La BCE convoque d’urgence les banques européennes face aux risques cybernétiques posés par Claude Mythos, l’IA d’Anthropic capable de percer les protections actuelles. Cette intelligence artificielle révolutionnaire a découvert plus de 10 000 failles en un mois, réduisant à 30 minutes le délai d’exploitation des vulnérabilités.
L’IA menace la cybersécurité des banques européennes
By
Published on 26 mai 2026 5h35
2%La BCE comme la FED ont pour objectif une inflation de 2%
La BCE sonne l'alarme face aux risques cyber posés par l'intelligence artificielle
La BCE a convoqué, mardi 26 mai, les principales banques européennes à une réunion d'urgence consacrée aux menaces cybernétiques que fait peser Claude Mythos, le nouveau modèle d'intelligence artificielle développé par Anthropic. Cette convocation exceptionnelle témoigne de l'inquiétude grandissante des régulateurs face à un système capable de percer les défenses informatiques actuellement déployées par les établissements bancaires — non pas en quelques heures, mais en une poignée de minutes.
Frank Elderson, vice-président du Conseil de surveillance bancaire de la BCE, a exprimé l'urgence de la situation dans un entretien accordé au Financial Times : « Il existe toute une série de problèmes de cybersécurité sur lesquels nous nous penchons avec les banques depuis des années, qui sont tous toujours valables, mais compte tenu des progrès de l'IA, ils doivent être traités plus rapidement. » Ce que redoute la BCE, c'est précisément l'effondrement des délais de réaction : là où les équipes de sécurité disposaient jadis de plusieurs semaines pour colmater une brèche après la publication d'un correctif, elles n'ont désormais parfois que trente minutes avant qu'un acteur malveillant n'exploite la même faille par rétro-ingénierie. À cette vitesse, les procédures internes de validation, les chaînes hiérarchiques d'autorisation et les tests de non-régression — conçus pour des cycles longs — deviennent des obstacles plutôt que des garde-fous.
Claude Mythos révèle des milliers de failles critiques
Les performances de Claude Mythos dans la détection de vulnérabilités informatiques ont de quoi donner le vertige. Selon l'agence ANSA, ce modèle expérimental a permis d'identifier plus de 10 000 failles de sécurité en un seul mois, décuplant les taux de détection antérieurs. Parmi les découvertes les plus marquantes figurent 6 202 vulnérabilités de gravité élevée ou critique disséminées dans plus de 1 000 projets open source qui forment le socle d'une large part de l'infrastructure d'Internet.
L'efficacité redoutable de ce système s'est déjà traduite par des résultats concrets. Mozilla a intégré 271 correctifs de sécurité dans Firefox 150 — un volume sans précédent par rapport aux versions antérieures. Plus saisissant encore, dans le cadre du projet Glasswing, Mythos Preview aurait contribué à déjouer un virement frauduleux de 1,5 million de dollars au sein de l'une des banques partenaires, après qu'un cybercriminel eut compromis le compte de messagerie d'un client.
Un défi temporel critique pour les banques européennes
L'aspect le plus troublant de cette révolution tient à la compression brutale des délais d'action. Frank Elderson l'a formulé sans détour : « Lorsqu'un grand fournisseur de logiciels publie un correctif, il est possible de faire de l'ingénierie inverse de la vulnérabilité que ce correctif est censé corriger, non pas en quelques semaines, mais peut-être en trente minutes. » Ce glissement temporel bouleverse en profondeur les pratiques traditionnelles de sécurité informatique. Les banques disposent désormais de fenêtres d'intervention réduites à leur strict minimum pour appliquer les mises à jour avant que des acteurs malveillants, armés d'outils comparables, ne s'engouffrent dans la brèche.
La BCE craint en outre un effet d'asymétrie particulièrement pernicieux : si les défenses évoluent trop lentement, les attaquants — qui n'ont pas à composer avec des contraintes réglementaires ni des processus de gouvernance — prendront une avance structurelle difficile à combler. Mythos Preview affiche d'ailleurs un taux de réussite supérieur à 83 % au premier essai sur les exploits qu'il tente, un chiffre qui illustre la brutalité du changement de paradigme en cours.
L'Europe face au défi de l'accès technologique
La situation révèle un déséquilibre géostratégique d'autant plus préoccupant qu'il est structurel. Anthropic a restreint l'accès à Claude Mythos à une quarantaine d'organisations sélectionnées dans le cadre du projet Glasswing — principalement américaines : Amazon, Microsoft, Google, Nvidia et JPMorgan Chase y figurent, mais aucune banque européenne. Comme le rapportent Sky TG24 et TGcom24, cette exclusion de fait place les établissements du Vieux Continent dans une posture inconfortable : ils doivent parer des menaces qu'ils ne peuvent pas pleinement appréhender, faute d'accès aux outils qui les génèrent. La BCE a donc exigé des banques américaines présentes à la réunion qu'elles partagent leurs enseignements avec leurs homologues européennes — une forme de diplomatie technologique d'urgence.
Ce déséquilibre d'accès s'inscrit dans une tension plus large sur la souveraineté numérique européenne, à l'heure où les banques centrales sont confrontées à des arbitrages délicats entre ouverture aux innovations technologiques et maîtrise des risques systémiques qu'elles engendrent.
Les implications réglementaires et opérationnelles
La réaction de la BCE s'ancre dans le cadre de l'Acte sur la résilience opérationnelle numérique — le règlement DORA —, la législation européenne qui impose aux banques de gérer leurs risques informatiques, de tester leur résilience et de signaler tout incident significatif. Mais le rythme de l'évolution technologique déborde désormais largement le périmètre de ce cadre réglementaire. Les modèles d'IA découvrent des vulnérabilités vieillissant depuis plusieurs décennies à une cadence que les institutions chargées de les corriger sont incapables de soutenir. Cette réalité pousse la BCE à réclamer une accélération sans précédent des processus de sécurisation, quitte à remettre en cause des pratiques opérationnelles profondément enracinées.
Vers une course contre la montre technologique
L'Institut britannique de sécurité de l'IA a établi que Mythos Preview réussit 73 % des défis de type « Capture the Flag » de niveau expert — un seuil qu'aucun modèle d'IA n'avait franchi avant avril 2025. Ces performances annoncent l'émergence d'une nouvelle génération d'outils cybernétiques aux capacités jusqu'alors réservées aux acteurs étatiques les mieux dotés.
Face à cette réalité, Frank Elderson a choisi une métaphore musicale pour traduire l'urgence : « En termes musicaux, je dirais qu'andante était peut-être suffisant, mais nous devons passer au presto. » L'accélération est d'autant plus pressante qu'Anthropic estime que des acteurs malveillants pourraient répliquer ces capacités dans un délai de six à douze mois — une fenêtre d'opportunité étroite pour que les défenses rattrapent les offensives.
L'enjeu dépasse largement la seule sphère technologique pour toucher aux fondements mêmes de la stabilité financière européenne. La BCE supervise 111 des plus grandes banques de la zone euro, dont la robustesse informatique constitue un pilier de l'architecture financière continentale. La réunion de mardi marque ainsi un tournant dans l'approche européenne de la cybersécurité bancaire, contrainte de s'adapter à un paradigme inédit où l'intelligence artificielle redéfinit, à vitesse grand V, les règles du jeu. Une transformation qui, à l'image des tensions qui agitent l'ensemble de la chaîne d'approvisionnement technologique mondiale — comme en témoigne la grève qui menace la production mondiale de composants indispensables à l'IA —, rappelle combien la dépendance aux technologies de pointe est devenue un risque systémique à part entière.