L'Inde a commencé à tester la résistance de ses logiciels gouvernementaux et bancaires face au modèle d'IA Mythos d'Anthropic, un exercice de cybersécurité visant à identifier les points faibles avant que des attaquants ne les exploitent. Ces tests, actuellement en cours, constituent le premier cas connu d'un pays utilisant un modèle d'IA de pointe d'un concurrent pour sonder ses propres infrastructures critiques.
Tests de résistance face à un adversaire IA
Les tests de résistance ne sont pas nouveaux. Les organisations simulent régulièrement des attaques pour évaluer la solidité de leurs défenses. Mais intégrer un modèle d'IA comme Mythos change la donne. Développé par Anthropic, Mythos est conçu pour être plus performant que les modèles précédents dans la compréhension et la génération de code. Cela en fait un outil puissant pour simuler des cyberattaques sophistiquées, et pour détecter des vulnérabilités que les testeurs humains pourraient négliger.
L'approche de l'Inde consiste à fournir au modèle des détails sur l'architecture de ses logiciels gouvernementaux et bancaires. Mythos tente ensuite d'exploiter ces systèmes, en sondant les faiblesses du chiffrement, des contrôles d'accès et du traitement des données. Les résultats aident les responsables à déterminer quelles corrections prioriser et où investir dans des défenses plus solides.
Pourquoi se concentrer sur les systèmes bancaires et gouvernementaux
Les logiciels bancaires et gouvernementaux traitent certaines des données les plus sensibles du pays : dossiers financiers, identifiants personnels et informations de sécurité nationale. Une brèche dans l'un de ces secteurs pourrait avoir des effets en cascade. C'est pourquoi l'Inde concentre d'abord ses tests de résistance sur ces deux domaines. Ces tests ne signifient pas qu'une menace spécifique a été détectée, mais constituent une mesure proactive pour garder une longueur d'avance sur d'éventuelles attaques.
Le choix du modèle d'Anthropic plutôt que d'autres est remarquable. Anthropic s'est positionnée comme une entreprise d'IA axée sur la sécurité, et son modèle Mythos est doté de garde-fous pour prévenir les usages abusifs. L'utilisation de Mythos par l'Inde à des fins défensives correspond aux applications prévues par l'entreprise. Anthropic n'a pas commenté ces tests, et aucun responsable du gouvernement indien n'a fourni de détails sur leur portée ou leur calendrier.
Quels sont les enjeux
Si les tests de résistance révèlent des vulnérabilités critiques, les conséquences pourraient être considérables. Les agences gouvernementales pourraient devoir suspendre des initiatives numériques pour corriger les systèmes. Les banques pourraient connaître des interruptions temporaires de service si des mises à jour sont nécessaires. À l'inverse, un bilan favorable renforcerait la confiance dans l'infrastructure numérique indienne, qui s'est développée rapidement grâce à des programmes comme Aadhaar et UPI.
Les tests soulèvent également des questions sur le rôle de l'IA dans la cybersécurité nationale. Utiliser le modèle d'une entreprise pour tester les systèmes d'une autre brouille la frontière entre concurrence et collaboration. Aucune décision n'a été prise quant à la publication des résultats des tests, et on ignore si d'autres pays suivront l'exemple de l'Inde.
Questions en suspens
La plus grande inconnue est la durée des tests de résistance et s'ils s'étendront au-delà des logiciels gouvernementaux et bancaires. Les responsables n'ont pas communiqué de date limite pour leur achèvement, ni précisé quels systèmes spécifiques sont testés. Ce qui est clair, c'est que l'Inde parie qu'un adversaire IA est le meilleur moyen de trouver ses propres faiblesses, avant que quelqu'un d'autre ne le fasse.
