Anthropic va briefer le G20 sur Claude Mythos : la supervision financière mondiale face au risque cyber IA

18/5/26
👈 les autres actualités

Andrew Bailey, gouverneur de la Banque d'Angleterre et président du Financial Stability Board (FSB), a sollicité Anthropic pour briefer les ministères des Finances et les banques centrales du G20 sur les capacités cyber de son modèle Claude Mythos. Révélée par le Financial Times le 18 mai 2026, l'opération marque un tournant : c'est la première fois qu'un éditeur d'IA est appelé à exposer le risque systémique de son propre produit devant l'arbitre mondial de la régulation financière.

Ce qui s'est passé

Le FSB, gendarme du G20 chargé de coordonner la réglementation financière mondiale, va recevoir un briefing technique d'Anthropic sur les vulnérabilités identifiées par Claude Mythos Preview, un modèle « frontier » conçu spécifiquement pour la cybersécurité. L'outil est capable de détecter des failles vieilles de plusieurs décennies dans les navigateurs, les infrastructures et les logiciels — y compris ceux qui font tourner le système financier mondial.

La diffusion du modèle reste strictement encadrée. Seule une quarantaine d'organisations y ont accès, essentiellement américaines : Amazon, Microsoft, JPMorgan Chase. Anthropic s'est engagé auprès de la Maison Blanche à ne pas élargir cette distribution, mais accepte des briefings de haut niveau pour certaines institutions, dont la Commission européenne. L'épisode du G20 prolonge cette logique : pas d'accès au modèle, mais une transmission encadrée des résultats d'audit.

Le FSB travaille en parallèle à un rapport sur les bonnes pratiques d'adoption de l'IA dans le secteur financier, dont la consultation publique est attendue pour juin 2026.

Pourquoi c'est important

L'événement consacre une bascule : les régulateurs financiers ne se contentent plus de superviser les usages de l'IA par les banques — ils traitent les éditeurs de modèles comme des sources directes de risque systémique. Début mai, le Fonds monétaire international avait déjà placé les modèles d'IA cyber-offensifs au rang de « choc macro-financier potentiel », rappelant que « le risque cyber ne respecte pas les frontières » et que les pays émergents sont les plus exposés.

Cette nouvelle posture rejoint celle de la Commission européenne, qui a obtenu d'OpenAI un accès au modèle GPT-5.5-Cyber pour le superviser — un précédent que nous avions analysé comme un test grandeur nature de la supervision européenne des modèles à risque systémique. Le contraste est frappant : Anthropic n'offre pas l'équivalent à Bruxelles, mais accepte un briefing devant le G20. Deux modèles de gouvernance coexistent désormais.

Côté banques, les inquiétudes ne sont pas théoriques. La BCE, la BaFin et la FCA ont déjà lancé des consultations avec les établissements financiers pour évaluer leur préparation face à ce risque cyber — un mouvement documenté dans notre veille consacrée à la mobilisation des régulateurs européens autour de Claude Mythos. Le Campus Cyber a même alerté sur un « mur de correctifs » à venir dans les 3 à 6 mois, ce qui imposera une cartographie urgente des actifs critiques et des cas d'usage IA défensifs.

Ce que ça change pour les organisations

Pour les DPO et RSSI des établissements financiers et de leurs sous-traitants, trois chantiers se cumulent sans attendre l'issue de la consultation FSB.

Aligner DORA, NIS 2 et RGPD article 32 sur un référentiel unique. La résilience opérationnelle numérique est désormais le sujet transversal qui structure les contrôles. Le rapport annuel 2025 du Joint Committee EBA/EIOPA/ESMA a confirmé que DORA et la cyber-résilience sont la priorité des superviseurs européens en 2026 — toute documentation silotée entre RGPD, NIS 2 et DORA deviendra un handicap d'audit.

Reprendre les AIPD sur les outils IA cyber et les intégrations tierces. Si un fournisseur intègre dans son SaaS un assistant qui s'appuie sur un modèle frontier, il devient un vecteur potentiel de cartographie offensive. L'article 32 RGPD impose désormais de tracer cette dépendance et de la documenter dans l'analyse de risques. Le guide Leto sur la conformité AI Act détaille les obligations applicables aux modèles à usage général et les seuils de risque systémique.

Préparer la chaîne de notification. En cas d'exploitation d'une vulnérabilité Mythos identifiée et non corrigée, les obligations se cumulent : article 33 RGPD (72 heures), DORA pour les incidents TIC majeurs, et bientôt NIS 2 pour les entités essentielles et importantes. Une cellule de crise multi-cadres devient indispensable.

Ce que Leto pense de cette décision

La démarche du FSB est saine : faire venir Anthropic devant les régulateurs financiers évite que le débat reste cantonné aux cercles tech américains. Mais l'asymétrie est frappante. La Commission européenne obtient l'accès à GPT-5.5-Cyber ; le G20 obtient un briefing oral d'Anthropic. À horizon AI Act, cette asymétrie n'est pas tenable : les modèles à risque systémique devront accepter une supervision technique homogène, ou les régulateurs européens devront durcir leurs exigences d'évaluation indépendante. Pour les DPO, l'enseignement est immédiat : documenter dès maintenant l'exposition de l'organisation aux modèles frontier — directement ou via la chaîne de sous-traitance — est la meilleure manière d'absorber le choc réglementaire qui se prépare.

Sources : Silicon.fr — Claude Mythos : Anthropic va briefer les banques centrales du G20 ; Financial Stability Board ; Fonds monétaire international.

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026