<h2>Une semaine qui a redessiné les contours de la cyberdéfense mondiale</h2>
<p>5 juin 2026. Tokyo. <strong>Hitachi Ltd.</strong>, l&rsquo;un des plus grands conglomérats industriels japonais, publie un communiqué qui passe presque inaperçu dans le flux des actualités tech.</p>
<p>Le message est pourtant historique.</p>
<p>Hitachi annonce qu&rsquo;il va utiliser <strong>Claude Mythos</strong>, le modèle d&rsquo;IA le plus avancé d&rsquo;Anthropic, pour <strong>renforcer la sécurité de ses logiciels et produits déployés dans les secteurs d&rsquo;infrastructures critiques, notamment l&rsquo;énergie</strong>. Et la précision qui suit est tout aussi significative : Hitachi serait le <strong>premier fabricant japonais à rendre public son accès à Claude Mythos</strong>.</p>
<p>Cette annonce ne surgit pas de nulle part. Elle s&rsquo;inscrit dans une vague sans précédent qui a déferlé exactement trois jours plus tôt, le 2 juin 2026, quand Anthropic a annoncé l&rsquo;extension massive de son programme <strong>Project Glasswing</strong> à 150 nouvelles organisations dans plus de 15 pays.</p>
<p>Pour comprendre pourquoi tout cela est important, il faut comprendre ce qu&rsquo;est Claude Mythos, pourquoi son accès est aussi restreint, et ce que ça signifie qu&rsquo;une entreprise comme Hitachi en dispose maintenant.</p>
<h2>Claude Mythos : le modèle qu&rsquo;Anthropic ne voulait pas rendre public</h2>
<p>Commençons par la base, parce que Claude Mythos est un nom qui circule depuis quelques mois mais que beaucoup de gens confondent avec les autres versions de Claude.</p>
<h3>Ce que c&rsquo;est et ce que ce n&rsquo;est pas</h3>
<p>Claude Mythos n&rsquo;est pas la version que vous utilisez sur claude.ai. Ce n&rsquo;est pas Claude Opus 4.8, le modèle commercial le plus puissant d&rsquo;Anthropic disponible aux développeurs. C&rsquo;est quelque chose de différent, un modèle dont les capacités sont d&rsquo;une toute autre dimension, développé en parallèle des versions commerciales, et dont l&rsquo;accès est <em>délibérément</em> limité à un cercle restreint d&rsquo;organisations soigneusement sélectionnées.</p>
<p>Anthropic décrit Claude Mythos comme son <strong>modèle le plus puissant à ce jour</strong>. Sa spécificité par rapport aux autres modèles d&rsquo;IA disponibles sur le marché : sa capacité à identifier des <strong>vulnérabilités zero-day,</strong> des failles logicielles encore inconnues du public et non corrigées à une vitesse et une échelle qui dépassent ce que n&rsquo;importe quelle équipe humaine peut accomplir.</p>
<h3>Pourquoi Anthropic le garde restreint</h3>
<p>Voilà le paradoxe au cœur de Claude Mythos, et c&rsquo;est important de le comprendre.</p>
<p>Un modèle capable d&rsquo;identifier des failles de sécurité avec cette précision peut faire deux choses opposées :</p>
<ul>
<li><strong>Défendre</strong> : aider les organisations à trouver et corriger leurs vulnérabilités avant que des attaquants ne les exploitent.</li>
<li><strong>Attaquer</strong> : donner à un acteur malveillant une capacité offensive sans précédent pour compromettre des systèmes critiques.</li>
</ul>
<p>Anthropic a décidé de ne pas rendre Mythos disponible publiquement précisément à cause de ce double tranchant. Le modèle peut non seulement détecter des failles, il peut aussi <strong>trouver comment les exploiter</strong> et dans certains cas, <strong>enchaîner plusieurs vulnérabilités</strong> pour construire une attaque complexe que les modèles commerciaux classiques ne pourraient pas concevoir.</p>
<p>Cette capacité est exactement ce qui en fait un outil défensif extraordinaire. Et exactement ce qui en fait un outil offensif potentiellement catastrophique.</p>
<p>La phrase d&rsquo;Anthropic résume tout : <em>« Pour la plupart de nos partenaires, nous estimons qu&rsquo;une attaque majeure sur leur base de code pourrait affecter plus de 100 millions de personnes, avec des répercussions importantes pour la sécurité mondiale et nationale. »</em></p>
<h2>Project Glasswing : l&rsquo;initiative qui change les règles</h2>
<p>Pour comprendre pourquoi Hitachi a accès à Mythos, il faut comprendre <strong>Project Glasswing,</strong> le programme qui structure et gouverne tout cet écosystème.</p>
<p>Project Glasswing (du nom d&rsquo;un papillon aux ailes transparentes, une métaphore élégante pour la visibilité que l&rsquo;IA donne sur le code source) est le programme par lequel Anthropic distribue l&rsquo;accès à Claude Mythos Preview à des organisations soigneusement sélectionnées, exclusivement pour des usages défensifs.</p>
<p>Le principe fondateur : <strong>donner aux défenseurs un avantage permanent sur les attaquants</strong>.</p>
<p>Concrètement, les organisations participantes utilisent Mythos pour :</p>
<ul>
<li><strong>Scanner leurs bases de code</strong> à la recherche de vulnérabilités inconnues, avant que des attaquants ne les découvrent.</li>
<li><strong>Rédiger les patches</strong> (corrections) pour les failles identifiées.</li>
<li><strong>Effectuer des vérifications pré-lancement</strong> qui empêchent les vulnérabilités d&rsquo;apparaître dès le départ dans les nouveaux logiciels.</li>
<li><strong>Réaliser des tests de pénétration</strong> : simuler des attaques pour mesurer la résistance de leurs systèmes.</li>
<li><strong>Migrer le code legacy vers des langages à mémoire sûre</strong> comme Rust, qui éliminent structurellement certaines catégories entières de vulnérabilités</li>
</ul>
<h3>La chronologie du programme</h3>
<table>
<thead>
<tr>
<th>Période</th>
<th>Étape clé</th>
</tr>
</thead>
<tbody>
<tr>
<td><strong>Début avril 2026</strong></td>
<td>Lancement de Project Glasswing avec ~50 partenaires initiaux</td>
</tr>
<tr>
<td><strong>Fin avril / mai 2026</strong></td>
<td>Premier mois de résultats : 10 000+ vulnérabilités critiques identifiées</td>
</tr>
<tr>
<td><strong>Mai 2026</strong></td>
<td>Hitachi annonce sa collaboration avec Anthropic</td>
</tr>
<tr>
<td><strong>2 juin 2026</strong></td>
<td>Extension à 150 nouvelles organisations, ~200 partenaires au total</td>
</tr>
<tr>
<td><strong>5 juin 2026</strong></td>
<td>Hitachi rend public son accès à Mythos, premier fabricant japonais à le faire</td>
</tr>
</tbody>
</table>
<h3>Les partenaires fondateurs</h3>
<p>La première vague de partenaires Project Glasswing donne une idée de l&rsquo;ambition du programme. Parmi les ~50 organisations initiales : <strong>Amazon Web Services, Cisco, CrowdStrike, Google, JPMorganChase, la Linux Foundation, Microsoft, NVIDIA, et Palo Alto Networks</strong>. Autrement dit, les entreprises qui font littéralement tourner Internet et les grandes infrastructures numériques mondiales.</p>
<h2>L&rsquo;expansion du 2 juin : le moment où tout a basculé</h2>
<p>Le 2 juin 2026 est la date à retenir. C&rsquo;est ce jour-là qu&rsquo;Anthropic annonce l&rsquo;extension de Project Glasswing à 150 nouvelles organisations. Un changement d&rsquo;échelle qui transforme le programme d&rsquo;une initiative pilote en un véritable réseau mondial de défense cybernétique.</p>
<h3>Quels secteurs ? Quels pays ?</h3>
<p>Les nouveaux partenaires couvrent délibérément des secteurs qui n&rsquo;étaient pas représentés dans la première vague :</p>
<ul>
<li><strong>Énergie et réseaux électriques</strong> : les systèmes dont la compromission plongerait des millions de foyers dans l&rsquo;obscurité.</li>
<li><strong>Distribution d&rsquo;eau</strong> : infrastructures dont la sécurité est une question de santé publique littérale.</li>
<li><strong>Systèmes de santé</strong> : données médicales, équipements connectés, réseaux hospitaliers.</li>
<li><strong>Télécommunications</strong> : les tuyaux de toutes les communications numériques</li>
<li><strong>Hardware et semi-conducteurs</strong> : les puces et équipements qui constituent la couche physique de tout le reste</li>
</ul>
<p>Géographiquement, l&rsquo;expansion est elle aussi stratégiquement calibrée. Les organisations proviennent de pays alliés des États-Unis, notamment : <strong>Canada, Australie, Nouvelle-Zélande</strong>, <strong>France, Allemagne, Italie, Suisse, Pays-Bas, Espagne, Belgique, Suède, Inde, Japon et Corée du Sud</strong>.</p>
<h3>Les noms qui font sensation</h3>
<p>Le <em>Financial Times</em> a révélé plusieurs des nouveaux partenaires nommément :</p>
<ul>
<li><strong>Okta</strong> : leader mondial de la gestion des identités et des accès numériques.</li>
<li><strong>Samsung, SK Hynix et SK Telecom</strong> : trois géants technologiques sud-coréens (puces, mémoire, télécoms).</li>
<li><strong>OTAN</strong> : l&rsquo;alliance militaire transatlantique.</li>
<li><strong>ENISA</strong> : l&rsquo;Agence de l&rsquo;Union européenne pour la cybersécurité.</li>
</ul>
<p>Cette liste n&rsquo;est pas anodine. Elle signifie que Claude Mythos ne surveille plus uniquement le secteur privé américain. Il est en train de devenir l&rsquo;outil de <strong>cyberdéfense collective de l&rsquo;Occident élargi</strong>.</p>
<p>La <strong>France</strong> est explicitement mentionnée parmi les pays dont des organisations ont accès, ce qui est directement pertinent pour les entreprises françaises qui opèrent des infrastructures critiques sous la directive NIS2 européenne.</p>
<h2>Hitachi : pourquoi ce cas est symboliquement crucial</h2>
<p>Revenons à Hitachi. Parce que dans le contexte de cette expansion mondiale, l&rsquo;annonce japonaise du 5 juin a une signification particulière.</p>
<h3>Qui est Hitachi, et pourquoi ça compte</h3>
<p>Hitachi Ltd. n&rsquo;est pas une startup tech. C&rsquo;est un conglomérat industriel fondé en 1910, présent dans une centaine de pays, qui génère des revenus annuels de l&rsquo;ordre de 80 milliards de dollars. Ses activités couvrent : la construction de centrales électriques, les réseaux ferroviaires à grande vitesse, les systèmes de contrôle industriel, les équipements médicaux lourds, et depuis plusieurs années, le développement de logiciels pour piloter tout cet équipement.</p>
<p>C&rsquo;est exactement le type d&rsquo;acteur dont les logiciels, s&rsquo;ils sont compromis, peuvent avoir des conséquences physiques catastrophiques. Un logiciel de contrôle de centrale électrique défaillant ne cause pas une interruption de service, il peut causer un accident industriel.</p>
<h3>La collaboration Anthropic-Hitachi : en mai, puis en juin</h3>
<p>La relation entre les deux entreprises a débuté en mai 2026, quand Hitachi a annoncé une première collaboration avec Anthropic (sans détails opérationnels à ce stade). L&rsquo;annonce du 5 juin est la mise en chair de cette collaboration : Hitachi a signé un contrat pour participer au programme de mesures de sécurité d&rsquo;Anthropic, c&rsquo;est-à-dire Project Glasswing, et obtient en échange l&rsquo;accès à Claude Mythos.</p>
<p>L&rsquo;objectif déclaré : <strong>renforcer la sécurité des logiciels et produits Hitachi destinés aux secteurs d&rsquo;infrastructures critiques, à commencer par l&rsquo;énergie</strong>.</p>
<p>La précision que Hitachi est le <em>premier fabricant japonais</em> à rendre public cet accès est également significative. Elle suggère que d&rsquo;autres acteurs japonais pourraient déjà avoir des accès non publics, et que la transparence de Hitachi est en partie une décision stratégique de positionnement, signaler aux clients, partenaires et régulateurs que Hitachi intègre les plus hauts standards de sécurité dans ses produits.</p>
<h2>Les chiffres qui rendent l&rsquo;urgence tangible</h2>
<p>Pour ceux qui doutent encore de l&rsquo;importance de tout cela, voici les données brutes que le programme a produites.</p>
<h3>En un mois avec 50 partenaires</h3>
<ul>
<li><strong>10 000+ vulnérabilités de gravité élevée ou critique</strong> identifiées dans les systèmes des partenaires.</li>
<li><strong>Multiplication par 10+</strong> du taux de détection de bugs pour plusieurs partenaires.</li>
<li><strong>Cloudflare</strong> : 2 000 bugs détectés dans ses systèmes critiques, dont <strong>400 de gravité élevée ou critique.</strong></li>
</ul>
<h3>En deux mois, projection totale</h3>
<ul>
<li><strong>23 000 vulnérabilités potentielles</strong> identifiées au total (chiffre Anthropic, mai 2026)</li>
<li><strong>6 000+ estimées confirmées</strong> comme failles sévères après analyse</li>
</ul>
<h3>Pourquoi ces chiffres changent tout</h3>
<p>Avant Project Glasswing, ces failles existaient. Elles dormaient dans du code que personne n&rsquo;avait les ressources d&rsquo;auditer à cette profondeur. Des acteurs malveillants : états-nations, groupes de cybercriminels organisés, auraient pu les trouver avant les défenseurs.</p>
<p>Mais il y a un revers de médaille important que les chercheurs soulignent : <strong>trouver 23 000 vulnérabilités en deux mois est une chose. Les corriger en est une autre</strong>.</p>
<p>Cloudflare l&rsquo;a documenté avec une honnêteté remarquable : les résultats de Mythos incluent des faux positifs, des résultats marqués « peut-être », « potentiellement », « pourrait en théorie ». Ces incertitudes noient parfois les vraies découvertes. Linus Torvalds lui-même a récemment déploré un <em>« flux incessant de rapports »</em> de bugs produits avec l&rsquo;aide de l&rsquo;IA qui avaient « rendu les mainteneurs fous ». Et Cloudflare note que la même tâche, formulée différemment ou dans un contexte légèrement différent, peut produire des résultats complètement différents de la part du modèle.</p>
<p><strong>La vraie limite n&rsquo;est plus la détection. C&rsquo;est le pipeline de correction</strong> : la capacité humaine à trier, valider, prioriser et patcher les milliers de failles identifiées par l&rsquo;IA.</p>
<h2>La course aux armements IA-cyber : un horizon à 6-12 mois</h2>
<p>Anthropic est explicite sur quelque chose que d&rsquo;autres entreprises d&rsquo;IA évitent de dire publiquement. Le blog officiel du Project Glasswing précise : <em>« Dans 6 à 12 mois, nous estimons que d&rsquo;autres entreprises d&rsquo;IA auront des modèles au niveau de Mythos Preview. Et certains pourraient les lancer sans les garde-fous qui empêchent les usages malveillants. Dans ce monde, les cyberattaques pourraient survenir bien plus souvent, et sous des formes bien plus imprévisibles. »</em></p>
<p>C&rsquo;est un aveu extraordinaire. Anthropic reconnaît que la fenêtre d&rsquo;avantage défensif est limitée. Le modèle qu&rsquo;ils gardent aujourd&rsquo;hui sous clé, avec des procédures d&rsquo;accès strictes et des contrats de sécurité, sera dans quelques mois disponible dans d&rsquo;autres formes, chez des concurrents qui n&rsquo;auront peut-être pas les mêmes scrupules.</p>
<p>C&rsquo;est pourquoi la vitesse de déploiement de Project Glasswing compte autant que la qualité de Mythos lui-même. Il ne s&rsquo;agit pas seulement de corriger des failles aujourd&rsquo;hui. Il s&rsquo;agit de créer une infrastructure de collaboration et des réflexes de correction qui tiendront quand des modèles équivalents tomberont dans les mains des attaquants.</p>
<p>OpenAI a d&rsquo;ailleurs déjà répondu : la firme a lancé <strong>GPT-5.5-Cyber</strong>, son propre modèle orienté cybersécurité, qu&rsquo;elle déploie auprès d&rsquo;un groupe de partenaires pour tests. La course a officiellement commencé.</p>
<h2>Claude Security : la porte d&rsquo;entrée pour les autres organisations</h2>
<p>Pour les entreprises qui ne peuvent pas (ou ne veulent pas) intégrer le programme restreint Project Glasswing, Anthropic a lancé une solution alternative : <strong>Claude Security</strong>.</p>
<p>C&rsquo;est un produit basé sur les modèles frontier les plus récents disponibles publiquement, notamment Claude Opus 4.8, conçu pour le scan de bases de code et la génération de suggestions de patches. Moins puissant que Mythos Preview, mais accessible à une audience bien plus large.</p>
<p>C&rsquo;est la voie que peuvent emprunter des PME, des startups, ou des organisations qui veulent améliorer leur posture de sécurité sans les contraintes du programme Glasswing.</p>
<h2>Les implications pour la France et l&rsquo;Europe</h2>
<p>Un point qui mérite une attention particulière dans le contexte francophone.</p>
<p>La France est explicitement listée parmi les 15+ pays dont des organisations ont accès à Mythos dans la nouvelle vague. Dans un contexte où la <strong>directive NIS2</strong> (Network and Information Systems Directive 2) impose depuis janvier 2025 des obligations renforcées de cybersécurité à des milliers d&rsquo;entreprises européennes opérant des infrastructures critiques, l&rsquo;accès à un outil comme Mythos via Glasswing représente une ressource stratégique.</p>
<p><strong>L&rsquo;ENISA,</strong> l&rsquo;Agence de l&rsquo;Union européenne pour la cybersécurité, qui a notamment élaboré les standards de conformité NIS2, a également rejoint Project Glasswing. Ce n&rsquo;est pas un détail administratif. C&rsquo;est l&rsquo;organisation qui définit les standards de cybersécurité pour l&rsquo;ensemble de l&rsquo;Union européenne qui a maintenant accès aux mêmes outils que les grandes entreprises tech américaines.</p>
<p>Pour les responsables de sécurité (RSSI) d&rsquo;entreprises françaises soumises à NIS2 : la question qui se pose n&rsquo;est plus si Claude Mythos va influencer les standards de sécurité en Europe. La question est <em>quand</em> et <em>comment</em> ces organisations pourront bénéficier des découvertes que l&rsquo;ENISA va remonter.</p>

Il y a une faille dans votre poche. Et quelqu'un l'utilise déjà. Votre smartphone Android…
Le 8 juin 2026, dans trois jours exactement, Apple va soulever le rideau sur ses…
La tech africaine est en train de changer de régime et la cybersécurité est au…