Une salle pleine de pouvoir et vide de diversité
Cette semaine, le Secrétaire au Trésor des États-Unis a convoqué les principaux dirigeants de la banque américaine pour une réunion d'urgence à Washington. La raison : les risques cybernétiques posés par Claude Mythos, le nouveau modèle d'intelligence artificielle développé par Anthropic, que la société elle-même a qualifié de source de "risques de cybersécurité sans précédents". Ce modèle se distingue par sa capacité à identifier des vulnérabilités dans les logiciels à une vitesse qui dépasse les cycles traditionnels de réparation, qui varient entre 30 et 90 jours. Le président de la Réserve fédérale a également participé. Les PDG des plus grandes banques du pays étaient présents.
L'image est puissante. Et en même temps, symptomatique.
Je n'ai pas accès à la liste des participants, car elle n'a pas été divulguée. Mais le schéma de ces convocations d'urgence dans le système financier américain a des décennies de cohérence : sont appelés ceux qui sont déjà à l'intérieur du cercle, ceux qui parlent le même langage réglementaire, ceux qui ont été formés dans les mêmes écoles de commerce et ont gravi les mêmes échelons. Une salle de crise est construite avec les mêmes personnes qui, collectivement, n'ont pas anticipé la crise.
Ce n'est pas un jugement moral. C'est un diagnostic de l'architecture organisationnelle.
Les équipes de direction partageant un même origine, parcours et cadre de référence ont également tendance à partager leurs angles morts. Et les angles morts ne se détectent pas de l'intérieur ; ils se détectent depuis la périphérie. En matière de cybersécurité appliquée à l'IA, la périphérie inclut des chercheurs indépendants, des communautés de développeurs qui discutaient déjà des capacités de Mythos dans des forums techniques comme Hacker News bien avant que le Trésor n'appelle qui que ce soit, et des experts en sécurité offensive qui opèrent en dehors du cadre corporatif traditionnel. Cette intelligence distribuée n'était pas assise à cette table.
Le risque que Anthropic a vu et que les banques n'ont pas modélisé
Anthropic a lancé Claude Mythos en connaissant les risques. La compagnie a elle-même averti sur ses capacités d'identification de vulnérabilités. Cela mérite une attention analytique, car cela implique que le risque n'est pas arrivé sans prévenir : il a été documenté par son propre créateur avant le lancement. Ce qui a échoué n'est pas l'information disponible, mais le mécanisme pour la traiter et l'incorporer aux modèles de risque des institutions financières.
La banque américaine dépense des sommes considérables en cybersécurité. JPMorgan Chase affirme seulement un investissement annuel de 15 milliards de dollars dans son rapport annuel de 2025. Le système financier dans son ensemble fait face à des pertes dues à des incidents cybernétiques estimées à 12,5 milliards de dollars par an, selon des données d'IBM pour 2025. Et pourtant, la réponse institutionnelle face à un modèle d'IA doté de capacités d'analyse automatisée des vulnérabilités a été réactive : d'abord le lancement, ensuite l'alarme, puis la réunion.
Ce schéma est celui qui m'intéresse à dissecter. Non pas la technologie en soi, mais la mécanique de qui a accès au signal précoce et qui le traite.
Lorsque l'équipe qui conçoit les protocoles de risque partage une vision unique du monde technologique — construite depuis le centre du système financier régulé — sa capacité à lire les signaux émergeant des marges du développement de logiciels se révèle structurellement limitée. Les forums où les capacités de Mythos dans des tâches agissantes ont été discutées ne sont pas des espaces marginaux : ce sont les espaces où l'opinion technique se forme avant d'atteindre les rapports des analystes. Intégrer ces voix n'est pas un geste d'ouverture ; c'est un avantage informationnel.
De plus, le design même du modèle soulève une question à laquelle aucune réglementation n'a encore répondu avec précision : qui était à la table lorsque la décision a été prise de lancer Mythos avec ces capacités, et quelles perspectives sur l'impact systémique sur l'infrastructure critique étaient représentées dans cette salle. Anthropic a un historique d'approche sur la sécurité qui la distingue des autres acteurs du secteur, mais le fait que le modèle soit catalogué comme présentant des risques sans précédents par ses propres créateurs tout en atteignant le marché suggère que les mécanismes de gouvernance interne pour évaluer les externalités dans des secteurs critiques comme la banque sont encore en maturation.
Quand le réseau de confiance n'arrive pas à temps
Ce que cette réunion d'urgence révèle également, c'est la fragilité des réseaux que le système financier a construits pour gérer les risques technologiques de pointe. Un réseau robuste de capital social en cybersécurité ne s'active pas après le lancement d'une menace potentielle ; il fonctionne en temps réel, car il est construit sur des relations d'échange authentiques avec des communautés techniques, des chercheurs en sécurité indépendants, et des équipes de renseignement sur les menaces qui vivent en dehors des structures corporatives traditionnelles.
La convocation du Trésor était, en termes d'architecture de réseau, une réponse centralisée à un problème déjà visible dans des nœuds décentralisés. La vitesse à laquelle Claude Mythos peut exposer des vulnérabilités — selon les propres fonctionnaires américains, plus rapidement que les équipes humaines ne peuvent les corriger — n'est pas une surprise technique pour ceux qui surveillent les benchmarks des modèles agissants. C'était une projection logique de la trajectoire des capacités que les propres développeurs ont publiées dans des évaluations comparatives.
Les banques qui sortiront le mieux du nouveau cycle de menaces basées sur l'IA ne seront pas celles qui ont le plus grand budget de cybersécurité. Ce seront celles qui auront construit des canaux de renseignement précoce avec les communautés où ce savoir se crée avant de devenir officiel. Cela nécessite un type d'ouverture institutionnelle que les hiérarchies financières traditionnelles n'incitent pas naturellement : cela nécessite d'intégrer des profils techniques non conventionnels dans des rôles avec un accès réel à la prise de décision, et pas seulement comme consultants externes appelés après que le problème existe déjà.
Le secteur financier détient 28 trillions de dollars de dépôts américains sous garde, selon des données de la FDIC pour le premier trimestre de 2026. Un seul incident systémique pourrait générer des pertes dues à une contagion modélisée entre 100.000 et 500.000 millions de dollars, selon les tests de résistance de la Réserve fédérale de 2025. Avec cette exposition, le coût de ne pas avoir la bonne intelligence dans la salle ne représente pas un coût de réputation. C'est un coût de capital.
La diversité de pensée comme avantage informationnel
Le leadership corporatif qui arrive à cette lecture possède probablement déjà une équipe de cybersécurité. Ce qu'il a rarement, c'est un mécanisme formel permettant aux signaux circulant dans la périphérie technique d'atteindre le niveau où les décisions de risque sont prises avant qu'elles ne se transforment en crise.
La réunion au Trésor est un symptôme de ce déficit. Non pas de mauvaise foi institutionnelle, mais d'une architecture de réseau qui a été conçue pour gérer le monde que nous connaissons déjà, pas celui qui est en émergence. Claude Mythos n'est pas le dernier outil à double capacité qui va pousser les limites de l'infrastructure financière. Le cycle va se répéter, et la vitesse entre le lancement et la menace opérationnelle va se comprimer.
La réponse structurelle n'est pas d'embaucher plus d'analystes de cybersécurité du même profil. Il s'agit de reconstruire les réseaux d'intelligence sur d'autres bases : d'incorporer une pensée hétérodoxe dans les comités de risque technologique, d'établir des canaux permanents avec des communautés de recherche indépendante, et de concevoir des mécanismes d'escalade qui ne dépendent pas d'une convocation par le Trésor pour que l'information parvienne à ceux qui peuvent agir sur elle.
Les conseils d'administration qui ont aujourd'hui toutes leurs chaises occupées par des dirigeants aux parcours presque identiques parient sur le fait que le prochain risque ressemblera aux précédents. Ce pari a un prix qui est déjà coté sur le marché : les actions du secteur de la cybersécurité ont augmenté de 8 % durant la journée du 10 avril. Quelqu'un perçoit déjà un bénéfice du point aveugle que la salle du Trésor a mis du temps à voir.
Observez votre prochain comité de risque technologique avec la même froideur qu'un auditeur révisant un bilan : si tous ceux qui sont assis sont arrivés au même point par le même chemin, le comité n'a pas de diversité de signal, il a un consensus déguisé en analyse, et cela en fait le premier actif qu'une menace émergente va exploiter.
