Cinq étapes pour se préparer à Mythos

L'IA découvre des vulnérabilités à une échelle qui submergera les défenses traditionnelles. Voici comment mettre en place une organisation de sécurité prête à affronter les Mythes.

Tenable collabore étroitement avec Anthropic, OpenAI et d'autres leaders de l'IA dans le cadre de l'intégration de l'IA avancée dans notre Plateforme Gestion de l'Exposition LIÉE Tenable One, accélérant ainsi la recherche de vulnérabilités, l'automatisation de la remédiation et la cyber-défense proactive. Lors de nos récentes discussions avec ces fournisseurs de modèles d'IA d'avant-garde, une chose est apparue clairement : ces modèles changent la donne sur plusieurs fronts. Ils peuvent identifier des vulnérabilités dans des codes ouverts et des environnements d'entreprise complexes qui ont échappé aux chercheurs humains pendant des décennies.

Cette avancée présente toutefois un paradoxe. Si des modèles comme le Claude Mythos d'Anthropic et le GPT d'OpenAI accélèrent notre capacité à nous défendre, ils améliorent en même temps les capacités des acteurs malveillants, leur permettant de découvrir et d'exploiter les failles à la vitesse de la machine. Elles risquent également de mettre en lumière des vulnérabilités beaucoup plus nombreuses qui doivent être classées par ordre de priorité et faire l'objet d'une remédiation. 

La surface d'attaque s'est élargie. Il ne s'agit plus seulement de l'infrastructure traditionnelle, mais des modèles de contrôle d'accès, des droits d'accès à l'identité et des workflows opérationnels qui entourent l'IA elle-même. Qu'une attaque utilise un jour zéro découvert par l'IA ou qu'elle cible directement le pipeline de formation à l'IA, le défi reste le même : . On ne peut pas gérer ce que l'on ne voit pas, et on ne peut pas défendre ce que l'on ne priorise pas.

Pour prospérer à l'ère du LLM, voici les cinq actions clés à entreprendre dès aujourd'hui :

1. Établir une découverte des assets continue et déterministe

Vous ne pouvez pas trouver des vulnérabilités dans des assets que vous n'avez pas découverts. Les organisations doivent mettre en place une base de capteurs digitalisants (scanners, agents et surveillances passives) pour maintenir un inventaire en temps réel de chaque asset numérique. Et avec l'adoption rapide de l'IA à travers les entreprises du monde entier, il est essentiel d'avoir une visibilité sur l'ensemble de votre inventaire d'IA, Shadow et Gérée.

Contrairement à la nature probabiliste de l'IA des frontières, qui peut être incohérente, votre découverte doit être déterministe. Vous avez besoin d'un enregistrement vérifiable de ce qui se trouve sur votre réseau afin de fournir la "vérité de terrain" requise pour la conformité et les rapports sur les risques.

2. Passer d'une hiérarchisation traditionnelle à un filtrage impitoyable des risques

Avec la découverte pilotée par Mythos, le volume des divulgations de vulnérabilités devrait augmenter de plusieurs ordres de grandeur à court terme. Les outils standard tels que CVSS ou EPSS, qui ne mesurent que la sévérité ou la probabilité théorique, noieront votre équipe dans le bruit.

Un programme prêt pour Mythos utilise l'apprentissage automatique pour réduire le flot des "60 % critiques" aux 1,6 % de vulnérabilités qui créent un risque réel. En croisant les failles découvertes par l'IA avec les chemins d'attaque et la criticité de l'entreprise, vous vous assurez que votre équipe corrige les trous qui mènent réellement à vos joyaux de la couronne, y compris les modèles d'IA eux-mêmes.

3. Neutraliser les combinaisons toxiques grâce à l'analyse du chemin d'attaque (Analyse du chemin d'attaque)

Les attaquants ne considèrent pas les vulnérabilités de manière isolée. Ils cherchent un chemin. Ils enchaînent une faille logicielle mineure, un bucket cloud mal configuré et une permission d'identité excessive pour atteindre leur cible. À l'ère de l'IA, la gestion de l'exposition consiste à identifier ces "combinaisons toxiques" avant qu'un adversaire ne le fasse.

La croissance rapide de l'infrastructure de l'IA signifie que de nouveaux chemins d'attaque se forment chaque jour. Et l'intersection d'une infrastructure d'IA mal configurée et d'une infrastructure informatique traditionnelle crée de puissantes faiblesses qui peuvent être exploitées.

Utilisez l'analyse du chemin d'attaque pour visualiser comment un attaquant pourrait utiliser un exploit accéléré par l'IA pour franchir votre périmètre et se déplacer latéralement vers vos données d'entraînement à l'IA ou vos moteurs d'inférence. Si vous fermez le chemin, la vulnérabilité n'a plus lieu d'être.

4. Mettre en œuvre la validation contradictoire de l'exposition (VAE)

Lorsque la fenêtre "prompt à l'exploit" passe de quelques semaines à quelques minutes, la sécurité théorique est morte. Vous devez mettre en œuvre la validation de l'exposition aux risques (AEV), une boucle continue d'analyse automatisée des risques (red teaming).

By regularly challenging your environment against the MITRE ATT&CK framework, you gain evidence of how your defenses hold up against AI-speed exploits. This is the only way to ensure your incident response plan isn't just a document, but a proven shield against the reality of a Mythos-driven breach.

5. Gouverner l'exposition à l'IA avec une remédiation agentique.

La surface de risque qui croît le plus rapidement dans le monde est l'infrastructure de l'IA elle-même : modèles, pipelines de formation et agents autonomes disposant d'un accès de haut niveau. Il s'agit désormais de cibles de grande valeur nécessitant une surveillance stricte.

Pour suivre la vitesse de la menace, vous devez déployer des moteurs d'IA agentique (comme Tenable Hexa AI) pour automatiser le triage et la remédiation de ces expositions. Cela permet une "défense à la vitesse de la machine" - en utilisant l'IA pour découvrir, marquer et corriger votre infrastructure à la même vitesse que Mythos découvre ses failles.

En conclusion

La fenêtre d'action est étroite. Dans nos conversations actives avec l'Office of the National Cyber Director, la Cloud Security Alliance et Anthropic, le consensus est clair : l'approche de la sécurité fondée sur le plus petit dénominateur commun ne suffira plus. Cela renforce la criticité des pratiques traditionnelles de cyber-hygiène, tout en soulignant la nécessité d'intégrer l'Automation et des systèmes efficaces dans votre programme. Hope is not a strategy.

Nous devons utiliser les mêmes principes de gestion de l'exposition pour gérer le volume créé par cette découverte accrue. Tout voir, établir des priorités impitoyables et remédier aux problèmes à la vitesse de la machine. C'est ce que signifie être prêt pour le Mythos.

Pour en savoir plus sur la manière dont Tenable peut vous aider, lisez également le récent article de Vlad Korsunsky, directeur technique de Tenable, intitulé "Claude Mythos : Préparez-vous à répondre aux questions de votre conseil d'administration en matière de cyber-sécurité sur le dernier modèle d'IA d'Anthropic."