La semaine dernière, la société Anthropic, spécialisée dans l'IA, a reconnu un incident de sécurité au cours duquel un projet d'article de blog a été divulguée à Fortune.
Le billet de blog indique que son nouveau projet, “Claude Mythos”, et son nouveau modèle, Capybara, représentent un “changement radical” dans le domaine des assistants d'intelligence artificielle. Le blog présente un “modèle à usage général avec des avancées significatives en matière de raisonnement, de codage et de cybersécurité”.”
Le blog Anthropic a également mis en garde : “En préparant la publication de Claude Capybara, nous voulons agir avec une prudence accrue et comprendre les risques qu'il pose - même au-delà de ce que nous apprenons dans nos propres tests... En particulier, nous voulons comprendre les risques potentiels à court terme du modèle dans le domaine de la cybersécurité - et partager les résultats pour aider les cyberdéfenseurs à se préparer.”
Les projet a également noté que le nouveau modèle “présage d'une prochaine vague de modèles capables d'exploiter les vulnérabilités d'une manière qui dépasse de loin les efforts des défenseurs”.”
Claude Mythos pourrait représenter un risque majeur pour la cybersécurité des organisations. Le nouveau modèle suivra une vague de risques croissants causés par l'IA, les agents et d'autres identités non humaines (NHI) :
- Gartner a désigné l'IA agentique comme la principale tendance technologique de 2025 et prévoit que 33% d'applications d'entreprise incluront l'IA agentique d'ici 2028, contre moins de 1% en 2024.
- D'autres études montrent que les INSA sont plus nombreux que les utilisateurs humains, à savoir 45 à 1dans des environnements DevOps.
- Une enquête récente a révélé que 60%des entreprises ont exprimé un manque de confiance dans leur capacité à assurer de manière adéquate la mise en place de l'INSA.
Qu'il s'agisse de Claude Mythos, de ChatGPT ou d'un autre service agentique, la discussion qui a eu lieu la semaine dernière lors de la conférence de l Conférence du RSAC était axée sur la manière dont l'IA transforme le paysage des menaces.
Voici les meilleures pratiques que nous avons communiquées à nos clients et qui peuvent aider les organisations à se préparer à utiliser l'IA et à se défendre contre elle.
Les menaces alimentées par l'IA ne sont pas à venir, elles sont déjà là. Une précédente étude Anthropic article de blog explique qu'un groupe parrainé par un État a utilisé l'agent pour infiltrer “une trentaine de cibles mondiales et a réussi dans un petit nombre de cas” en “prétendant travailler pour des organisations légitimes de tests de sécurité” afin d'éviter les garde-fous de Claude. Nous avons continué à voir Attaques de phishing pilotées par l'IA visant à voler les informations d'identification des utilisateurs.
Les organisations doivent mettre en place les bons contrôles d'identité pour se préparer à des attaques plus nombreuses et plus efficaces. Ces contrôles sont les suivants
- Authentification sans mot de passeL'utilisation d'un ordinateur sans mot de passe permet de supprimer les informations d'identification que les attaques de phishing pilotées par l'intelligence artificielle tentent de dérober. Viser déployer sans mot de passe à grande échelle pour chaque utilisateur dans chaque environnement.
- Sécuriser le processus d'authentification: L'absence de mot de passe est une excellente première étape pour protéger les organisations contre l'IA, mais ce n'est qu'une première étape. Il faut sécuriser le processus d'authentification lui-même en utilisant des solutions qui évaluer dynamiquement les signaux des utilisateurs et exiger une authentification renforcée lors des tentatives de connexion à haut risque, ou utiliser la vérification de proximité pour s'assurer que l'appareil de l'utilisateur est proche de ce à quoi il tente d'accéder.
- Vérification bidirectionnelle de l'identité: Les "deepfakes" permettront aux attaquants de se faire passer plus facilement pour des utilisateurs ou du personnel du service d'assistance. Les agents aideront les adversaires à créer des attaques d'ingénierie sociale plus convaincantes. Les organisations ont besoin d'un moyen simple de prendre en compte les tactiques et les agents d'ingénierie sociale. vérifier un utilisateur est celui qu'il prétend être pour prévenir le type d'attaques qui coûtent cher à l'Union européenne. MGM Resorts, Caesars Entertainment Group et Marks & Spencer des centaines de millions de dollars.
- Gouvernance et administration des identités (IGA) : Dans la plupart des cas, les attaquants agissent rapidement pour escalader les privilèges et étendre l'accès. Le fait de disposer d'un programme avancé de l'AGI permet de limiter ce risque en veillant à ce que les identités n'aient accès qu'à ce qui est nécessaire, en appliquant le principe du moindre privilège et en soutenant une approche de confiance zéro.
Il ne suffit pas de mettre en place des capacités de sécurité pour se défendre contre l'IA externe. Les organisations ont également besoin de contrôles de sécurité de l'identité qui leur permettent de l'utiliser en toute sécurité. Les 2026 Rapport RSA ID IQ, Selon une enquête menée auprès de plus de 2 100 leaders mondiaux de la cybersécurité, de la gestion des identités et des accès (IAM), de la conformité et de la technologie, 91% des organisations prévoient de mettre en œuvre une certaine forme d'IA dans leur pile de cybersécurité cette année.
Pour utiliser l'IA en toute sécurité, les organisations doivent
- Traiter chaque agent comme une identité. Les organisations doivent traiter chaque agent, bot et service d'IA comme une identité. Elles doivent appliquer le même niveau de contrôle, de permissions et de surveillance aux IAN qu'aux utilisateurs humains. Inventoriez d'abord ce que vous avez et comprenez son accès. Et exigez l'absence de mot de passe pour vos agents afin d'éliminer le risque que les employés codent en dur leurs mots de passe pour agir en leur nom - si vous le faites, vous ne faites que lâcher un bot non sécurisé dans la nature.
- Communiquez vos politiques de manière claire, forte et fréquente.. Il ne s'agit pas seulement d'un problème technologique. Les organisations doivent déterminer quels services sont acceptables et quelles ressources les employés peuvent leur fournir. L'IA fantôme représente un risque énorme de perte d'informations confidentielles, d'informations financières et d'autres données à diffusion restreinte.
- Construire une meilleure AGI. Pour utiliser l'IA en toute sécurité, les organisations ont besoin d'une gouvernance qui évolue avec l'ampleur des données d'identité. Cela signifie qu'il faut s'assurer que les identités n'ont que l'accès dont elles ont besoin, maintenir une visibilité continue de l'accès et transformer des données complexes en actions claires et prioritaires. L'IA aide les réviseurs à prendre des décisions en toute confiance et donne aux professionnels de la sécurité des informations leur permettant d'identifier les risques et d'agir à grande échelle, ce qui permet un contrôle continu et intelligent de l'accès.
- Souveraineté des données pour l'IA. Les organisations qui ont des exigences accrues en matière de conformité, de sécurité et de disponibilité devraient envisager d'utiliser déploiement souverain pour assurer un contrôle total de leurs données, de leur emplacement et des personnes qui peuvent y accéder. Recherchez des solutions capables de prendre en charge des fonctionnalités complètes de gestion des identités et des accès (IAM) dans des configurations en nuage privé, multicloud, sur site et en nuage aérien.
