Quand un nouveau modèle d’intelligence artificielle pousse des régulateurs financiers du Canada, des États-Unis et du Royaume-Uni à discuter rapidement avec les dirigeants de grandes banques, ce n’est pas un simple détail de l’actualité techno. C’est un signal. Un vrai.

La semaine dernière, l’entreprise Anthropic a présenté Claude Mythos Preview, un modèle décrit comme particulièrement puissant en cybersécurité. Au point où son accès n’a pas été ouvert largement au public, mais plutôt encadré dans une initiative appelée Project Glasswing, avec des partenaires comme JPMorganChase, Microsoft, Google, Cisco et CrowdStrike. Selon Reuters, les autorités financières de plusieurs pays ont alors convoqué urgemment les grandes banques sous leur autorité afin d’échanger quant aux implications possibles de ce nouveau modèle pour leur sécurité.

Cette semaine, c’est OpenAI qui a emboîté le pas en dévoilant, encore ici en accès limité, son modèle GPT‑5.4‑Cyber.

Dit autrement : on commence à voir apparaître des modèles d’IA capables non seulement d’écrire des textes ou de résumer des réunions, mais aussi d’aider à trouver des failles, à tester des vulnérabilités et, potentiellement, à réduire le niveau d’expertise requis pour mener certaines attaques informatiques sophistiquées.

Anthropic présente son initiative comme un effort défensif visant à mieux sécuriser les logiciels et les infrastructures critiques. Mais le simple fait qu’on juge nécessaire de limiter l’accès à ce type d’outil montre bien qu’on vient de franchir une étape.

Pour monsieur et madame Tout-le-Monde, cela peut sembler loin. Après tout, peu de gens vont utiliser Claude Mythos ou GPT-5.4-Cyber. Mais ils vont vivre dans le monde que ce type de modèle contribue à créer.

Courir toujours plus vite

Et ce monde ressemble de plus en plus à ce que les théoriciens de l’innovation appellent l’hypothèse de la Reine rouge. L’idée, empruntée à Alice au pays des merveilles, est simple : dans certains environnements, il faut courir toujours plus vite simplement pour rester à la même place. En stratégie et en innovation, cela décrit très bien les contextes où chaque progrès d’un acteur force tous les autres à accélérer à leur tour, sans pour autant leur donner un avantage durable.

C’est exactement ce qui menace de se produire en cybersécurité. Si l’IA permet à des attaquants de repérer plus vite des vulnérabilités, de rédiger du code malveillant plus facilement ou d’automatiser certaines étapes d’une intrusion, alors les banques, les assureurs, les gouvernements et les grandes entreprises devront eux aussi investir davantage en IA défensive, en détection automatisée, en surveillance continue et en modernisation de systèmes vieillissants. Reuters souligne justement que le secteur bancaire demeure particulièrement sensible en raison de la complexité de ses infrastructures et de la présence de systèmes hérités du passé.

Autrement dit, une partie du progrès technologique ne contribuera pas à mieux servir le client, à accélérer les transactions ou à réduire les coûts. Elle servira simplement à empêcher que la situation ne se détériore. Voilà la vraie nouvelle.

On nous présente souvent l’IA comme un formidable moteur de productivité. Et elle le sera, dans bien des cas. Mais une part croissante de cette productivité risque d’être absorbée par une course défensive permanente. Plus d’algorithmes pour détecter les fraudes. Plus d’authentifications. Plus de vérifications. Plus de contrôles. Plus d’investissements en conformité. Plus de couches de sécurité pour compenser des outils qui rendent aussi certaines menaces plus accessibles. Ce n’est pas de la science-fiction. C’est la logique même d’une course à l’armement technologique.

Le consommateur, lui, n’en verra pas toujours la cause directe. Il verra plutôt les symptômes. Des connexions bloquées. Des opérations retardées. Des vérifications d’identité plus fréquentes. Des comptes gelés préventivement. De faux positifs. Peut-être aussi, à terme, des coûts refilés discrètement quelque part dans le système. Car lorsqu’une institution doit courir plus vite juste pour maintenir son niveau de sécurité, cette course a un prix.

Il y a ici une leçon plus large, qui dépasse les banques.

À l’ère de l’IA, l’innovation ne signifie pas automatiquement une amélioration nette. Elle peut aussi signifier une élévation du seuil minimal de survie. Hier, une organisation pouvait être jugée compétente si elle gérait correctement ses systèmes. Demain, elle devra démontrer qu’elle peut résister à des adversaires dopés à l’IA. Ce n’est pas la même barre. Et ce n’est pas la même facture.

Nos données hébergées dans nos dossiers de santé seront plus vulnérables et plus coûteuses à protéger. Votre compte Amazon deviendra plus difficile à prémunir contre les incursions et les achats frauduleux. Vos données fiscales courront plus de risques d’être récupérées et utilisées pour usurper votre identité.

C’est pour cela que l’affaire Anthropic mérite notre attention. Pas parce qu’un nouveau modèle ferait soudainement s’effondrer les banques. Mais parce qu’elle révèle quelque chose de plus profond : nous entrons dans une phase où les gains de l’IA ne seront pas seulement offensifs, commerciaux ou créatifs. Ils seront aussi concurrentiels, défensifs et profondément systémiques.

La vraie question n’est donc pas seulement de savoir si l’IA rendra nos institutions plus performantes. La vraie question est la suivante : combien d’énergie, d’argent et d’attention devrons-nous désormais consacrer à simplement garder le même niveau de sécurité, de stabilité et de confiance qu’hier ?

C’est ça, l’hypothèse de la Reine rouge version intelligence artificielle. Et elle vient peut-être juste d’accélérer.

© La Presse