.

Mais au-delà de ces recommandations techniques, il y a un changement culturel plus profond qui s’impose :

La gestion des vulnérabilités doit passer d’un processus périodique à un processus continu.

Les cycles mensuels de mise à jour, les fenêtres de maintenance trimestrielles, les approbations qui prennent deux semaines : ces pratiques ont été conçues pour un monde où les attaquants avaient besoin de temps pour trouver et exploiter les failles. Ce monde n’existe plus.

La fenêtre d’exposition n’est plus acceptable

L’IA accélère radicalement la capacité à trouver les vulnérabilités. Elle commence à accélérer la capacité à les corriger. Mais entre les deux, il y a encore une fenêtre d’exposition qui peut durer des semaines, voire des mois.

C’est exactement là que se jouent les incidents de sécurité majeurs de demain.

La question n’est plus “est-ce qu’on a mis à jour ce trimestre?” Elle est : “quelle est notre capacité à déployer un correctif critique en moins de 24 heures?”

Si vous n’avez pas la réponse, c’est le bon moment pour la chercher.

Source : Project Glasswing: An initial update — Anthropic, 22 mai 2026

#Cybersécurité #GestionDesVulnérabilités #IA #PatchManagement #RSSI