Services informatiques trois-rivières
Partout au Québec
info@oktosolutions.ca
Prendre un rendez-vous
Appelez-nous

Imaginez un gardien de sécurité capable d’analyser des millions de lignes de code en quelques semaines et de débusquer chaque porte mal verrouillée, chaque fissure dans un mur numérique. C’est exactement ce qu’Anthropic a mis en place avec le Projet Glasswing : une initiative inédite où son modèle d’IA Claude Mythos Preview a passé au crible plus de 1 000 logiciels open source utilisés quotidiennement par des entreprises partout dans le monde, dont plusieurs que votre PME utilise très probablement en ce moment.

En moins d’un mois, le projet a permis de détecter plus de 10 000 vulnérabilités de gravité élevée ou critique dans des logiciels critiques à l’échelle mondiale. Derrière ce chiffre impressionnant se cache une réalité concrète pour les PME de Trois-Rivières, de la Mauricie et du reste du Québec : les outils numériques qui font tourner vos opérations sont exposés à des risques souvent invisibles, et l’IA change maintenant la façon dont ces risques sont détectés et corrigés.

Réponse rapide : Anthropic et une cinquantaine de partenaires (Microsoft, Google, Apple, Cisco, AWS, entre autres) ont utilisé Claude Mythos pour trouver plus de 10 000 failles de sécurité critiques dans des logiciels open source largement répandus. Des centaines de ces failles sont en cours de correction, ce qui réduit directement les risques pour les entreprises et organisations qui utilisent ces logiciels, y compris de nombreuses PME québécoises.

1. Qu’est-ce que le Projet Glasswing ?

Le Projet Glasswing est une initiative lancée par Anthropic avec un objectif clair : sécuriser les logiciels les plus critiques de la planète avant que des acteurs malveillants ne puissent utiliser l’IA pour les attaquer. Le nom fait référence au papillon Greta oto, dont les ailes transparentes illustrent la visibilité que l’IA peut apporter dans des environnements jusque-là opaques pour les équipes de sécurité humaines.

Le programme regroupe une cinquantaine de partenaires de premier plan, notamment Amazon Web Services (AWS), Apple, Cisco, CrowdStrike, Google, JPMorgan Chase, la Linux Foundation, Microsoft, NVIDIA et Palo Alto Networks. Ensemble, ces organisations ont donné à Claude Mythos Preview l’accès à plus de 1 000 projets open source pour les analyser à la recherche de failles de sécurité. Ce qui aurait pris des années à des équipes de spécialistes humains a été accompli en quelques semaines.

Le choix du nom n’est pas anodin : le papillon Glasswing (Greta oto) a des ailes quasi transparentes, ce qui le rend difficile à repérer pour ses prédateurs. Anthropic s’en inspire pour décrire la capacité de l’IA à rendre visible ce qui était auparavant caché dans des millions de lignes de code.

OKTO Solutions automatisation IA pour la sécurité informatique

2. Ce que l’IA a découvert concrètement

Les données publiées par Anthropic dans la mise à jour initiale du projet sont saisissantes. Claude Mythos Preview a analysé plus de 1 000 projets open source et identifié 6 202 candidats à la vulnérabilité de gravité élevée ou critique lors du premier mois. Après validation par des experts humains, 1 726 s’avéraient être de vraies failles exploitables, dont 1 094 confirmées en haute ou critique sévérité.

En comptant les mises à jour subséquentes, le projet a dépassé les 10 000 vulnérabilités de gravité élevée ou critique détectées. Pour contextualiser : une seule vulnérabilité critique non corrigée peut suffire à permettre à un attaquant de prendre le contrôle d’un serveur, de voler des données confidentielles ou de déclencher une attaque par rançongiciel contre une organisation entière.

Voici l’état de la correction de ces failles, selon les chiffres officiels d’Anthropic :

  • Plus de 530 failles de haute ou critique sévérité ont été divulguées aux responsables des logiciels concernés
  • 75 ont été corrigées et rendues publiques
  • 65 avis de sécurité publics ont été émis

Le constat d’Anthropic est lucide : le goulot d’étranglement n’est plus la détection, c’est la capacité humaine à traiter, vérifier et corriger ces failles. L’IA a créé un nouveau problème en résolvant l’ancien, ce qui pousse les équipes de sécurité à repenser entièrement leur façon de travailler.

3. Pourquoi les logiciels open source concernent votre PME

Si le terme « open source » vous semble éloigné de votre réalité de PME, détrompez-vous. Une proportion considérable des outils numériques utilisés quotidiennement reposent sur des composants open source, même si vous ne le savez pas :

  • Votre site web (WordPress repose massivement sur des composants open source, tout comme les serveurs Apache ou Nginx sous-jacents)
  • Les bases de données qui stockent vos informations clients et financières (MySQL, PostgreSQL)
  • Les librairies de traitement des courriels et des fichiers intégrées dans des logiciels commerciaux
  • Les outils de collaboration et de gestion que vos équipes utilisent au quotidien
  • Des composants utilisés par des plateformes populaires comme Microsoft 365 ou Salesforce

Un exemple reste frais dans les mémoires des équipes TI : la faille Log4Shell de décembre 2021, une vulnérabilité dans une librairie Java open source utilisée par des millions de systèmes dans le monde. Des milliers d’organisations, y compris des PME québécoises, s’étaient retrouvées exposées du jour au lendemain, sans avoir rien fait de mal. Le Projet Glasswing cherche précisément à éviter ce type de scénario, en trouvant ces failles avant les attaquants.

Surveillance des menaces informatiques - OKTO Solutions Trois-Rivières

4. L’IA change le rapport de force en cybersécurité

Pendant des années, les cybercriminels avaient un avantage structurel : il leur suffisait de trouver une seule faille pour entrer, pendant que les équipes de défense devaient surveiller l’ensemble du périmètre. L’IA est en train de rééquilibrer cette dynamique, au moins en partie.

Claude Mythos Preview n’a pas seulement trouvé des failles : il a automatisé une partie du travail de vérification qui était entièrement manuel auparavant, libérant les experts humains pour se concentrer sur la correction plutôt que la détection. C’est le changement de paradigme que l’industrie attendait de l’IA générative appliquée à la sécurité informatique.

Pour les PME québécoises, les bénéfices sont concrets :

  • Les mises à jour que vous appliquez deviennent plus fiables : les failles identifiées par Glasswing aboutissent dans les correctifs que vous installez
  • La surface d’attaque globale diminue : moins de vulnérabilités connues et non corrigées dans les logiciels courants
  • La fenêtre de risque se réduit : ce qui prenait des années à être détecté peut maintenant être traité en semaines
  • La collaboration industrie s’intensifie : quand Microsoft, Google et Apple travaillent ensemble sur la sécurité des logiciels communs, tout le monde en profite

Cela dit, cette amélioration ne remplace pas la vigilance au niveau de chaque entreprise. Les configurations incorrectes, les mots de passe faibles, les accès non contrôlés et le manque de formation des employés restent des vecteurs d’attaque majeurs pour les PME, indépendamment de l’état des logiciels sous-jacents.

Bâtir un plan stratégique de sécurité informatique pour PME Québec

5. Ce que votre PME devrait faire dès maintenant

La bonne nouvelle, c’est que les PME n’ont pas besoin de comprendre les détails techniques du Projet Glasswing pour en bénéficier. Par contre, quelques pratiques concrètes maximisent votre protection :

  • Maintenez vos logiciels à jour : les correctifs issus de projets comme Glasswing arrivent via les mises à jour normales. Les appliquer rapidement est votre première ligne de défense.
  • Faites un inventaire de vos outils : savez-vous exactement quels logiciels tournent sur vos serveurs et postes de travail ? Un partenaire informatique peut vous aider à cartographier votre environnement et repérer les composants non mis à jour.
  • Ne sous-estimez pas vos composants open source : si votre site web ou vos applications reposent sur WordPress ou d’autres composants open source, assurez-vous qu’ils sont régulièrement mis à jour, extensions comprises.
  • Adoptez une approche proactive : attendre qu’une cyberattaque survienne coûte toujours plus cher que de prévenir. Un audit de sécurité périodique permet de repérer les angles morts avant qu’ils ne soient exploités.

Pour les PME de Trois-Rivières et de la Mauricie qui n’ont pas de département TI interne, un partenaire de confiance peut gérer ces mises à jour et cette surveillance de façon continue. C’est ce qu’on appelle la gestion proactive des systèmes, et c’est précisément ce que couvrent les services informatiques d’OKTO Solutions, adaptés aux réalités et aux budgets des PME régionales.

Foire aux questions

Qu’est-ce qu’une vulnérabilité de gravité critique dans un logiciel ?

Une vulnérabilité critique est une faille qui permet à un attaquant d’exécuter du code à distance, de contourner l’authentification ou de compromettre un système sans interaction de l’utilisateur. Ces failles sont les plus dangereuses car elles peuvent être exploitées automatiquement par des robots avant même qu’un administrateur soit au courant de leur existence. C’est pourquoi les délais de correction comptent autant que la détection.

Microsoft fait partie des partenaires : est-ce que ça protège les utilisateurs de Microsoft 365 ?

Indirectement, oui. Microsoft contribue au Projet Glasswing et publie régulièrement des mises à jour de sécurité pour ses produits, dont certaines corrigent des vulnérabilités dans des composants open source intégrés dans ses logiciels. Appliquer les mises à jour de Windows et de Microsoft 365 dès leur publication reste la meilleure façon de bénéficier concrètement de ce travail.

L’IA peut-elle aussi être utilisée par les cybercriminels pour trouver des failles ?

Oui, c’est une réalité que les experts reconnaissent ouvertement. Les outils d’IA sont accessibles aux acteurs malveillants pour automatiser la recherche de vulnérabilités. C’est justement l’une des motivations derrière Glasswing : corriger les failles connues avant qu’elles ne soient exploitées à grande échelle par des attaquants outillés d’IA. Les PME ont intérêt à s’entourer de partenaires TI qui suivent ces évolutions de près et adaptent leur posture de sécurité en conséquence.

Un pas vers une infrastructure numérique plus sûre pour toutes les entreprises

Le Projet Glasswing marque un tournant dans la cybersécurité mondiale : pour la première fois, l’IA est déployée à grande échelle pour sécuriser proactivement les logiciels sur lesquels repose notre économie numérique. Les PME de Trois-Rivières, de la Mauricie et du Québec n’ont pas à naviguer seules dans cet environnement en constante évolution. Si vous voulez une évaluation concrète de votre posture de sécurité ou simplement savoir comment garder vos systèmes à jour efficacement, l’équipe d’OKTO Solutions est disponible via notre page services ou directement par notre formulaire de contact pour vous accompagner dans une approche adaptée à votre réalité.

Sources : Anthropic, Expanding Project Glasswing · Anthropic, Glasswing Initial Update · CSO Online, Project Glasswing · OKTO Solutions

cookie En utilisant ce site, vous acceptez l’utilisation de cookies. En savoir plus Close