EN
  • Cyber stability
  • Secops
  • Risks management
  • Digital transformation
  • Digital Sovereignty
  • Cybercrime
  • Industry and OT
  • Fraud
  • Digital identity
  • Cyber +
    • Why [Mythos] Signals the End of Traditional Patch Management

    Why Mythos Signals the End of Traditional Patch Management

    Written by
    Xavier Biseul
    05.21.26
    Risks management
    11
    MIN
    Why <strong>Mythos</strong> Signals the End of Traditional Patch Management
    Why <strong>Mythos</strong> Signals the End of Traditional Patch Management
    Why Mythos Signals the End of Traditional Patch Management
    Image Anthropic investigates unauthorized access to its Mythos AI model
    Risks management
    04.22.26 Risks management
    Next article
    Anthropic investigates unauthorized access to its Mythos AI model
    Read
    01
    MIN
    Image AI Secure: Are we really powerless in the face of the threat?
    Cyber +
    04.22.26 Cyber +
    Next article
    AI Secure: Are we really powerless in the face of the threat?
    Read
    04
    MIN
    Image 0-day attacks increasingly target the private sector
    Risks management
    03.06.26 Risks management
    Next article
    0-day attacks increasingly target the private sector
    Read
    01
    MIN
    Image Shadow AI, the blind spot undermining cyber governance in SMEs and mid-sized companies
    Digital transformation
    02.23.26 Digital transformation
    Next article
    Shadow AI, the blind spot undermining cyber governance in SMEs and mid-sized companies
    Read
    07
    MIN
    By automating the mass discovery of vulnerabilities, Anthropic’s super AI has sent shockwaves through the cybersecurity world. Faced with a growing flood of flaws to fix, organizations must shift into a higher gear. Leveraging AI and a risk-based approach are becoming essential.

    Le 7 avril 2026 restera une date charnière dans l’histoire de la cybersécurité. Suite à la fuite accidentelle de Mythos, son modèle avancé en cybersécurité offensive, Anthropic rend publique un document technique de 245 pages. On y apprend que, non seulement, son IA surpuissante peut identifier et exploiter des vulnérabilités critiques de façon autonome, mais aussi produire des exploits fonctionnels. Une bombe à retardement est lancée.

    L’onde de choc est immédiate, le monde de la cyber bascule dans une nouvelle ère. La découverte automatisée de nouvelles failles dans les systèmes d’exploitation, les navigateurs web et les logiciels métiers va mécaniquement entraînerentrainer une hausse du nombre de cyberattaques. Le temps est compté pour les combler au plus vite. L’« affaire » Mythos étant fortement médiatiséemédiatisé, les RSSI du monde entier sont convoqués par leurs comités de direction pour connaître la politique à suivre.

    Pour Gérôme Billois, administrateur du Clusif et partner « cybersecurity and digital trust » chez Wavestone, l’arrivée de Mythos doit être remise en perspective. « C’est une progression nette dans l’automatisation de la recherche de vulnérabilités, mais la tendance avait été en partie identifiée, dès 2024, avec le modèle Big Sleep de Google. Anthropic a réussi son coup en transformant une évolution technologique attendue en événement médiatique. »

    L’entrée en Bourse d’Anthropic, prévue cette année, mais aussi sa rivalité avec OpenAI ne seraient pas étrangères à l’exposition « accidentelle » de Mythos Preview. De fait, OpenAI n’aura mis qu’un mois a présenté un outil équivalent avec GPT-5.4-Cyber. Comme pour Mythos, son outil de découverte de failles est, pour l’heure, réservé à quelques organisations triées sur le volet. 

    Changement de rythme et d’échelle

    Pour Gérôme Billois, Mythos aura eu le mérite de provoquer une prise de conscience au sein des directions générales. Du côté des communautés cyber, il a observé trois grands types de réactions. « Dans les 15 % des entreprises les plus matures, des précellules de crise ont été organisées. ÀA l’opposé, des équipes cyber ont traversé une vraie phase d’abattement. Certaines ont déjà entre 5 000 et 10 000 failles non corrigées dans le pipeline, comment faire plus ? Enfin, des organisations se situent entre les deux et se disent de façon pragmatique « il se passe quelque chose, il faut au moins que je m’assure que les processus fonctionnent ». »

    Pour Bernard Montel, Field CTO EMEA et cyber stratégiste chez Tenable, « Mythos ne change pas la nature du risque. Les vulnérabilités existent depuis toujours. En revanche, l’IA fait passer la menace à une autre échelle et à une autre vitesse, en réduisant fortement le délai entre l’identification d’une faille et son utilisation malveillante. » Le fameux Time To Exploit (TTE). Les organisations vont devoir faire face à une déferlante de vulnérabilités. Tenable parle de « vulnami », mot-valise composé de « vulnérabilités » et « tsunami ».

    La vague semble s’être formée avant Mythos. Selon les projections du FIRST (Forum of Incident Response and Security Teams), publiées en février, le cap des 50 000 vulnérabilités divulguées et connues (CVE) pourrait être atteint en 2026. Une première dans l’Histoire de la cyber et un doublement par rapport à 2023. « Des scénarios réalistes suggèrent que 70 000 à 100 000 vulnérabilités sont tout à fait possibles cette année », envisage même le FIRST.

    Les recommandations du Clusif

    Un mois et demi après le 7 avril, la pression est quelque peu retombée. Les experts ont eu le temps d’analyser à froid la situation et de réfléchir posément aux mesures à prendre. Dans une note très opérationnelle, le Clusif formule une série de recommandations. À court terme, l’association d’experts en cybersécurité conseille d’accélérer les processus de patch management, en s’appuyant sur des cockpits de gestion de la vulnérabilité opérationnelle (VOC), et d’améliorer la qualité des inventaires d’actifs, incluant les S-BOM (Software Bill of Materials) et la surveillance de la surface d’attaque externe (EASM).

    Pour faire face à des menaces, conduites à la vitesse de la machine, « l’IA doit être mise au service de la défense, notamment pour accélérer la détection et la réponse aux incidents, enrichir la threat intelligence et automatiser la veille sur les vulnérabilités », estime le Clusif. Par ailleurs, il convient de limiter l’impact potentiel d’une faille zero-day par des mesures plus « classiques », comme la segmentation réseau, l’approche Zero Trust ou la réduction des privilèges.

    « D’un point de vue organisationnel, il est possible de conduire des mini exercices de crise en réunissant dans la même salle, les équipes cyber, la DSI et les métiers, complète Gérôme Billois. On se met dans la situation où une faille majeure impose de redémarrer des serveurs sous deux jours. Comment faiton ? Comment déploieton ? Que redémarreton ? Qu’estce qu’on arrête ? Ce type de simulation permet de faire émerger les vraies contraintes opérationnelles. »

    Au sein même de la DSI, il s’agit de fluidifier les interactions entre les trois parties prenantes d’une stratégie de patch management que sont l’équipe cyber qui lève les alertes, les « ops » (operations) chargés de déployer les correctifs et les « devs » (développement) qui analysent les impacts métiers et réalisent parfois les tests de non régression. Il est possible pour cela de recourir à la méthode VulnOps qui, à l’instar de DevOps, regroupe tous les processus dédiés à la gestion des vulnérabilités.

    Sécuriser l’IA par l’IA

    Si l’IA est le problème, elle est aussi une partie de la solution, à condition de l’employer avec discernement. L’IA aide les organisations à industrialiser le déploiement des mises à jour et des correctifs de sécurité en priorisant, d’une part, les failles les plus critiques et en automatisant le patching des vulnérabilités mineures d’autre part. L’IA peut également contribuer au maintien des inventaires d’actifs.

    Le marché s’est mis en ordre de marche dans ce sens. En autres annonces, Google Cloud a récemment dévoilé trois nouveaux agents IA pour sa suite Google Security Operations. Dans ce système de « défense agentique », un agent identifie de nouveaux schémas d’attaque tandis qu’un autre agent remonte les failles associées.

    « Demain, vous aurez 5 à 10 fois plus de schémas d’attaque possibles à examiner, avance Bernard Montel. Sans IA, vous serez noyés par le bruit. Le volume d’alertes remontées risque de masquer l’essentiel. Le patching automatique permet de réduire ce bruit. » Toute la question est de savoir où placer le curseur. 

    Selon lui, l’IA peut automatiser le patching d’applications utilisées au quotidien qui n’ont pas, sauf exception, d’impact direct sur la chaîne de production métier comme un navigateur web ou un outil de visioconférence. Cette automatisation est facilitée par l’arrivée de « bundles » comblant un très grand nombre de failles en même temps à la différence des patchs habituels. Grâce à Mythos, Mozilla a ainsi corrigé 271 failles de sécurité dans la dernière version de Firefox.

    « À l’inverse, l’IA ne peut automatiser le patching d’une base de données ou d’un stack applicatif qui exige l’implication des différentes parties prenantes », tempère Bernard Montel. En revanche, l’IA peut aider à déterminer quelle est la fenêtre de tir idéale pour appliquer des correctifs pour que l’impact sur l’activité soit le plus limité possible. « Aujourd’hui, l’IA procède par essaierreur et peut halluciner. Son niveau de fiabilité n’est pas suffisant pour automatiser totalement le patching », confirme Gérôme Billois.

    Prioriser les vulnérabilités à corriger

    « Là où l’IA apporte beaucoup, c’est dans sa capacité de croiser beaucoup d’informations de manière autonome, et surtout de faire de la recherche de chemins d’attaques afin de prioriser les vulnérabilités à corriger », reprend Gérôme Billois. L’IA peut notamment s’appuyer sur la base de données KEV (Known Exploited Vulnerabilities). Fournie par l’agence gouvernementale américaine CISA, elle recense les vulnérabilités logicielles actuellement exploitées par des acteurs malveillants. « Par un système de rescoring, il est possible d’appliquer des critères internes afin de tenir compte du contexte spécifique de l’entreprise », poursuit Gérôme Billois.

    L’IA peut, enfin, aider à classer les actifs par niveaux de sensibilité, de faible à critique. « C’est une tâche chronophage, observe Bernard Montel. Il faut parler aux métiers, collecter de l’information. Ce processus itératif peut prendre des mois, alors qu’il ne nécessite pas forcément une expertise technique très pointue. Un agent d’IA peut réaliser cette opération en quelques heures. Pour des équipes déjà sous-staffées, un outil qui leur dit  « Il y a une menace, voici comment vous êtes exposés et voilà comment réduire le risque » est précieux. »

    Changer de paradigme et gagner en résilience

    Au-delà de l’outillage, les deux experts appellent à changer de paradigme. « Face au déluge de vulnérabilités, il n’est plus possible de travailler « à l’ancienne », tranche Gérôme Billois. Si on commence à se dire « je t’envoie un mail avec le lien vers le correctif, regarde si c’est important », on ne s’en sort pas. Ce mode de fonctionnement peut marcher pour un correctif critique à appliquer en urgence, mais pas pour une gestion industrielle. »

    « Si le rythme d’apparition des vulnérabilités dépasse la capacité des organisations à les corriger, le modèle de sécurité fondé sur la prévention et le patching systématique reste-t-il viable ? », interroge le Clusif. Soulignant les limites de cette approche traditionnelle, l’association professionnelle estime que la résilience opérationnelle doit devenir un pilier central des stratégies de sécurité. 

    « Sur le long terme, il convient d’adopter une approche par les risques en acceptant un taux de X % de défaillances sur une chaîne de traitement tout en concevant des systèmes résilients par construction, développe Gérôme Billois. Une organisation accepte l’idée de subir des attaques, mais aussi d’être en mesure de les détecter rapidement, de reconstruire un système le cas échéant et de reprendre l’activité. » 

    Dans les grandes entreprises, on parle parfois de « MVC », de minimum viable company. C’est-à-dire la version la plus dégradée d’une organisation qui peut encore fonctionner si un incident fait tomber un ou plusieurs pans de son système d’information. Cela suppose de définir non seulement les applications mais surtout les missions métiers absolument critiques. 

    « Une PME devra, elle, se demander de quoi elle a besoin pour tenir un mois », avance Gérôme Billois. Quels sont les systèmes absolument critiques qui lui permettent de facturer ses clients, de payer ses collaborateurs ? La réponse varie en fonction du profil de l’entreprise et de son secteur d’activité. Pour certaines PME, l’outil de production sera un site d’e‑commerce.

    De la gestion des vulnérabilités à la gestion des expositions

    Bernard Montel est sur la même ligne et invite à passer de la gestion des vulnérabilités à la gestion des expositions. « Le patch est une réponse parmi d’autres. Il faut analyser le risque, le contrôler, parfois le contourner et, en tout cas, réduire l’exposition. Techniquement, la criticité d’une vulnérabilité ne reflète pas forcément sa criticité pour le métier. En réalité, seulement 2 à 3 % des vulnérabilités sont vraiment critiques pour le business. » L’expert renvoie au concept de gestion continue de l’exposition aux menaces (Continuous Threat Exposure Management, CTEM). Introduit par Gartner, il vise à identifier, évaluer et atténuer ces risques en temps réel. 

    Enfin, l’expert redoute que l’affaire Mythos crée, en se focalisant sur la gestion des vulnérabilités, un angle mort, éclipsant les risques liés aux mauvaises configurations cloud, aux identités sur-privilégiées, aux API exposées ou encore au shadow AI. A ses yeux, la généralisation des environnements cloud, la convergence IT-OT dans l’industrie ou la multiplication des modèles d’IA générative et d’IA agentique augmentent drastique la surface d’exposition des organisations. Il ne s’agirait pas de sous-estimer cet état de fait en concentrant ses efforts sur la seule correction des bugs et des vulnérabilités.

    Xavier Biseul
    05.21.26
    Articles by the same author:
    1
    04.08.26 Digital Sovereignty
    INCYBER Forum 2026 Digital dependencies: Europe at a crossroads
    Read
    13
    MIN
    2
    12.01.25 Risks management
    AI-Powered Browsers Create New Vulnerabilities
    Read
    07
    MIN
    3
    10.21.25 Cyber +
    How GPS jamming works and how to guard against it
    Read
    06
    MIN
    4
    09.19.25 Digital transformation
    Agentic AI: New Threats, New Defenses
    Read
    05
    MIN
    Image Anthropic investigates unauthorized access to its Mythos AI model
    Risks management
    04.22.26 Risks management
    Next article
    Anthropic investigates unauthorized access to its Mythos AI model
    Read
    01
    MIN
    Image AI Secure: Are we really powerless in the face of the threat?
    Cyber +
    04.22.26 Cyber +
    Next article
    AI Secure: Are we really powerless in the face of the threat?
    Read
    04
    MIN
    Image 0-day attacks increasingly target the private sector
    Risks management
    03.06.26 Risks management
    Next article
    0-day attacks increasingly target the private sector
    Read
    01
    MIN
    Image Shadow AI, the blind spot undermining cyber governance in SMEs and mid-sized companies
    Digital transformation
    02.23.26 Digital transformation
    Next article
    Shadow AI, the blind spot undermining cyber governance in SMEs and mid-sized companies
    Read
    07
    MIN
    Stay tuned in real time
    Subscribe to
    the newsletter
    By providing your email address you agree to receive the Incyber newsletter and you have read our privacy policy. You can unsubscribe at any time by clicking on the unsubscribe link in all our emails.
    Stay tuned in real time
    Subscribe to
    the newsletter
    By providing your email address you agree to receive the Incyber newsletter and you have read our privacy policy. You can unsubscribe at any time by clicking on the unsubscribe link in all our emails.