Shai-Hulud Part 2: When the Worm Forged Its Own Security Certificate
Lire le blog
Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Icône de hamburger en haut de page
Icône de hamburger ligne médiane
Icône de hamburger ligne inférieure
  1. Blogs
    >
  2. Cyber IA

Au-delà du battage médiatique : Claude Mythos, le projet Glasswing et les vraies questions auxquelles les RSSI veulent des réponses

April 21, 2026
4/21/2026
Mark Wojtasiak
Vice-président directeur de la recherche et de la stratégie produits
Au-delà du battage médiatique : Claude Mythos, le projet Glasswing et les vraies questions auxquelles les RSSI veulent des réponses

Les RSSI n’ont pas besoin d’un nouveau titre leur rappelant que la sécurité est devenue plus difficile. C’est déjà le cas. Leur environnement évolue sans cesse. Les systèmes apparaissent et disparaissent. Le nombre d’identités, en particulier celles qui ne sont pas humaines, ne cesse d’augmenter. L’activité s’accélère à un rythme que les équipes ne parviennent pas à suivre. Et même avec les bons outils en place, il n’est pas toujours facile de savoir exactement ce qui se passe à un moment donné.

Ainsi, quand un phénomène comme Claude Mythos fait son apparition, la question n’est pas de savoir s’il est intéressant ou important. C’est plus concret que cela : est-ce que cela change ce dont je dois me soucier demain matin ? C’est là que le débat commence.  

Pour comprendre les questions que se posent les RSSI au sujet de Claude Mythos et du projet Glasswing, j'ai rencontré Vectra AI , Hitesh Sheth, Vectra AI , Oliver Tavakoli, et de Marty Roesch — créateur de SNORT, fondateur de Sourcefire et de Netography, qui occupe désormais le poste de Head of Cloud Vectra AI.

« Claude Mythos nous rend-il moins en sécurité ? »

Hitesh Sheth, PDG

Hitesh a tendance à prendre du recul par rapport aux gros titres pour considérer le système dans son ensemble.

Ce n'est pas Claude Mythos qui a soudainement rendu l'entreprise complexe. Cette complexité existait déjà. Ce que nous appelons aujourd'hui l'entreprise moderne fonctionne en permanence, est toujours connectée et en constante évolution. Les charges de travail se déplacent. Les identités sont authentifiées d'un système à l'autre. Les données circulent en continu entre les environnements.

La sécurité, en revanche, a été en grande partie conçue pour un modèle différent — un modèle où les environnements étaient plus stables, les limites plus claires et où l'on avait le temps de réfléchir. C'est ce décalage qui constitue le véritable problème.

Claude Mythos n'introduit pas tant une nouvelle catégorie de risques qu'il n'accélère un phénomène qui était déjà en cours. Il réduit les efforts nécessaires pour identifier les failles et exploiter celles-ci. Il raccourcit les délais. Il donne plus de rapidité aux attaquants, mais ne modifie pas fondamentalement leur mode opératoire.

Ils continuent de se connecter. Ils continuent d'utiliser des identifiants valides. Ils continuent de se déplacer d'un système à l'autre d'une manière qui semble normale lorsqu'on la considère isolément. C'est pourquoi, pour la plupart des équipes, le plus grand défi n'est pas la prévention, mais la compréhension. Il ne s'agit pas de savoir si quelque chose pourrait se produire, mais si cela se produit réellement.

Et c'est là que les RSSI se sentent souvent le plus sous pression. On attend d'eux qu'ils répondent à des questions qui semblent simples, mais qui s'avèrent difficiles dans la pratique :

  • Qui / quoi se trouve sur notre réseau ?
  • Sommes-nous exposés en ce moment ?  
  • Les mesures de contrôle que nous avons mises en place seront-elles efficaces ?  

Le problème, ce n'est pas le manque de données. C'est le manque de réponses claires et rapides. De ce point de vue, Claude Mythos ne crée pas un nouveau problème. Il rend simplement un problème existant plus difficile à ignorer.

« Pourrions-nous résoudre le problème de Claude Mythos en publiant un correctif plus rapidement ? »

Oliver Tavakoli, directeur technique

C'est généralement la question qui suit, et la réponse d'Oliver est sans détour. Mais pas tout à fait comme la plupart des gens l'espèrent.

Si les conclusions de Claude Mythos sont ne serait-ce qu’en partie exactes, nous devons alors en déduire qu’une grande partie des logiciels dont nous dépendons est plus vulnérable que nous ne le pensions. Non pas parce qu’ils ont été mal conçus, mais parce que certaines failles étaient tout simplement difficiles à détecter et à exploiter, et qu’il est désormais plus facile de le faire.

Le véritable changement réside dans la rapidité et l'ampleur. Les vulnérabilités qui pouvaient prendre des mois, voire des années, à mettre au jour peuvent désormais être identifiées beaucoup plus rapidement. Et une fois détectées, leur exploitation n'est plus un processus fastidieux nécessitant des compétences spécifiques.

Cela met à rude épreuve un modèle déjà sous pression. Les organisations ont l'habitude d'identifier les vulnérabilités, de les hiérarchiser et d'y remédier au fil du temps. Mais ce processus repose sur un volume gérable et des délais raisonnables. Lorsque le volume augmente et que les délais se raccourcissent, le modèle s'effondre.

Il existe des contraintes pratiques qui ne disparaissent pas :

  • Les systèmes critiques ne peuvent pas toujours être corrigés immédiatement  
  • Les mises à niveau entraînent des risques opérationnels  
  • Les environnements hérités et OT sont difficiles à modifier  
  • Les dépendances ralentissent tout  

Les équipes se retrouvent donc dans une situation familière mais délicate. Elles savent où se situent certains risques. Elles savent ce qu’il faut régler. Mais elles ne peuvent pas tout régler d’un seul coup, et elles ne peuvent pas se permettre de compromettre ce qui fonctionne déjà. Il en résulte une période pendant laquelle les organisations fonctionnent en étant exposées à des risques connus mais non résolus.

Pendant cette période, plusieurs phénomènes devraient se produire simultanément. Des failles de sécurité continueront d'être découvertes. Des exploits seront créés et diffusés plus rapidement. Et les attaques, y compris celles qui aboutissent, se multiplieront.

Dans le même temps, toutes les attaques ne reposent pas sur des failles logicielles. L'usurpation d'identité, les erreurs de configuration et l'ingénierie sociale restent des méthodes efficaces et, dans bien des cas, plus faciles à mettre en œuvre. L'objectif n'est donc pas d'éliminer immédiatement tous les risques connus, mais de gérer une période où les risques sont plus élevés et où la perception de ces risques évolue constamment.

« Si on part du principe que les ballons vont passer, comment on se défend ? »

Marty Roesch, Head of Cloud

C'est là que le débat prend une autre tournure. À quel moment d'une attaque la prévention cesse-t-elle d'être une option ?

Il arrive un moment où une attaque passe du stade où l'on pourrait encore la bloquer à celui où il faut la détecter pour pouvoir y réagir. Avant ce moment, on peut encore repérer l'exploitation elle-même. Après, on a affaire à des activités qui se fondent dans le comportement normal. Dans les environnements modernes, ce moment survient plus tôt que la plupart des gens ne le pensent.

Les architectures de sécurité partent souvent du principe que la superposition de plusieurs couches assure une protection. Dans la pratique, celles-ci fonctionnent davantage de manière séquentielle que redondante. Chaque outil détecte une partie différente de l'attaque, à un moment différent. Si ce moment est manqué, il n'y a pas toujours une autre occasion d'observer la même action. C'est l'une des raisons pour lesquelles les attaques peuvent se propager dans les environnements sans être détectées pendant de longues périodes. Non pas parce qu'il n'y a pas de contrôles en place, mais parce qu'il existe des lacunes entre eux.

Selon Marty, le problème ne réside pas dans l'absence de télémétrie, mais dans le fait que celle-ci est fragmentée.

Endpoint détectent les processus sur les appareils gérés. Les systèmes d'identité enregistrent les événements d'authentification. Cloud surveillent l'activité au sein de services spécifiques. Chacun d'entre eux est utile, mais aucun ne montre comment ces activités s'articulent au sein de l'environnement.  

C'est sur le réseau que les attaques se déroulent réellement. Elles se propagent d'une identité à l'autre, d'un système à l'autre et d'un environnement à l'autre. Chaque étape peut sembler légitime en soi. C'est leur enchaînement qui révèle la vérité. C'est pourquoi Marty revient sans cesse sur le réseau.

Le réseau est l'un des rares endroits où tout est visible. Tous les systèmes, toutes les identités et toutes les charges de travail finissent par y communiquer. Cela en fait un point d'observation fiable, en particulier pour les domaines qui sont autrement difficiles à surveiller, comme l'infrastructure réseau ou les systèmes non gérés.

À partir de là, l'accent n'est plus mis sur la détection de toutes les failles possibles, mais sur la compréhension des comportements. Il ne s'agit plus de savoir ce qu'un système, une identité ou une application est censé faire, mais ce qu'il fait réellement.

Il existe un schéma récurrent dans la manière dont les attaques se déroulent, dont l'accès est obtenu, dont les privilèges évoluent, dont les déplacements s'effectuent, et dont les données sont consultées et transférées. Ces schémas ne dépendent pas d'une vulnérabilité spécifique. Ils s'appliquent à différentes techniques. C'est ce qui les rend utiles dans un environnement où les spécificités changent constamment.

Mettre tout cela en place

Aucune de ces perspectives ne se contredit. Elles se complètent.

  • Hitesh part du constat que l'entreprise est déjà un système dynamique et difficile à appréhender pleinement en temps réel.
  • Oliver explique comment la détection des vulnérabilités assistée par l'IA accentue la pression sur des systèmes qui étaient déjà difficiles à maintenir et à sécuriser.
  • Marty s'intéresse particulièrement à ce qui se passe lorsque la prévention ne parvient pas à tout détecter, et à la manière dont la détection doit fonctionner dans ce cas de figure.

Dans l'ensemble, tout cela conduit à une conclusion simple : Claude Mythos n'introduit pas une nouvelle catégorie de problèmes. Il ne fait qu'aggraver tous ceux qui existent déjà.

Que retenir de ces discussions ?

À court terme, la situation pourrait sembler moins stable, et non l'inverse. Les vulnérabilités seront plus faciles à détecter. Les exploits seront plus faciles à créer. Certains systèmes seront plus difficiles à corriger rapidement. Les attaques continueront de recourir à un mélange de techniques, et pas seulement à des failles logicielles.

Avec le temps, les logiciels vont sans doute s'améliorer. Certaines des vulnérabilités les plus faciles à exploiter disparaîtront peut-être. Mais les pirates s'adapteront, comme ils le font toujours. Ce qui ne change pas, ce n'est pas la vulnérabilité en soi. C'est la nécessité de comprendre ce qui se passe dans votre environnement au moment même où cela se produit. C'est cela qui importe, quelle que soit l'évolution de la menace. Et c'est la question à laquelle les RSSI reviennent sans cesse, non seulement avec Claude Mythos, mais dans tous les domaines :

Savons-nous ce qui se passe sur notre réseau et dans l'ensemble de notre infrastructure — en ce moment même ?

Foire aux questions