Le secrétaire au Trésor Scott Bessent et la présidente de la Réserve fédérale Jerome Powell ont organisé une réunion d'urgence avec les dirigeants de Wall Street cette semaine, en contournant le calendrier habituel des briefings et en impliquant directement les PDG des banques dans une discussion sur les risques cybernétiques liés à l'IA.
Les rapports ont indiqué que la réunion visait à s'assurer que les banques comprenaient les risques posés par Mythos et des modèles similaires et qu'elles prenaient déjà des mesures défensives.
Lorsque le secrétaire au Trésor et le président de la Réserve fédérale convoquent ensemble les dirigeants bancaires dans une salle d'urgence, ils communiquent que le risque est systémique.
L'ironie qui traverse cet épisode est vive.
Le 2 mars, le Trésor, l'État et la SANTÉ ont décidé d'arrêter l'utilisation des produits Anthropic, agissant selon une directive présidentielle, Bessent ayant déclaré publiquement que le Trésor mettait fin à toute utilisation.
Le 9 mars, la General Services Administration a résilié le contrat à l'échelle du gouvernement d'Anthropic. Le 8 avril, une cour d'appel fédérale a refusé de bloquer la liste noire d'Anthropic par le Pentagone tandis que le litige se poursuit.
Ainsi, durant la même semaine, les responsables géraient un litige actuel d'approvisionnement et de sécurité nationale avec Anthropic, tout en avertissant les plus grandes banques du pays de se préparer au risque posé par les capacités de type Anthropic.
Ce que Mythos a réellement changé
La base probatoire de l'alerte officielle repose sur les propres documents d'Anthropic, qui sont plus spécifiques que les déclarations habituelles de lancement de modèle.
Anthropic affirme que Mythos a découvert des milliers de vulnérabilités de haute gravité, incluant des failles dans chaque système d'exploitation majeur et chaque navigateur web majeur, et que plus de 99 % d'entre elles restent non corrigées.
La carte système de l'entreprise décrit le modèle comme capable d'identifier et d'exploiter des zéro-jours sur ces plateformes. Il s'agit du type de capacité qui, entre de mauvaises mains ou publiée sans coordination, comprime le délai entre la découverte de la vulnérabilité et l'attaque armée.
La réponse d'Anthropic à ses propres découvertes a été de restreindre l'accès selon une structure qu'elle appelle Project Glasswing, limitant la diffusion aux partenaires de lancement, notamment Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan, la Linux Foundation, Microsoft, Nvidia et Palo Alto Networks, ainsi qu'à plus de 40 autres organisations qui développent ou maintiennent des infrastructures logicielles critiques.
Anthropic a engagé jusqu'à 100 millions de dollars en crédits d'utilisation et 4 millions de dollars en dons à des organisations de sécurité open source dans le cadre de cet effort.
L'entreprise déclare également avoir informé les responsables américains et les parties prenantes clés avant la publication, ce qui signifie que la réunion du Trésor reflétait un jugement officiel éclairé fondé sur une divulgation préalable.
| Réclamation / fait d'Anthropic | Pourquoi cela importe aux banques et aux régulateurs |
|---|---|
| Des milliers de vulnérabilités de gravité élevée découvertes | La fonctionnalité de suggestion n'est pas théorique ni limitée |
| Défauts découverts dans chaque système d'exploitation majeur | Implique une surface d'attaque étendue sur l'infrastructure partagée |
| Défauts découverts dans chaque navigateur web majeur | Élargit l'exposition au-delà d'un seul fournisseur ou d'une seule pile |
| Plus de 99 % toujours non corrigés | Augmente l'urgence autour des délais de défense |
| Le modèle peut identifier et exploiter des zéro-day | Réduit l'écart entre la découverte et l'exploitation |
| Accès restreint dans le cadre du projet Glasswing | Les signaux même Anthropic ont considéré la sortie comme à haut risque |
| Plus de 40 organisations d'infrastructure supplémentaires impliquées | Montre que la préoccupation s'étend au-delà d'une seule entreprise aux écosystèmes logiciels fondamentaux |
| Briefings avancés pour les responsables américains | Suggère que la réponse du Trésor/Fed était éclairée, et non un théâtre réactif |
Les banques sont au cœur de cette préoccupation car elles dépendent de la pile logicielle plus large.
Le plan de gestion des risques du secteur des services financiers de janvier 2025 du Trésor identifie la concentration sur le cloud, les chaînes d'approvisionnement logicielles et les technologies émergentes, notamment l'IA, comme principaux risques du secteur, avertissant que la dépendance à des fournisseurs et logiciels communs crée des conditions propices à des défaillances en cascade.
Les banques partagent des fournisseurs de cloud, des éditeurs de logiciels, des réseaux de paiement et des systèmes de compensation à travers le secteur. Une capacité cybernétique capable de trouver et d'exploiter efficacement des zéro-jours non corrigés sur chaque système d'exploitation majeur peut frapper un système financier interconnecté avec une force cumulative.
Dans ce paysage, une infrastructure partagée signifie qu'une seule catégorie de vulnérabilité peut atteindre tous les nœuds simultanément.
La trajectoire politique rendant cela inévitable
Le 18 février, le Trésor a annoncé une initiative publique-privée explicitement conçue pour développer des outils pratiques permettant aux établissements financiers de gérer les risques cybernétiques spécifiques à l'IA.
Le 23 mars, le Trésor et le Conseil de surveillance de la stabilité financière ont lancé une série d'innovations en IA, déclarant que les enseignements tirés alimenteront les travaux du Trésor et du FSOC visant à renforcer la résilience et la stabilité financière alors que l'IA s'intègre dans les fonctions financières essentielles.
Le rapport sur la cybersécurité de la Réserve fédérale de juillet 2025 a listé l'évaluation des risques liés à l'IA, le renforcement de la résilience du cloud et l'exercice des plans de réponse aux incidents cybernétiques parmi ses priorités communes FBIIC/FSSCC.
Washington avait également construit le cadre conceptuel depuis plus longtemps que cela.
En juin 2024, le Trésor et le CSF ont organisé une conférence sur l'IA et la stabilité financière. À cette occasion, l'ancienne secrétaire Yellen a identifié l'opacité, une gestion des risques insuffisante et la concentration parmi les fournisseurs de modèles, les fournisseurs de données et les fournisseurs de cloud comme des canaux par lesquels l'IA pourrait créer des vulnérabilités systémiques.
Le rapport de l'FSB sur l'IA de novembre 2024 a ensuite codifié quatre principaux canaux de vulnérabilité systémique : dépendances aux tiers et concentration des fournisseurs de services, corrélations de marché, risques cybernétiques et défaillances des modèles, des données et de la gouvernance.
Le FMI a également constaté que les cyberattaques contre les entreprises financières représentent près de 20 % de tous les incidents qu'il a étudiés, et que le montant des pertes extrêmes a atteint 2,5 milliards de dollars.
Mythos a forcé les responsables à mettre en œuvre un cadre de gestion des risques qu'ils avaient construit pendant près de deux ans.
| Date | Institution | Événement | Pourquoi cela compte |
|---|---|---|---|
| juin 2024 | Trésorerie / FSOC | Conférence sur l'IA et la stabilité financière | Mise en place précoce du cadre de risque systémique |
| juin 2024 | Yellen | Averti concernant l'opacité, une gestion des risques faible et la concentration | Canaux de vulnérabilité principaux identifiés |
| Nov. 2024 | FSB | Rapport IA sur les canaux de vulnérabilité systémique | Codification de la politique internationale |
| janv. 2025 | Trésorerie | Plan de gestion des risques du secteur des services financiers | A désigné le cloud, la chaîne d'approvisionnement et l'IA comme principaux risques |
| juil. 2025 | Réserve fédérale | Rapport de cybersécurité | Inclut les risques liés à l'IA, la résilience du cloud et les exercices d'incident |
| 18 févr. 2026 | Trésorerie | Initiative publique-privée en cybersécurité par IA | Passer de la théorie aux outils |
| 23 mars 2026 | Trésorerie / FSOC | Série d'innovation IA lancée | L'adoption de Linked AI a été liée à la résilience et à la stabilité |
| avr. 2026 | Trésorerie / Réserve fédérale | Réunion urgente du PDG de la banque | A mis en œuvre le cadre |
La contradiction entre le retrait des achats de Washington et son avertissement sur la stabilité financière a été, par conception, traitée via deux voies décisionnelles distinctes.
Résilier des contrats gouvernementaux avec un fournisseur pour des raisons liées à la chaîne d'approvisionnement ou à la sécurité nationale est une décision d'achat et de politique qui passe par un seul ensemble de canaux. Évaluer si les capacités cybernétiques d'un modèle de pointe créent de nouveaux risques systémiques pour le secteur financier passe par un ensemble complètement différent.
La réunion montre clairement que ces canaux sont arrivés à la même conclusion concernant la capacité, mais en partant de directions opposées, et que les responsables des achats ont décidé de limiter l'exposition du gouvernement à Anthropic en tant que fournisseur.
Les responsables de la stabilité financière ont averti les banques que ce que Anthropic avait construit constituait une catégorie de risque nécessitant une attention urgente.
Les deux réactions présupposent le même jugement sous-jacent : que la capacité de la classe Mythos a des conséquences opérationnelles réelles.
La résolution est que la préoccupation de Washington concernant ce qu'Anthropic a construit a survécu à la rupture de Washington avec Anthropic en tant que fournisseur.
Que pourrait suivre
Dans le scénario haussier, Project Glasswing fonctionne comme prévu.
Anthropic et ses partenaires identifient et corrigent les vulnérabilités matérielles avant que les capacités de contrefaçon n'atteignent un accès ouvert, les banques intègrent cette expérience comme un exercice structuré de résilience, et cet épisode devient la première démonstration que l'IA de pointe can deliver un bénéfice net à la cybersécurité en trouvant des failles plus rapidement que les adversaires ne peuvent les exploiter.
Le déploiement restreint d'Anthropic, son ensemble de partenaires et ses engagements en ressources soutiennent cette possibilité, tout comme le fait que les responsables ont reçu un briefing anticipé, entrant ainsi dans la discussion avant la divulgation publique.
Dans le scénario baissier, de nouveaux modèles de pointe arrivent avec des capacités offensives comparables ou supérieures, ou des divulgations concernant Mythos révèlent un calendrier d'attaque plus compressé que ce que le cadre contrôlé actuellement publié reconnaît.
Le Trésor, la Réserve fédérale et les régulateurs financiers passent ensuite des avertissements privés à des attentes de supervision plus strictes : des exigences plus strictes en matière de provenance logicielle, des examens obligatoires de la concentration des fournisseurs, des délais de déclaration des incidents plus serrés, et des normes de résilience opérationnelle plus rigoureuses pour les banques partageant des dépendances cloud ou logicielles communes.
Les documents du FSB et du Trésor fournissent déjà la base conceptuelle et réglementaire pour cette escalade. Les estimations de pertes extrêmes du FMI et les avertissements du FSB concernant la perturbation des infrastructures financières critiques expliquent pourquoi les responsables ont opté pour une préparation active sans attendre un incident démontrable.
La rapidité avec laquelle l'équilibre entre attaque et défense change à mesure que davantage de laboratoires atteignent des niveaux de capacité similaires est la variable ouverte dans les deux scénarios.
Glasswing suppose qu'un accès coordonné et contrôlé peut maintenir l'avantage suffisamment longtemps pour permettre aux correctifs de fermer les failles découvertes par Mythos. Cette hypothèse ne tient que tant que l'écart entre l'accès de pointe et l'accès ouvert reste suffisamment large pour donner une réelle prise à cet effort.
| Scénario | Déclencheur | Réponse politique | Impact sur les banques |
|---|---|---|---|
| Scénario haussier | Glasswing fonctionne, les vulnérabilités sont corrigées, l'accès reste contrôlé | Coordination continue en huis clos, règles nouvelles limitées | Les banques traitent cela comme un exercice de résilience |
| Cas de base | Plus d'inquiétude, mais aucun incident visible | Plus de conseils, plus d'exams, plus d'avis sur les fournisseurs | Pression accrue en matière de conformité et de gestion des correctifs |
| Scénario baissier | Plus de modèles montrent une capacité offensive similaire | Exigences de supervision plus strictes, règles sur la provenance des logiciels, pression accrue en matière de déclaration des incidents | Charge opérationnelle accrue et changements de contrôle plus rapides |
| Risque de queue | Perturbation matérielle liée à une exposition partagée aux logiciels/cloud | Coordination de type crise entre le Trésor, la Réserve fédérale et les régulateurs | La confiance du marché et la continuité opérationnelle deviennent des préoccupations majeures |
Powell et la décision de Bessent de réunir les PDG des banques en urgence constitue la reconnaissance officielle la plus claire selon laquelle les responsables américains estiment que l'écart se réduit plus vite que ce que la posture cybernétique actuelle du système financier peut absorber.
L'article Why Fed and Treasury leaders Powell, Bessent just rushed into a critical cyber-risk meeting est apparu en premier sur CryptoSlate.