Introduction
Anthropic a présenté Claude Mythos Preview le 7 avril 2026 dans le cadre de Project Glasswing, en le gardant hors du grand public au motif que ses capacités cyber pourraient être détournées. Selon Anthropic, le modèle a déjà identifié des milliers de vulnérabilités critiques, y compris dans les principaux systèmes d’exploitation et navigateurs, et a obtenu 83,1 % sur son benchmark interne CyberGym contre 66,6 % pour Claude Opus 4.6. Dit autrement : le sujet n’est plus de savoir si les LLM vont peser sur la cybersécurité, mais à quelle vitesse.
Le plus important est que cette alerte ne repose pas uniquement sur le discours d’un éditeur. Le UK AI Security Institute a évalué Mythos dans des environnements contrôlés et a observé une progression nette sur les tâches cyber complexes : 73 % de réussite sur des CTF de niveau expert, alors qu’aucun modèle n’y parvenait avant avril 2025, et première résolution complète d’un scénario d’attaque d’entreprise en 32 étapes dans 3 tentatives sur 10, avec une moyenne de 22 étapes sur 32. Cela ne prouve pas qu’un modèle peut compromettre à lui seul un SI bien défendu dans le monde réel, mais cela confirme une accélération franche des capacités offensives automatisées.
Les vulnérabilités changent de nature
La première rupture concerne les vulnérabilités des systèmes eux-mêmes. Les LLM deviennent meilleurs pour repérer, comprendre et parfois enchaîner des failles logicielles. Une revue systématique publiée en 2025 recense plus de 300 travaux, 25 LLM et plus de 10 scénarios cyber déjà étudiés, ce qui montre que l’on n’est plus dans l’expérimentation isolée, mais dans un champ de recherche structuré. Une autre synthèse académique conclut que les usages offensifs de l’IA progressent aujourd’hui plus vite que les usages défensifs, en particulier sur les attaques ciblant les humains.
La deuxième rupture concerne les vulnérabilités des applications IA elles-mêmes. Les risques dominants sont désormais connus : prompt injection, jailbreaking, fuites de données, actions non autorisées, hallucinations et génération de code peu sûr. Une revue systématique de 2026 sur les défenses contre le prompt injection recense déjà 88 études, tandis que le NIST rappelle que les systèmes GenAI peuvent à la fois augmenter des attaques comme le phishing, le malware ou le hacking, et élargir la surface d’attaque parce qu’ils restent eux-mêmes vulnérables à l’injection de prompts et au data poisoning.
Les travaux empiriques vont dans le même sens. Dans une étude grandeur nature sur une organisation d’environ 9 000 personnes, des emails de phishing latéral générés par LLM se sont révélés aussi efficaces que ceux rédigés par des professionnels de la communication. Et côté développement, une étude de 2025 sur du code web généré par ChatGPT, Claude, Gemini, Grok et DeepSeek conclut qu’aucun de ces modèles ne respecte pleinement les bonnes pratiques de sécurité : authentification, gestion de session, validation des entrées et en-têtes HTTP restent des zones de faiblesse récurrentes.
Comment l’IA redéfinit la cybersécurité
La cybersécurité entre dans une phase où l’IA ne sert plus seulement à assister, mais à industrialiser.
Des benchmarks récents montrent une montée rapide des capacités des agents sur des chaînes d’attaque multi-étapes, tandis que la littérature académique décrit un phénomène de baisse du coût d’attaque et d’augmentation de l’échelle. En parallèle, les équipes de sécurité commencent réellement à intégrer l’IA dans leurs opérations : selon ISC2, 30 % des professionnels cyber utilisent déjà des outils IA en production, 42 % les évaluent ou les testent, et parmi les adopteurs, 70 % constatent un impact positif sur l’efficacité de l’équipe. Les gains les plus cités concernent la détection réseau, l’endpoint, la gestion des vulnérabilités, le threat modeling et les tests de sécurité.
Cela signifie que la valeur d’un professionnel cyber va se déplacer. Les tâches les plus exposées sont celles qui sont répétitives, procédurales, documentaires ou facilement modélisables. En revanche, prennent de la valeur les compétences de validation, arbitrage, priorisation, architecture, gouvernance, gestion de crise, communication du risque et pilotage des outils IA. Ce basculement est cohérent avec le Future of Jobs Report 2025 du World Economic Forum, qui place AI & big data ainsi que networks and cybersecurity parmi les compétences à plus forte croissance, tout en soulignant l’importance durable de la pensée analytique, de la résilience, de l’adaptabilité et du leadership.
Marché du travail : disparition des postes ou transformation des rôles ?
Le marché cyber ne s’effondre pas ; il se recompose. ISC2 estime qu’il y avait encore 5,5 millions de professionnels actifs dans le monde en 2024, mais avec un déficit de 4,8 millions de talents. La tension reste donc forte. En parallèle, le WEF indique que près de 40 % des compétences requises dans les emplois devraient évoluer d’ici 2030, que 59 personnes sur 100 auront besoin d’upskilling ou de reskilling, et que 77 % des employeurs prévoient d’investir dans l’upskilling, même si 41 % anticipent aussi des réductions d’effectifs sur certaines tâches automatisables.
Le signal le plus utile pour les professionnels cyber est le suivant : l’entrée de gamme change plus vite que les rôles à responsabilité. Selon l’enquête ISC2 de 2025, 52 % des répondants pensent que l’IA réduira en partie le besoin de profils entry-level, mais 31 % considèrent aussi qu’elle fera émerger de nouveaux rôles juniors. Et surtout, 44 % déclarent que l’adoption actuelle de l’IA n’a pas encore modifié leurs plans de recrutement. L’enjeu n’est donc pas seulement “est-ce que l’IA remplace ?”, mais “quels profils restent indispensables quand l’exécution brute coûte moins cher ?”
Comment protéger son poste dans cette nouvelle ère
Protéger son poste ne consiste plus à refuser l’IA, mais à devenir plus difficile à remplacer que l’outil. Cela suppose de savoir utiliser un LLM pour accélérer la veille, l’analyse, la documentation ou le prototypage, tout en restant capable de contrôler la qualité, détecter les erreurs, questionner les hypothèses, contextualiser le risque métier et assumer la décision finale. Les entreprises chercheront moins des “utilisateurs de prompts” que des profils capables de gouverner, encadrer et fiabiliser l’usage de l’IA dans des environnements réels.
Concrètement, les compétences les plus défensives pour une carrière sont celles qui combinent cybersécurité, IA, gouvernance, réglementation, gestion du risque et communication.
Quelles formations suivre maintenant ?
Pour un public RSSI, GRC, conformité ou management, le socle le plus logique est un parcours autour de l’ISO/IEC 42001, de la gestion du risque IA, de l’ISO/IEC 27001 et d’EBIOS RM. C’est ce type de combinaison qui permet de passer d’un discours sur l’IA à une vraie capacité de cadrage, de gouvernance et de pilotage.
Les études académiques montrent bien que les LLM peuvent aider à écrire, corriger, détecter et analyser, mais qu’ils peuvent aussi introduire des vulnérabilités ou faciliter des campagnes offensives. Le professionnel technique qui gardera de la valeur sera donc celui qui sait travailler avec l’IA sans jamais lui déléguer la confiance.
Conclusion :
Claude Mythos confirme une chose : l’IA redéfinit déjà la cybersécurité, les métiers et les compétences attendues. L’enjeu n’est plus seulement de suivre l’évolution des LLM, mais de savoir les encadrer, les sécuriser et les intégrer avec méthode. Dans ce contexte, la formation devient un levier clé pour rester pertinent, protéger sa valeur sur le marché et accompagner les organisations avec plus de maturité.
Vous souhaitez faire monter vos équipes en compétences en cybersécurité, gouvernance de l’IA ou gestion du risque ?
Contactez-nous pour construire un parcours de formation adapté à vos enjeux.
