Passer au contenu principal

Les e-mails et les tableurs ne survivront pas à l'ère du Mythos

Pourquoi les organisations fédérées sont de plus en plus vulnérables aux défaillances de coordination — et ce que la panne de juillet 2024 a révélé.

14 juillet 2026

·

Blog

·

Communications sécurisées

Le problème, ce n'est pas la détection

En avril, Anthropic a dévoilé Claude Mythos et a choisi de ne pas le commercialiser. Cette décision en elle-même était remarquable. Mais la raison qui l'a motivée l'était encore plus.

D'après les évaluations publiées par Anthropic, Mythos est capable de détecter et d'exploiter de manière autonome des vulnérabilités « zero-day » sur tous les principaux systèmes d'exploitation et navigateurs web. Lors de tests contrôlés, il a réussi à transformer des vulnérabilités de navigateur en exploits fonctionnels dans 72 % des cas, alors que les taux de réussite de la génération précédente étaient quasi nuls.

La tendance générale va dans le même sens. Selon des données indépendantes sur les menaces, le temps moyen nécessaire à un attaquant pour s'introduire dans un système sera de 29 minutes en 2026, soit une amélioration de 65 % par rapport à 2024, tandis que les attaques assistées par l'IA ont bondi de 89 % d'une année sur l'autre.

La plupart des débats ont porté sur ce que ces chiffres signifient en termes de détection. C'est tout à fait légitime. La détection est importante.

Mais la détection n'est plus le problème le plus difficile.

Le plus grand défi est d'ordre opérationnel : comment les organisations parviennent-elles à transformer une alerte en une action coordonnée impliquant des dizaines, des centaines, voire des milliers de personnes ? Depuis des années, cette dimension — qui englobe les personnes, les décisions, les communications et les interdépendances liées à la gestion des incidents — est discrètement assurée par les e-mails, les tableurs et les réunions régulières de suivi.

Ces outils ne disparaissent pas. Ce sont les hypothèses qui les rendaient viables qui disparaissent.

Le manque de coordination

Lors d'un incident majeur, le déroulement est généralement bien connu. Une alerte est déclenchée. Les e-mails fusent. Un tableau Excel est créé. Une réunion de coordination est programmée.

En peu de temps, la réponse se retrouve à quatre endroits différents, et personne ne sait vraiment quelle version correspond à la réalité.

J'ai vu des opérations d'intervention à l'échelle mondiale reposer sur un seul fichier Excel. Trois personnes le mettaient à jour. Vingt autres le scrutaient. Tout le monde espérait qu'il était exact.

Cela ne témoigne en rien d'un manque de compétence. Ces processus se sont développés parce qu'ils étaient pratiques. Ils fonctionnaient suffisamment bien dans le contexte auquel les organisations environnementales étaient confrontées à l'époque.

Lorsque les délais de remédiation s'étendaient sur plusieurs jours ou semaines, les frictions restaient gérables. Un état des lieux dont la compilation prenait six heures était certes agaçant, mais ne constituait pas une menace existentielle. Les organisations disposaient de suffisamment de temps pour absorber les retards, concilier les mises à jour contradictoires et établir progressivement une vision opérationnelle commune.

La donne est en train de changer.

Lorsque les attaquants peuvent passer de la compromission à l'escalade des privilèges en quelques minutes, un cycle de coordination qui se mesure en heures cesse d'être un cycle de coordination. Il fait alors partie intégrante de l'exposition.

Le problème ne réside pas dans la vulnérabilité en soi, mais dans le décalage entre le rythme opérationnel et la réaction de l'organisation.

Un processus reposant sur des listes de diffusion par e-mail, la collecte manuelle des informations de statut et des réunions périodiques n'a jamais été conçu pour un environnement de menaces évoluant à la vitesse des machines. Les mêmes vulnérabilités qui permettaient autrefois de disposer de délais de correction de plusieurs jours peuvent désormais être exploitées avant même que le troisième destinataire n'ait ouvert l'e-mail.

Il ne s'agit pas d'un scénario futur hypothétique. Les personnes qui développent et étudient ces systèmes décrivent précisément cette évolution.

Cela dit, Mythos n'est pas à l'origine de cette tendance. Il rend simplement cette évolution plus difficile à ignorer.

L'avertissement que nous avons déjà reçu

Les défenseurs ont déjà eu un aperçu de cet avenir en juillet 2024.

La panne mondiale provoquée par CrowdStrike est souvent considérée comme une mise à jour logicielle défectueuse aux conséquences exceptionnellement importantes. En réalité, elle a mis en évidence un problème plus fondamental : de nombreuses organisations ont été contraintes de coordonner des opérations de reprise complexes alors qu’une partie de leurs moyens de communication habituels et de leur infrastructure informatique était indisponible.

Pendant des heures — voire, dans certains cas, des jours —, les équipes dispersées ont dû prendre des décisions cruciales sans pouvoir accéder aux systèmes dont elles dépendaient habituellement.

Certaines organisations se sont étonnamment bien adaptées. Elles disposaient déjà d’architectures de communication permettant d’atteindre les personnes par des canaux indépendants des systèmes en panne. Elles ont recueilli des mises à jour structurées sur l’état d’avancement plutôt que de se fier à des réponses par e-mail rédigées librement. Elles ont maintenu la coordination tout au long de la reprise des opérations, au lieu de devoir rétablir la connaissance de la situation au début de chaque appel.

D'autres ont rencontré des difficultés car leur modèle de coordination reposait précisément sur les systèmes qui n'étaient plus disponibles.

Cette leçon n'avait pas grand-chose à voir avec CrowdStrike en particulier.

C'était un avertissement sur ce qui se passe lorsque la coordination opérationnelle devient le maillon faible.

Où la coordination commence-t-elle à défaillir ?

Les organisations fédérées sont celles qui sont confrontées à la forme la plus aiguë de ce défi.

Des gouvernements nationaux dotés de compétences autonomes. Des réseaux de santé composés d'établissements indépendants. Des groupes de services financiers comprenant des entités affiliées. Des organisations multinationales fonctionnant par le biais de structures régionales semi-indépendantes.

Ces environnements ont une caractéristique commune : le pouvoir y est réparti.

Le siège social dispose peut-être d'une bonne visibilité, mais son contrôle est limité. Les entités individuelles disposent peut-être d'une certaine autorité, mais leur visibilité est limitée au-delà de leurs propres frontières. Des mécanismes informels comblent souvent les lacunes entre ces deux niveaux, ce qui explique précisément pourquoi les fils de discussion par e-mail, les tableurs et les appels réguliers deviennent le moyen de coordination par défaut.

Dans un contexte où les menaces évoluent de plus en plus rapidement, ces lacunes deviennent de plus en plus difficiles à tolérer.

Construire pour l'ère du Mythos

Les conditions à remplir pour y remédier n'ont rien de particulièrement mystérieux.

Tout d'abord, la couche de coordination ne doit pas dépendre des systèmes visés par l'attaque.

Deuxièmement, les rapports d'état doivent être structurés. Les messages diffusés à tous créent une ambiguïté, et cette ambiguïté peut coûter cher lorsque chaque minute compte.

Troisièmement, les décideurs au sein des instances dirigeantes et des pouvoirs publics ont besoin de moyens de communication fiables qui restent disponibles même lorsque l'infrastructure principale n'est plus fiable.

Rien de tout cela ne peut être mis en place en plein milieu d'un incident. L'architecture doit être en place avant le début de l'événement.

Des cadres réglementaires tels que la directive NIS 2 vont déjà dans ce sens, à travers des exigences relatives à la coordination des interventions, à la résilience et à la continuité des services essentiels. À bien des égards, la réglementation s'aligne sur les réalités auxquelles les organisations sont déjà confrontées.

Le risque réside dans le fait de croire que la conformité suffit à elle seule.

Certaines organisations respectent toutes les exigences en matière de reporting, mais constatent néanmoins que leur modèle de coordination ne tient pas la route en cas de crise. Une architecture peut à la fois satisfaire aux critères d'un audit et s'avérer défaillante face à un incident.

Cette distinction revêt aujourd'hui davantage d'importance qu'auparavant.

La vraie question

Les e-mails et les tableurs ne sont pas soudainement devenus de mauvais outils. Ils sont simplement devenus lents.

Pendant des années, les organisations ont pu pallier cette limitation, car l'évolution des menaces était suffisamment lente pour leur permettre de s'y adapter.

De plus en plus, cette hypothèse ne tient plus la route.

CrowdStrike a révélé ce qui se passe lorsque la coordination devient difficile. Mythos laisse entrevoir un avenir où la coordination deviendra le facteur déterminant.

La question n'est plus de savoir si les organisations sont capables de détecter une attaque.

La question est de savoir s'ils parviendront à coordonner une riposte avant que l'attaquant n'atteigne son objectif.

Recevez les dernières informations sur les connaissances approfondies en matière de communications sécurisées.

La nouvelle norme

Regardez le webinaire : « L'importance des communications critiques »

Rejoignez-nous pour un webinaire de 45 minutes au cours duquel nos experts aborderont le cadre technique et opérationnel permettant de garantir des communications sécurisées certifiées pour les missions, notamment en matière de chiffrement, d’architecture, de contrôle souverain, de validation indépendante et d’orchestration des missions.

Regarder maintenant