La BNP, première banque de la zone euro en termes d’actifs, s’est imposée comme l’une des figures de proue européennes pour aider Mistral à développer un modèle d’IA centré sur la cybersécurité. L’objectif est de créer un véritable équivalent à Mythos, le redoutable système développé par l’américain Anthropic.

Lancé il y a quelques temps, Mythos, système à accès très restreint, est capable d’identifier et d’exploiter les vulnérabilités de sécurité. Lors de tests en environnement contrôlé, ses performances ont donné de quoi avoir des sueurs froides. Il a généré des exploits fonctionnels du premier coup dans plus de 83% des cas, surpassant régulièrement les équipes humaines spécialisées dans les tests d’intrusion (les fameux red-teamers).

Face au potentiel de cette technologie, Anthropic a délibérément rationné son accès, expliquant qu’une distribution à grande échelle le transformerait en arme numérique. Aujourd’hui, seules 40 à 50 organisations bénéficient d’un accès. Il s’agit majoritairement de géants de la tech américains, de partenaires liés à la sécurité nationale des États-Unis et d’une poignée de banques locales, dont JPMorgan Chase.

Depuis avril dernier, la commission européenne s’est engagée dans des pourparlers avec Anthropic pour obtenir un droit d’accès. Ces négociations sont aujourd’hui au point mort, des responsables espagnols ayant même qualifié publiquement la situation d’impasse totale.

L’avertissement sévère de la Banque Centrale Européenne

Cette exclusion structurelle inquiète au plus haut niveau. Ces dernières semaines, la Banque centrale européenne (BCE) n’a cessé d’avertir les superviseurs de la zone euro que l’émergence d’outils de la classe de Mythos modifie de manière fondamentale le paysage des menaces pour les institutions financières, et ce, peu importe qui possède ces accès.

Frank Elderson, membre du directoire de la BCE, a été très clair avec les banques ce mois-ci. Si des attaquants parviennent à se doter d’un modèle comparable à Mythos, les défenseurs qui en sont dépourvus se retrouveront irrémédiablement et structurellement dépassés. Dans ce climat de tension, la Bundesbank a apporté officiellement son soutien à Bruxelles pour accentuer la pression sur Anthropic, jusqu’ici sans succès.

Mistral et BNP Paribas - Le pari de l’alternative souveraine

C’est exactement dans ce vide stratégique que s’engouffre Mistral. L’entreprise française, qui trône déjà au sommet des sociétés européennes de modèles fondateurs en termes de financement, promeut activement une alternative souveraine depuis la mi-mai.

L’implication directe de BNP Paribas démontre de manière très concrète que le secteur bancaire européen est désormais prêt à utiliser la puissance de son bilan financier pour soutenir ce projet, plutôt que d’attendre passivement un hypothétique déblocage des négociations entre Bruxelles et Anthropic. Les fondations de cette collaboration sont d’ailleurs déjà solides. Les deux entreprises ont signé en février dernier un accord commercial de trois ans couvrant l’ensemble de la gamme de modèles existants de Mistral.

Des défis techniques au pragmatisme stratégique

Les capacités réelles de ce futur modèle cybernétique de Mistral restent encore à prouver. Sur la base des rapports publics actuels, aucune démonstration indépendante n’a encore validé le système. Mythos est un outil hautement spécifique, entraîné pour fusionner la découverte de vulnérabilités et la génération d’exploits en un seul flux de travail. Reproduire une telle prouesse sans avoir accès à la base de données de tests d’intrusion accumulée par Anthropic sera un défi de taille.

Pourtant, l’argumentaire présenté à la BNP et aux autres banques européennes potentielles fait preuve d’un grand pragmatisme. L’idée est qu’il vaut mieux disposer d’un modèle souverain à vocation défensive, même si ses capacités sont légèrement inférieures, plutôt que de n’avoir aucune défense face aux machines. Il s’agit également d’une police d’assurance indispensable au cas où les discussions entre l’Europe et Anthropic s’effondreraient définitivement.

Un schéma politique désormais classique

Ce rapport de force est révélateur d’une dynamique devenue très familière dans la politique tech européenne de ces douze derniers mois. Le schéma se répète, une entreprise américaine conçoit une capacité technologique de pointe, en limite l’accès de manière drastique pour des questions de sécurité ou d’intérêts nationaux, poussant ainsi nos institutions à tenter de construire d’urgence un équivalent domestique.

Cette logique de souveraineté a récemment dicté nos politiques concernant le cloud, les infrastructures de paiement et, de façon très médiatisée, la fabrication de semi-conducteurs. L’IA appliquée à la cybersécurité bancaire est tout simplement la dernière venue sur cette liste stratégique, et le tandem BNP Paribas-Mistral en représente le projet le plus en vue.