Project Glasswing : qui a vraiment accès à Claude Mythos (et pourquoi aucun acteur français n'est dans la liste)

Anthropic vient d'élargir Project Glasswing à 150 nouvelles organisations dans plus de 15 pays. La France fait partie de la liste. Sauf qu'en regardant les noms des partenaires publiés, aucune entreprise française n'y figure. Ni banque, ni opérateur télécom, ni énergéticien. Ce silence en dit long sur la position réelle de la France dans la course à la cybersécurité par IA.

Ce que Project Glasswing révèle sur Claude Mythos

Project Glasswing n'est pas un programme d'accès classique. C'est un dispositif de cybersécurité offensive contrôlée, lancé en avril 2026, dans lequel Anthropic met Claude Mythos à disposition d'organisations triées sur le volet pour scanner leurs propres systèmes.

Le principe est simple : Mythos identifie des vulnérabilités logicielles et génère des exploits fonctionnels. Selon Clubic, le modèle produit des exploits fonctionnels dès la première tentative dans 83 % des cas, surpassant parfois des équipes humaines spécialisées en tests d'intrusion.

Pourquoi Anthropic a restreint l'accès dès le départ ?

L'AI Security Institute britannique (AISI) a évalué Mythos et conclu que le modèle pouvait exécuter des cyberattaques sophistiquées qui auraient nécessité plusieurs jours de travail à des professionnels, selon Silicon.fr. Un outil capable de trouver 10 000 failles critiques en quelques semaines ne se distribue pas comme un abonnement SaaS.

La première vague (avril 2026) a donc été limitée à une cinquantaine d'organisations, presque exclusivement américaines : Google, VMware, Mozilla, Palo Alto Networks, JPMorgan Chase. Le cercle le plus restreint, le plus contrôlé. Pour comprendre l'historique complet de Mythos et ses restrictions, j'ai déjà détaillé les raisons de ce verrouillage dans un précédent article.

La logique d'Anthropic est limpide : celui qui donne l'arme choisit qui la porte.

La vraie liste des partenaires Glasswing (phase 2)

Début juin 2026, Anthropic a annoncé l'extension de Glasswing à 150 nouvelles organisations réparties dans plus de 15 pays. La liste des pays inclut les membres de l'alliance Five Eyes (Canada, Australie, Nouvelle-Zélande), puis la France, l'Allemagne, l'Italie, la Suisse, les Pays-Bas, l'Espagne, la Belgique, la Suède, l'Inde, le Japon et la Corée du Sud.

Quelles entreprises ont été sélectionnées dans la phase 2 ?

Anthropic ne publie pas la liste complète. Mais les noms qui ont filtré sont révélateurs : Okta (américain), Samsung, SK Hynix et SK Telecom (sud-coréens). Côté institutions, l'OTAN et l'ENISA (agence européenne de cybersécurité) font partie des nouveaux entrants.

Les secteurs ciblés par cette phase 2 couvrent l'énergie, l'eau, la santé, les communications et le matériel informatique. Selon Anthropic, une cyberattaque réussie sur l'un de ces partenaires pourrait toucher plus de 100 millions de personnes.

Le constat saute aux yeux : la France est officiellement dans le périmètre géographique, mais aucune organisation spécifiquement française n'a été nommée publiquement. Les institutions qui ont accès (OTAN, ENISA) sont européennes, pas françaises.

Pourquoi la France reste en marge de Glasswing

La situation française est paradoxale. Le pays figure parmi les 15 nations autorisées, mais les négociations entre la Commission européenne et Anthropic sont décrites comme « au point mort » par des responsables espagnols, selon Clubic. Les discussions traînent depuis avril 2026.

Comment BNP Paribas a décidé de contourner le problème ?

Face à l'impossibilité d'obtenir un accès à Mythos, BNP Paribas a pris une décision radicale : collaborer avec Mistral AI pour développer un modèle d'IA dédié à la cybersécurité bancaire. Aucune banque européenne ne figure sur la liste Glasswing (JPMorgan Chase, américaine, y est depuis la phase 1). La plus grande banque française a donc choisi la voie souveraine.

Ce choix illustre un problème plus large. Je le constate dans mon travail quotidien avec des PME françaises : la dépendance à un fournisseur américain pour des capacités critiques crée un risque structurel. Quand Anthropic décide de restreindre l'accès, toute l'Europe se retrouve à négocier un ticket d'entrée.

Claudia Plattner, directrice de l'Office allemand pour la sécurité de l'information (BSI), résume la tension dans le reportage FRANCE 24 : les attaques qui prenaient des jours peuvent désormais se produire en quelques minutes. Attendre qu'Anthropic ouvre les vannes n'est pas une option viable pour les infrastructures critiques européennes.

L'Europe négocie pendant que Mythos scanne.

Pourquoi Anthropic privilégie-t-elle les partenaires américains et asiatiques ?

Trois facteurs expliquent cette hiérarchie. Le premier est juridique : les partenaires Glasswing de phase 1 opèrent sous droit américain, ce qui simplifie les accords de confidentialité et de responsabilité. Le deuxième est stratégique : après le conflit avec le Pentagone (Anthropic a refusé que ses modèles servent à la surveillance de masse et aux armes autonomes), l'entreprise doit montrer qu'elle coopère avec Washington sur la cybersécurité défensive.

Le troisième facteur est commercial. Anthropic a déposé un dossier confidentiel d'entrée en bourse auprès de la SEC, selon FRANCE 24. Sa dernière levée de fonds a porté sa valorisation à 96,5 milliards de dollars. Dans ce contexte, chaque partenariat Glasswing est aussi une vitrine pour les investisseurs. Les entreprises asiatiques (Samsung, SK Hynix) représentent des marchés à forte croissance, les européennes moins.

Ce que ça change pour les PME françaises

Je vais être direct : Mythos ne vous concerne pas. Pas aujourd'hui, pas dans six mois. Le programme Glasswing cible les infrastructures critiques, les banques systémiques, les opérateurs télécoms qui gèrent des centaines de millions d'utilisateurs. Si vous dirigez une PME de 30 à 200 personnes, vous n'êtes pas dans le scope.

Faut-il attendre Mythos pour sécuriser vos systèmes ?

La réponse est non, et c'est même contre-productif d'attendre. Les 5 raisons pour lesquelles Mythos n'est pas encore public montrent que le modèle restera restreint pendant des mois. Pendant ce temps, les vulnérabilités de vos systèmes existent déjà.

Ce qui protège une PME, ce n'est pas un modèle de frontière à accès restreint. C'est l'intégration de bonnes pratiques dans les workflows existants : audits réguliers, mises à jour systématiques, segmentation réseau, formation des équipes. J'accompagne des entreprises dans leur intégration IA, et la cybersécurité revient systématiquement comme un angle mort, bien avant la question « quel modèle utiliser ».

La vraie question n'est pas "quand aurons-nous Mythos ?", c'est "avons-nous fait le minimum avant de rêver au maximum ?"

L'initiative BNP/Mistral montre d'ailleurs la bonne approche : identifier un besoin critique, choisir un partenaire accessible, construire une solution adaptée à son contexte réglementaire. C'est exactement ce que je recommande aux PME sur GoLive Software quand elles me demandent par quel bout prendre l'IA. Commencer petit, avec un cas d'usage clair, mesurable et rapidement testable.

Anthropic annonce que Mythos sera accessible au grand public « dans les semaines à venir », selon IT-Connect. Quand ce jour arrivera, les développeurs et les équipes sécurité en profiteront. Mais aussi les cybercriminels. La démocratisation de Mythos ne résoudra pas le problème de fond : l'écart entre ceux qui savent intégrer l'IA dans leurs opérations et ceux qui attendent qu'un outil miracle fasse le travail à leur place.

Project Glasswing confirme une tendance que je vois se dessiner depuis les premiers retours en production : les modèles les plus puissants ne profitent qu'à ceux qui ont déjà l'infrastructure pour les exploiter. La France a les compétences (Mistral le prouve), elle a les besoins (BNP le prouve aussi). Ce qui manque, c'est la capacité à construire des partenariats au bon niveau, au bon moment, sans dépendre d'un feu vert américain.