Maintenant que la poussière est retombée autour de l’annonce frénétique de Claude Mythos IA, nous partageons notre évaluation de ce que ce nouveau modèle signifie réellement pour le domaine de la sécurité.
S’il est probablement prudent de commencer à écarter des titres comme « trop dangereux pour être rendus publics » ou « Mythos a officiellement effrayé les Britanniques », nous entrons sans aucun doute dans une ère où les défenseurs et, peu après, les hacker auront accès à des modèles capables de découvrir un très grand nombre de vulnérabilités et de permettre plus facilement aux hacker d’écrire des codes d’exploitation.
Malgré tout le battage positif autour des impacts potentiels de Mythos sur le monde de la sécurité, il existe aussi un côté plus sombre : la menace que Mythos, ou de futurs modèles aux capacités similaires, poseront probablement entre de mauvaises mains. Alors que les conclusions montrent que Mythos en Preview est capable d’exécuter des attaques complexes de manière autonome, tous les regards se tournent vers la sécurité.
Voici notre point de vue sur ce que cette actualité signifie pour des fournisseurs comme Fastly et sur ce à quoi vous (et le reste du monde de la sécurité) devriez réfléchir à mesure que la situation évolue.
Pourquoi Mythos ne remplace pas le besoin de protection de la durée d’exécution
L’analyse du code et la protection en durée d’exécution jouent des rôles différents mais complémentaires dans la sécurité des applications. L’analyse du code aide à détecter les vulnérabilités avant le déploiement, mais elle repose sur le système « au repos » - en évaluant le code source pour y déceler des failles connues. Dans un monde post-Mythos, s’appuyer strictement sur l’analyse du code et l’application de correctifs est une course perdue d’avance. Comme le souligne le récent avis faisant autorité publié par la CSA, SANS et la communauté élargie des RSSI, le délai entre la découverte d’une vulnérabilité et son exploitation malveillante s’est réduit à quelques heures. Le "time-to-exploit" (TTE) est désormais inférieur à une journée.
Lorsque des adversaires utilisent l’IA pour découvrir et enchaîner des vulnérabilités plus vite que les équipes humaines ne peuvent les trier, les outils d’analyse avant le déploiement ne suffisent plus. Vous ne pouvez pas vous contenter d’appliquer des correctifs pour vous protéger contre des attaques à la vitesse des machines.
La protection en durée d’exécution évalue le comportement réel des systèmes dans des conditions réelles, en détectant les dynamiques évolutives et les comportement anormaux que les outils statiques ne repèrent pas.
Avec l’introduction de modèles d’IA capables d’exécuter de manière autonome des chaînes d’attaque entières, le rôle des protections en durée d’exécution est structurellement nécessaire. Des solutions comme un Next-Gen WAF assurent une application adaptative en temps réel pour observer et atténuer les schémas abusifs dans la nature, un composant absolument essentiel du "confinement du rayon d’impact" que les modèles d’IA de découverte des vulnérabilités ne peuvent tout simplement pas remplacer.
Le consensus des CISO : passer de la réactivité à la résilience
Bien que Mythos ne remplace pas la protection de la durée d’exécution, il existe des implications et des considérations claires que toutes les organisations prennent en compte. Un récent avis, "The IA Vulnerability Storm: Building a Mythos-ready Security Program," rédigé en collaboration par des centaines de RSSI et de leaders de la sécurité de premier plan, montre une chose très clairement : l’avantage appartient actuellement aux hackers. Bien que Mythos et des modèles aux capacités similaires puissent aider les entreprises à éliminer des catégories entières de vulnérabilités zero-day exploitables, ces mêmes modèles, lorsqu’ils tombent entre de mauvaises mains, créent un environnement qui échappe à notre contrôle en tant qu’organisations individuelles.
Lorsque le modèle d’IA du défenseur se mesure au modèle d’IA du hacker, personne ne peut prédire l’issue, et ce paradigme renforce le même mantra de défense en profondeur et de résilience en durée d’exécution que les praticiens prêchent depuis la majeure partie de la dernière décennie. Bien que les supports (et les charges utiles) changent, cette pratique reste toujours d’actualité.
Pour créer ce que l’avis appelle un programme de sécurité « prêt pour Mythos », les entreprises doivent faire évoluer leurs modèles de risque, en passant d’une application réactive des correctifs à une résilience continue.
La communauté des CISO recommande vivement de prioriser les capacités de réponse automatisée qui fonctionnent à la vitesse d’une machine et de tirer parti des technologies de tromperie (comme les canaris et les jetons leurres) pour identifier les schémas d’attaque comportementaux, quel que soit le zero-day exploité.
Lorsque l’IA accélère le volume même des attaques, le déploiement de frontières qui augmentent les coûts pour les hackers et limitent les mouvements latéraux devient l’impératif le plus critique pour les défenseurs d’entreprise.
Comment Fastly vous aide à créer une défense « prête pour Mythos »
L’essor de la découverte avancée des vulnérabilités assistée par l’IA modifie l’ensemble du paysage des menaces. Fastly a œuvré en vue de ce moment avec une plateforme de sécurité unifiée, native de la périphérie, couvrant Next-Gen WAF, Bot Management, sécurité des API et Protection DDoS, ainsi que des capacités avancées de lutte contre le scraping de contenu, la tromperie et la protection spécifique à l’IA.
L’avis du secteur à titre consultatif met explicitement en avant plusieurs actions prioritaires pour les défenseurs, et notre plateforme a été conçue à cette fin pour vous aider à les mettre en œuvre :
Renforcez votre environnement : L’avis recommande la mise en œuvre immédiate de limites profondes afin d’augmenter les coûts pour les hackers. Les solutions AppSec unifiées de Fastly offrent cette périphérie résiliente, protégeant votre infrastructure principale contre l’exploitation automatisée pendant que vous gagnez du temps pour appliquer des correctifs.
Réponse automatisée à la vitesse des machines : À mesure que les attaques deviennent plus automatisées, les clients ont besoin d’une sécurité plus rapide, plus précise et plus facile à mettre en œuvre. Fastly vous permet de mettre en place une application adaptative en temps réel pour bloquer les comportement anormaux sans attendre une intervention humaine.
Capacités de déception : Pour contrer les vulnérabilités zero-day, la communauté des RSSI recommande des tactiques de déception. La plateforme de Fastly inclut des technologies modernes de tromperie pour identifier les outils d’attaque automatisés en fonction des tactiques, techniques et procédures (TTP), plutôt que de s’appuyer uniquement sur des renseignements sur les menaces obsolètes.
Que vous exploitiez pleinement ou non en interne les dernières avancées en matière d’IA, les hackers, eux, le font assurément. Cette dynamique renforce la nécessité d’investir dans les piliers fondamentaux de la résilience et de la défense en profondeur. Des solutions comme Fastly maximisent la continuité et la protection, en absorbant le choc de la « tempête de vulnérabilités de l’IA » afin que votre entreprise n’ait pas à le faire. Si vous lisez les actualités et vous demandez comment suivre le rythme dans un monde où l’IA évolue chaque jour, notre équipe est là pour vous aider à traverser la tempête.