Début mai, Anthropic a publié Mythos, un modèle d'IA capable de trouver des vulnérabilités de manière autonome et d'exécuter des intrusions réseau complètes. La première réaction du monde de la sécurité a été que l'industrie allait être bouleversée.
Deux semaines plus tard, les chiffres racontent une histoire différente.
Chiffres Clés
Au 21 mai, trois ETF majeurs de cybersécurité ont affiché les performances suivantes en mai :
- HACK (Amplify Cybersecurity) : +17,27 %, plus forte hausse mensuelle depuis son lancement en novembre 2014
- BUG (Global X Cybersecurity) : +26,14 %, plus forte hausse mensuelle depuis son lancement en octobre 2019
- CIBR (First Trust NASDAQ) : Participation à la hausse
Les actions individuelles ont été encore plus spectaculaires :
- Fortinet (FTNT) : +54,19 %
- CrowdStrike (CRWD) : +45,85 %
- Akamai (AKAM) : +39,40 %
- Palo Alto Networks (PANW) : +37,55 %
- Zscaler (ZS) : +33,49 %
- SailPoint (SAIL) : +31,17 %
Douze actions du portefeuille de BUG ont augmenté de plus de 20 % ce mois-ci.
Pourquoi le Scénario s'est Inversé
Avant le lancement de Mythos, le récit du marché était : la découverte de vulnérabilités est la douve des entreprises de sécurité, et l'IA industrialisant ce processus comblerait la douve. Cela semblait raisonnable, mais omettait la seconde moitié—les défenseurs ont également obtenu la même arme.
Anthropic a donné un accès anticipé à Mythos à quatre entreprises américaines : Apple, Amazon, JPMorgan Chase et Palo Alto Networks. Cette dernière a intégré Mythos dans son processus de scan de vulnérabilités, découvrant 75 vulnérabilités en un mois—sept fois le rythme habituel.
CrowdStrike fait de même. Le consensus dans la communauté de la sécurité est que si vous pouvez utiliser Mythos, les attaquants auront tôt ou tard leur propre version. Mistral négocie déjà avec des banques européennes pour des alternatives, et OpenAI a donné GPT-5.5-Cyber à de grandes banques comme BBVA. Digérer l'outil tôt signifie sécuriser un avantage de temps de 3 à 5 mois.
La réponse des entreprises a été plus directe : augmentation des budgets.
L'Augmentation des Budgets a été Sous-Estimée
Les résultats des tests de l'UK AI Security Institute indiquaient : « Mythos peut réaliser de manière autonome une prise de contrôle complète d'un réseau interne d'entreprise avec un taux de réussite de 30 % ; les experts humains mettent 20 heures pour faire de même. »
Pour les DSI, ce chiffre ne concerne pas l'externalisation de la sécurité à l'IA, mais plutôt : « Demain, l'ennemi utilisera cela, je dois ajouter du personnel et de l'argent maintenant. »
Lors des conférences téléphoniques sur les résultats de mai de toutes les sociétés de sécurité cotées, les déclarations des PDG étaient remarquablement similaires : les budgets des clients s'élargissent, les cycles de renouvellement s'allongent et les taux de mise à niveau des forfaits augmentent.
Comme l'a dit directement une analyse de Benzinga : « AI gets better at finding vulnerabilities. Vulnerability discovery was the moat. » La douve s'est effectivement effondrée. Mais les clients n'ont pas économisé ; ils ont augmenté leurs dépenses—la seconde moitié inattendue de l'histoire.
L'Histoire n'est pas Finie
À court terme, c'est gagnant-gagnant : les entreprises d'IA vendent des outils, les entreprises de sécurité vendent des défenses.
À moyen terme, deux variables restent non résolues. Premièrement, Mythos n'est actuellement disponible que pour quatre entreprises. Une fois étendu à 50 ou 500, la courbe de coût des attaquants baissera en premier. Il est incertain que les actions de cybersécurité puissent continuer à monter alors. Deuxièmement, les valorisations élevées actuelles reposent sur la peur des clients. Si une ou deux intrusions à grande échelle de niveau Mythos se produisent dans les six prochains mois, les valorisations pourraient doubler ou s'effondrer—Wall Street votera avec son argent.
Pour l'instant, la réponse du marché est : Mythos n'est pas la faucheuse de la cybersécurité, mais son stimulant.
Sources : Claude Mythos Was Supposed To Kill Cyber Stocks: Now Record High - Akamai Technologies, Global X Cybersecurity ETF (Benzinga) ; Anthropic's Mythos set off a cybersecurity 'hysteria.' Experts say the threat was already here (CNBC) ; CocoLoop ; UK AI Security Institute Mythos Capability Assessment