La CISA gagne apparemment un nouvel outil d’IA cyber puissant

La Cybersecurity and Infrastructure Security Agency a désormais reçu un accès complet au modèle Mythos Preview d’Anthropic, selon Defense One, qui cite un responsable américain et une autre personne familière du dossier. L’accès aurait été accordé environ une semaine avant la publication de l’article, le 17 juin 2026, ce qui marque un changement notable dans la manière dont l’une des principales agences de cyberdéfense du gouvernement américain peut utiliser des systèmes d’IA avancés dans son travail quotidien.

Cette évolution est importante parce que Mythos Preview n’est pas traité comme un modèle d’IA d’entreprise ordinaire. Anthropic l’a déployé de manière sélective dans le cadre d’un programme non public appelé Project Glasswing, avec une distribution limitée à des organisations vérifiées. La raison, selon le rapport source, est que le modèle pourrait accroître de manière significative les capacités de piratage offensif s’il était largement accessible aux mauvais acteurs.

Autrement dit, le même type de système qui peut aider les défenseurs à repérer plus rapidement les failles pourrait aussi aider les attaquants à faire de même. Cette dynamique à double usage a rendu l’accès, la supervision et la politique de déploiement aussi importants que la capacité technique du modèle.

L’accès arrive avant une politique claire

Le détail le plus important du rapport n’est peut-être pas que la CISA dispose désormais du modèle, mais que l’agence ne disposerait toujours pas de directives claires du bureau du directeur national de la cybersécurité de la Maison-Blanche sur la manière de l’utiliser. Selon le responsable cité par Defense One, l’ONCD n’a pas encore fixé de paramètres fermes pour le déploiement.

Cette absence de direction semble faire écho à une frustration plus large au sein de l’appareil fédéral de la technologie et de la cybersécurité. Defense One a indiqué qu’un précédent reportage de Nextgov/FCW avait révélé que des responsables fédéraux de la technologie se plaignaient en privé d’un manque d’informations de la part de l’ONCD sur la manière de mettre en œuvre ou d’utiliser le modèle pour la recherche de vulnérabilités. Si cette description est exacte, la situation actuelle ne se limite pas à un simple retard d’intégration. Elle révèle un problème de gouvernance plus profond: les agences pourraient recevoir l’accès à des capacités d’IA très sensibles plus rapidement que le cadre politique nécessaire pour les gérer.

Pour la CISA, cela crée une situation difficile. La mission de l’agence dépend de sa capacité à aider à protéger les réseaux civils fédéraux et les infrastructures critiques. Un modèle optimisé pour identifier les vulnérabilités logicielles ou réseau pourrait être très précieux dans ce rôle. Mais sans règles opérationnelles explicites, garde-fous ou cas d’usage approuvés, même un outil potentiellement transformateur peut devenir plus difficile à déployer de manière responsable.

Pourquoi Mythos Preview attire l’attention

Le rapport distingue Mythos Preview de Mythos 5 d’Anthropic, un modèle successeur distinct au nom similaire. Cette distinction est importante, car le gouvernement américain aurait agi le week-end précédent pour bloquer les exportations de Mythos 5 et d’un autre modèle d’Anthropic, Fable 5, via un mécanisme de contrôle des exportations. Defense One a indiqué que cette décision avait provoqué une vive réaction dans les communautés cyber et IA.

Par ailleurs, Mythos Preview demeure dans le cadre strictement contrôlé de Project Glasswing. Defense One rapporte que Mythos 5 et Mythos Preview n’ont été rendus accessibles qu’à des fournisseurs vérifiés dans le cadre de ce programme. Cela laisse entendre que les responsables américains comme les développeurs d’IA considèrent ces systèmes comme particulièrement sensibles, surtout dans des contextes de cybersécurité où la découverte automatisée de vulnérabilités exploitables peut avoir des conséquences opérationnelles immédiates.

Cette sensibilité explique en partie pourquoi l’accès lui-même fait désormais l’actualité. Dans de nombreux déploiements technologiques, la principale question est de savoir si une agence veut un outil. Ici, les questions les plus pressantes sont de savoir qui obtient l’accès en premier, dans quelles conditions et avec quelle supervision.

Le contexte politique évolue rapidement

Le rapport de Defense One situe l’accès de la CISA dans un changement plus large de l’approche de l’administration Trump envers l’IA. Ces derniers mois, les responsables auraient été confrontés à une nouvelle classe de modèles capables d’identifier rapidement des vulnérabilités sur des réseaux informatiques. Cela a transformé l’IA d’une question générale de modernisation en une question de politique nationale de cybersécurité.

Des modèles comme Mythos sont de plus en plus présentés comme des accélérateurs. Pour les défenseurs, ils peuvent réduire le temps nécessaire pour identifier les points faibles, hiérarchiser les risques et orienter les analystes humains vers les problèmes les plus urgents. Pour les adversaires, ces mêmes capacités pourraient réduire le coût de la reconnaissance et accélérer la planification des exploitations. C’est pourquoi la discussion ne porte plus seulement sur la productivité, l’automatisation ou l’évaluation comparative des modèles. Elle concerne l’équilibre opérationnel entre attaque et défense.

L’inclusion de la CISA est particulièrement notable parce que l’agence aurait été exclue du premier déploiement de Mythos. Axios avait rapporté en avril que la CISA ne faisait pas partie de la première vague de distribution, puis Nextgov/FCW avait indiqué que l’accès était imminent. Le nouveau rapport suggère que l’agence a désormais franchi ce cap, même si l’architecture politique n’a pas encore suivi.

Ce que cela pourrait signifier ensuite

D’après le rapport source בלבד, on ignore encore comment la CISA utilisera Mythos Preview en pratique, que ce soit pour des analyses internes, un soutien à la recherche de vulnérabilités, des projets pilotes ou des évaluations plus limitées. Defense One a également indiqué que la CISA n’avait pas répondu à une demande de commentaire, laissant de grandes questions opérationnelles sans réponse.

Malgré tout, l’évolution est importante car elle montre que le gouvernement fédéral passe du débat au déploiement contrôlé. L’accès accordé à la CISA suggère que ces modèles ne sont plus des outils hypothétiques réservés à l’expérimentation du secteur privé ou à des discussions de sécurité nationale strictement bornées. Ils commencent à entrer dans l’environnement de travail des agences chargées de missions réelles de cyberdéfense.

La question qui reste en suspens est celle de la gouvernance. Si les agences obtiennent l’accès avant que les normes soient pleinement définies, la mise en œuvre pourrait devenir inégale, prudente ou fragmentée. Si les directives arrivent trop tard, le gouvernement risque de perdre du temps dans un domaine où les écarts de capacités peuvent se creuser rapidement. Si les directives sont trop restrictives, les agences pourraient avoir du mal à tirer parti d’outils qu’elles ont déjà été autorisées à utiliser.

Pour l’instant, la conclusion la plus claire est que le gouvernement américain semble considérer l’IA de pointe capable de cyberopérations comme à la fois stratégiquement utile et intrinsèquement risquée. L’accès rapporté de la CISA à Mythos Preview concentre cette tension en un seul moment: la technologie est suffisamment avancée pour compter, suffisamment sensible pour être strictement contrôlée, et suffisamment nouvelle pour que les règles de son utilisation soient encore en cours d’écriture.

Cet article est basé sur le reportage de Defense One. Lire l’article original.

Originally published on defenseone.com