Plusieurs agences fédérales américaines se tournent vers un nouveau modèle de cybersécurité développé par Anthropic afin d’identifier des vulnérabilités et de faciliter leur correction. Mais un acteur central du dispositif national semble rester à l’écart : la CISA, l’agence chargée de la coordination de la sécurité numérique aux États-Unis.

Une agence clé exclue des premiers tests

Selon des informations relayées récemment, la Cybersecurity and Infrastructure Security Agency (CISA) ne disposerait pas d’un accès au produit “Mythos Preview” d’Anthropic. La raison exacte n’a pas été rendue publique, et la CISA n’a pas répondu immédiatement aux sollicitations de commentaires.

De leur côté, d’autres administrations seraient déjà engagées dans des démarches de test ou d’évaluation. Le ministère du Commerce et la National Security Agency (NSA) figurent notamment parmi les entités mentionnées, et des discussions seraient en cours pour élargir l’accès au niveau gouvernemental.

Des initiatives en parallèle, mais un rôle de coordination fragilisé

Dans un billet, Anthropic indique avoir mené des échanges avec des responsables américains au sujet de Claude Mythos Preview et de ses capacités offensives et défensives. L’entreprise affirme aussi qu’elle cherche à donner un “avantage” aux institutions concernées afin d’accélérer la préparation aux attaques et la correction des failles.

Toutefois, si la CISA n’est pas effectivement intégrée à ces premiers cycles, cela soulève une question d’organisation : pourquoi l’agence chargée de soutenir la réponse nationale—notamment auprès des collectivités locales et des infrastructures critiques—ne bénéficierait-elle pas d’un outil présenté comme particulièrement utile pour découvrir et corriger des vulnérabilités ?

Ressources sous tension et effets potentiels sur la cybersécurité

Au-delà du dossier Mythos Preview, la situation de la CISA est régulièrement présentée comme contrainte. Des réductions de moyens, des arbitrages politiques et des réaffectations de personnel ont été évoqués dans le cadre plus large des décisions prises par l’exécutif et de leurs conséquences sur l’agence.

Dans ce contexte, l’enjeu n’est pas seulement technologique : la capacité à coordonner l’information sur les risques, à appuyer les acteurs locaux et à renforcer la préparation face aux attaques dépend largement de moyens opérationnels. Ne pas intégrer un outil de détection et de correction de vulnérabilités dans les priorités immédiates pourrait, à terme, réduire la vitesse de réaction collective.

Pourquoi l’accès à ce type d’outil compte

Anthropic présente Mythos Preview comme un instrument pouvant contribuer à la découverte de failles et à la démarche de remédiation. En théorie, disposer rapidement de ce type de capacités permettrait d’augmenter l’anticipation et d’accélérer les correctifs, notamment pour des environnements très utilisés.

Pour les organisations, ce type d’outillage s’inscrit dans une logique plus large : l’amélioration continue de la posture de sécurité passe par la combinaison d’analyses automatisées et de validation humaine. À titre d’illustration, certaines équipes s’appuient sur des environnements de test et de gestion des configurations afin de valider rapidement l’impact de correctifs et de détections.

• des solutions de supervision et de collecte de logs de type SIEM peuvent aider à consolider les signaux de sécurité avant et après l’application des correctifs.
• des scanners de vulnérabilités et d’audit réseau servent souvent à vérifier la réduction du risque sur des périmètres concrets.

En l’état, l’écart supposé entre les premières utilisations de Mythos Preview par certaines agences et l’absence d’accès attribuée à la CISA met en lumière une tension entre innovation et coordination. Pour une agence pensée comme pivot national, l’intégration d’outils de cybersécurité de nouvelle génération devient un indicateur de la façon dont l’écosystème public organise—ou non—sa réponse aux menaces.