Essayez l'outil gratuitement

Essayer
Gouvernance
Veille7 min de lecture

Affaire Mythos : quand un modèle frontière révèle les angles morts de la souveraineté régulatoire canadienne

Anthropic a restreint son modèle Mythos à un cercle fermé d'entreprises américaines, a été pénétrée dès le premier jour, et le Canadian AI Safety Institute n'y a pas accès. Le Québec et le Canada découvrent les limites d'une gouvernance qui n'a droit qu'au regard extérieur.

FB
Florian Brobst
Fondateur & Directeur · 23 avril 2026

Un modèle que personne, au Canada, n'a le droit d'examiner

Le 7 avril 2026, Anthropic a annoncé Claude Mythos Preview, un modèle frontière si performant en cybersécurité offensive que l'entreprise a jugé imprudent d'en autoriser la diffusion publique. Selon la firme californienne, Mythos peut identifier de manière autonome des vulnérabilités inédites, générer des exploits fonctionnels et enchaîner des opérations cyber complexes avec un minimum d'intervention humaine.

Plutôt que de publier le modèle, Anthropic l'a versé à une initiative à accès contrôlé baptisée Project Glasswing, réunissant une quarantaine d'entreprises triées sur le volet, toutes établies aux États-Unis : Amazon, Microsoft, Apple, Google, JPMorgan Chase, CrowdStrike, Palo Alto Networks. À ce jour, aucune organisation canadienne n'y figure. Ni le Canadian AI Safety Institute (CAISI), connu en français sous l'acronyme ICSIA, ni les grandes banques canadiennes, ni le Centre canadien pour la cybersécurité ne font partie du dispositif. La CISA américaine elle-même a reconnu publiquement ne pas y avoir accès.

Trois semaines de bascule

La séquence des faits résume le dilemme que Mythos pose aux régulateurs.

  • 7 avril : Anthropic dévoile le modèle et annonce la non-publication. Project Glasswing est présenté comme un dispositif de diffusion responsable.
  • 15 avril : Des représentants de la Commission européenne rencontrent Anthropic, sans obtenir d'accès direct.
  • 21 avril : Axios révèle que la CISA américaine n'a pas accès au modèle, contrairement à la NSA.
  • 22 avril : Euronews et CBS News rapportent qu'un groupe privé lié à un serveur Discord a obtenu un accès non autorisé, en combinant des identifiants légitimes détenus par un sous-traitant et la reconstitution des conventions de nommage d'Anthropic. L'entreprise confirme enquêter, tout en soulignant que la brèche proviendrait d'un environnement tiers.

Quinze jours après la présentation du dispositif, le modèle jugé trop dangereux pour le grand public circule hors du périmètre prévu. Pour les régulateurs, le message est double : l'auto-régulation par un fournisseur privé, aussi soignée soit-elle, ne suffit pas; et les gouvernements hors boucle apprennent l'incident par la presse.

Ottawa : une lecture « responsable », une critique interne

Interrogé par The Globe and Mail, le ministre canadien de l'Intelligence artificielle et de l'Innovation numérique, Evan Solomon, a qualifié l'approche d'Anthropic de « responsable ». La décision de ne pas diffuser publiquement le modèle illustrerait, selon lui, une prise de conscience des fournisseurs quant aux risques des capacités frontières.

La lecture est nettement plus critique du côté du Canadian AI Safety Institute. Nicolas Papernot, co-directeur du programme de recherche de l'ICSIA et chaire du CIFAR, a résumé la position scientifique de l'institut en une formule lapidaire : « Le statu quo où les entreprises privées décident quels modèles sont publiés est nuisible pour la société. » L'argument n'est pas idéologique : il rappelle que toute décision de non-publication confiée exclusivement à un acteur privé soustrait à la délibération publique et scientifique une question qui engage la sécurité collective.

Les régulateurs financiers sortent du bois

L'onde de choc a rapidement atteint le secteur financier, dont les systèmes critiques figurent parmi les cibles les plus exposées.

Le gouverneur de la Banque du Canada, Tiff Macklem, a indiqué qu'un comité rassemblant le Bureau du surintendant des institutions financières (BSIF), le ministère des Finances, le Centre canadien pour la cybersécurité et des experts des grandes banques s'est déjà réuni à deux reprises pour évaluer les implications systémiques du modèle. Le ministre des Finances François-Philippe Champagne a qualifié Mythos de « test case » pour la capacité des gouvernements à réagir aux nouvelles technologies.

À Toronto, le patron de la Commission des valeurs mobilières de l'Ontario (OSC), Grant Vingoe, est allé plus loin à une conférence Bloomberg : une technologie aussi transformatrice que les modèles frontières pourrait exiger « un environnement réglementaire sur mesure », et non plus l'approche « neutre du point de vue technologique » appliquée jusqu'ici.

Au Québec, cette dynamique rencontre un écosystème déjà mobilisé. L'Autorité des marchés financiers a publié le 7 avril sa ligne directrice finale sur l'IA, applicable le 1er mai 2027. Les dirigeants de conformité des banques et caisses établies au Québec doivent désormais composer avec deux réalités : un cadre régulatoire local qui se précise, et des modèles dont les caractéristiques essentielles peuvent échapper à toute inspection extérieure.

Peut-on gouverner ce qu'on n'a pas le droit d'examiner ?

L'affaire Mythos dépasse la cybersécurité et rejoint les travaux du Conseil de l'innovation du Québec et de l'OBVIA sur le cadre de gouvernance de l'IA. Lorsqu'un acteur privé américain décide unilatéralement des conditions d'accès à un modèle stratégique, les leviers traditionnels des régulateurs canadiens et québécois vacillent. Les évaluations techniques indépendantes, la certification par des tiers, la vérification des obligations de Loi 25 sur les décisions automatisées : toutes ces pratiques supposent un accès au système. Sans cet accès, la gouvernance se réduit à une lecture à distance des fiches techniques fournies par le fournisseur.

L'Union européenne dispose, via l'AI Act et son code de bonnes pratiques pour les modèles à usage général, de leviers juridiques pour réclamer documentation et évaluation des modèles à risque systémique (article 55). Le pouvoir d'enquête de la Commission entrera pleinement en vigueur le 2 août 2026. Le Royaume-Uni, de son côté, a obtenu un accès direct par l'AI Security Institute, qui a publié sa propre évaluation des capacités cyber de Mythos.

Le Canada ne dispose ni de l'un ni de l'autre. L'ICSIA, créé fin 2024 avec 50 millions de dollars de financement sur cinq ans, reste tributaire d'accès consentis au cas par cas. La future loi canadienne sur l'IA, dont le dépôt a été repoussé par le ministre Solomon au-delà de son échéance du premier trimestre 2026, pourrait combler ce vide : c'est même, pour plusieurs observateurs, l'un de ses enjeux centraux.

Ce que l'épisode change pour les organisations québécoises

Pour les équipes de conformité au Québec, trois constats émergent. La diligence contractuelle envers les fournisseurs d'IA générative devra intégrer des clauses plus explicites sur l'accès aux évaluations de sécurité et les procédures de notification en cas d'incident chez un sous-traitant. Les obligations de Loi 25 sur la prise de décision automatisée (article 12.1) supposent la capacité de documenter la logique d'une décision : un modèle dont les caractéristiques techniques restent inaccessibles complique sérieusement cet exercice. La souveraineté numérique, telle que définie dans l'Énoncé de politique adopté par Québec en février, ne se joue pas uniquement sur l'hébergement : elle se joue aussi sur la capacité des institutions publiques à examiner les systèmes employés par l'administration et les entreprises réglementées.

À suivre

Le 2 août 2026 marquera l'entrée en vigueur des pouvoirs d'enquête de la Commission européenne sur les fournisseurs de modèles à usage général. À une date encore indéfinie, le ministre Solomon devra déposer son projet de loi canadien sur l'IA : c'est dans ce texte que se mesurera si l'affaire Mythos aura servi de déclencheur pour un véritable pouvoir d'examen des modèles frontières, ou si le Canada se résignera à une gouvernance de témoin.

Sources

Partager :
FB
Florian Brobst
Fondateur & Directeur

Spécialiste en gouvernance de l’intelligence artificielle, Florian accompagne les organisations dans la mise en place de cadres de gouvernance responsables et conformes aux réglementations émergentes.

Articles similaires

Veille23 avril 2026

L'AMF pose ses règles sur l'IA : ce que la ligne directrice du 7 avril change pour la finance québécoise

Veille23 avril 2026

Superordinateur public d'IA : Ottawa ouvre l'appel à 890 M$, quelle place pour le Québec ?

Veille22 avril 2026

Canada et IA : le ministre Solomon à la traîne, l'Institut de sécurité en première ligne

Restez informé

Abonnez-vous à notre infolettre pour ne rien manquer.

Nous contacter

Ce site utilise des cookies essentiels et fonctionnels pour améliorer votre expérience. Politique de confidentialité