L'Union européenne réclamait depuis avril l'accès à Mythos, l'IA d'Anthropic qui débusque les failles critiques. Anthropic a fini par dire oui. Reste un détail (qui n'en est pas un) : ce que l'entreprise américaine verrait, en retour, des systèmes européens.
Quand de hauts responsables de la Commission européenne traversent l'Atlantique pour aller réclamer, en personne, l'accès à un logiciel, c'est que le logiciel en question n'a rien d'anecdotique. La semaine dernière, direction San Francisco. Selon Bloomberg et le Financial Times, qui ont sorti l'information le 1er juin, Anthropic a fini par accepter d'ouvrir son modèle Mythos à l'agence européenne de cybersécurité, l'ENISA. Une première pour une institution de l'Union.
Anthropic ouvre Mythos à l'ENISA après des semaines de bras de fer
Anthropic a transmis sa décision à la Commission au cours du week-end, d'après les sources de Bloomberg. Concrètement, l'ENISA rejoindrait Project Glasswing, le club très fermé lancé le 7 avril qui réunit une quarantaine de partenaires triés sur le volet (AWS, Apple, Google, Microsoft, NVIDIA, CrowdStrike, la liste a de quoi faire pâlir). L'agence deviendrait la première entité publique non américaine et non britannique à mettre les mains dans le modèle.
Encore faut-il s'entendre sur les modalités. « Cela nous a été proposé, mais les conditions sont encore en discussion », résume Laura Heuvinck, porte-parole de l'ENISA. Côté Commission, Thomas Regnier, porte-parole pour la souveraineté technologique, évoque « plusieurs réunions productives » avec l'entreprise, sans en dire un mot de plus. Autrement dit, rien n'est signé.
- Upload de fichiers pouvant aller jusqu'à 100 000 tokens (75 000 mots environ)
- Personnalisation avancée
- Conception éthique
Mythos a dépassé ce que les modèles d'IA générative ont proposé jusqu'à maintenant en termes de cybersécurité. Donnez-lui une base de code à analyser, il trouvera des failles et dans la foulée, il fabrique l'exploit qui permet d'en tirer parti. Le genre de technologie qu'on préfère avoir dans son camp, vous en conviendrez. Anthropic affirme avoir déniché de cette manière plus de 10 000 failles critiques en quelques semaines, sur l'ensemble des grands systèmes d'exploitation et navigateurs. D'où la crainte qui colle à l'outil : entre de mauvaises mains, le même instrument défensif se transforme en arme.
Un dernier verrou a longtemps coincé le dossier, et il vient de Washington. Anthropic a posé comme préalable un feu vert de l'administration américaine avant tout transfert d'accès à un gouvernement étranger. Les États-Unis, eux, avaient déjà écarté plusieurs tentatives d'élargissement au nom de la sécurité nationale. Nous avions raconté comment l'Eurogroupe s'était emparé du sujet début mai, faute d'accès pour les banques européennes.
Le prix du oui : combien Anthropic verra-t-il des systèmes européens ?
Donner à une agence européenne les clés d'un outil qui ausculte des infrastructures, c'est aussi, en creux, offrir à une entreprise américaine une fenêtre sur ces mêmes infrastructures. Le point de friction est là, et pas où on l'attend : moins dans ce que l'Europe obtient que dans ce qu'Anthropic récupère au passage. Le degré d'accès que l'entreprise conserverait aux systèmes de l'Union via Mythos fait justement partie des points encore ouverts, chaque partie avançant ses exigences sans les détailler (la transparence des négociations a ses limites).
Cela dit, Bruxelles ne se présente pas les mains vides. OpenAI a depuis sorti son propre modèle de cybersécurité, GPT-5.4 Cyber, ce qui offre aux institutions européennes un second fournisseur capable d'analyser des logiciels sans toucher à leur code source. De quoi peser un peu sur les prix comme sur les fameuses clauses de souveraineté des données. Et l'Europe garde une autre carte dans la manche : à défaut d'obtenir le modèle américain, elle peut financer le sien. BNP Paribas planche déjà avec Mistral AI sur une alternative souveraine dédiée à la cybersécurité bancaire, un chantier qui en dit long sur les réflexes du continent.
Reste l'arrière-plan réglementaire, qui pèse lourd. L'ENISA n'est pas une agence parmi d'autres : c'est elle qui pilote la base de données européenne des vulnérabilités, prévue par la directive NIS2 sur la cybersécurité des infrastructures critiques. Lui confier Mythos, c'est doter le bras armé cyber de l'Union d'un outil que ses propres États membres n'ont toujours pas. De quoi raviver un débat européen aussi vieux que tenace : peut-on à la fois réguler les géants américains à coups d'amendes et leur réclamer leurs meilleurs jouets dès que sa propre sécurité est en jeu ?
Bruxelles gagne une manche, la dépendance demeure
L'accès de l'ENISA ne referme pas le dossier, il le déplace. Une fois l'agence dans la place, les États membres voudront que leurs propres centres nationaux de cybersécurité comme l'ANSSI accèdent eux aussi aux trouvailles de Mythos. Le secteur financier, lui, pousse pour un accès direct plutôt que de passer par l'ENISA comme guichet. La file d'attente ne fait que se réorganiser.
Le rappel le plus concret de l'enjeu vient encore de la finance. La Banque centrale européenne a convoqué les banques de la zone euro pour qu'elles corrigent des vulnérabilités repérées par Mythos dans des logiciels qui font tourner les infrastructures de paiement. Quand une faille touche une bibliothèque open source partagée par tout le monde, ce sont des dizaines d'établissements qui se retrouvent à nu d'un coup.
Au fond, toute cette séquence raconte une dépendance. L'Europe régule l'IA américaine, la taxe, l'encadre, et doit malgré tout lui quémander accès à ses meilleurs outils dès que sa sécurité vacille. Le feu vert de Washington, lui, reste un préalable. Sauf percée majeure de Mistral sur le sujet, l'autonomie stratégique du continent en matière de cybersécurité tient aujourd'hui à un arbitrage qui se négocie de l'autre côté de l'Atlantique.
