En avril 2026, Anthropic a annoncé Claude Mythos Preview, un modèle d'IA capable de découvrir de façon autonome des milliers de vulnérabilités jusqu'alors inconnues — dont une faille vieille de 27 ans dans OpenBSD, un système réputé pour sa solidité. Ce n'est pas un événement technique réservé aux équipes TI. C'est un événement de gouvernance qui concerne toute personne responsable des données d'autrui.
Ce qui a changé en avril 2026 — en termes simples
Pendant des années, la cybersécurité a fonctionné sur un postulat implicite : entre le moment où une vulnérabilité est découverte et le moment où elle est exploitée par un attaquant, il existe une fenêtre de réaction — quelques jours, parfois quelques semaines — pendant laquelle on peut appliquer un correctif. Cette fenêtre était l'oxygène des équipes de sécurité.
Avec Mythos, cette fenêtre se referme. Le modèle d'Anthropic — et il ne sera pas le seul — peut analyser un système, identifier ses failles et construire un exploit fonctionnel en une fraction du temps qu'il fallait à un expert humain. Anthropic a réagi en lançant Project Glasswing, une coalition de partenaires défensifs (AWS, Apple, Microsoft, Google, Cisco, Palo Alto Networks, entre autres) pour utiliser cette capacité à protéger les infrastructures critiques avant qu'elle ne tombe entre de mauvaises mains.
Comme l'observait récemment The Hacker News, nous entrons dans une ère où « patcher plus vite » ou « patcher mieux » ne suffit plus. La logique qui s'impose est celle de la présomption de brèche : partir du principe qu'une intrusion finira par avoir lieu, et bâtir sa défense pour la détecter et la contenir le plus rapidement possible.
De la cybersécurité à la protection des renseignements personnels
Pourquoi parler de cela à des DG de municipalités, des PDG de PME et des présidents de conseils d'administration d'OBNL ? Parce que la cybersécurité est, pour vous, presque toujours un dossier délégué. La protection des renseignements personnels, elle, ne l'est pas — et ne peut pas l'être.
Quand un rançongiciel chiffre vos systèmes, c'est un problème opérationnel. Quand les renseignements personnels de vos citoyens, clients ou bénéficiaires se retrouvent en circulation sur le web clandestin, c'est un problème de :
- Confiance — la relation avec les personnes concernées est durablement abîmée, souvent davantage que le bilan financier.
- Conformité — la Loi 25 impose des obligations strictes (notification, registre, mesures de mitigation) dont l'inobservation expose à des sanctions sévères.
- Responsabilité fiduciaire — les administrateurs ont un devoir de diligence envers les personnes dont l'organisation détient les renseignements.
- Réputation — un incident notifié publiquement, comme l'oblige la Loi 25 lorsqu'il y a un risque sérieux de préjudice, devient un événement médiatique.
Le retour des données issues de la fuite Desjardins, plusieurs années après l'incident initial, illustre une réalité que les dirigeants doivent intégrer : une fuite de données n'est pas un événement ponctuel. Les données volées circulent, sont revendues, recombinées avec d'autres fuites, et continuent de causer du tort pendant des années.
La Loi 25 face à l'IA : un filet qui se tend
La Loi sur la protection des renseignements personnels dans le secteur privé (P-39.1) et la Loi sur l'accès aux documents des organismes publics (A-2.1) — deux piliers de ce qu'on appelle communément la « Loi 25 » — n'ont pas attendu Mythos pour se durcir. Mais leur application devient particulièrement aiguë dans le contexte actuel.
Trois obligations qui prennent un sens nouveau
Les sanctions prévues à la Loi 25 atteignent 25 millions $ ou 4 % du chiffre d'affaires mondial, selon le montant le plus élevé. Les personnes lésées peuvent aussi exercer un recours civil avec dommages-intérêts punitifs minimaux de 1 000 $ par personne touchée.
L'angle mort : l'IA fantôme
Un phénomène mérite une attention particulière de la haute direction : l'IA fantôme (shadow AI). Selon la Cloud Security Alliance, citée récemment dans La Presse, environ quatre employés sur cinq dans le monde utilisent l'IA dans leur travail sans que la direction informatique en soit avisée. Chaque fois qu'un employé colle un courriel client, un dossier RH, un rapport interne dans un outil d'IA grand public, il pose potentiellement un acte non conforme à la Loi 25 — surtout si l'outil est hébergé aux États-Unis et donc soumis au CLOUD Act américain.
Vous ne pouvez pas évaluer le risque d'une pratique que vous ne voyez pas. C'est précisément le rôle d'une politique de gouvernance de l'IA — et c'est l'un des chantiers prioritaires que nous accompagnons chez nos clients.
Cinq actions concrètes à mettre en place dès ce trimestre
Aux dirigeants qui se demandent par où commencer, voici cinq priorités calibrées pour des organisations de taille moyenne — municipalités, PME, OBNL — qui n'ont généralement pas de RSSI dédié à temps plein.
Quels renseignements personnels détenez-vous ? Où sont-ils stockés ? Qui y a accès ? Combien de temps les conservez-vous ? Cette cartographie est le fondement de tout le reste — et elle est exigée par la Loi 25.
Au lieu de croire que vos défenses tiendront, organisez-vous pour qu'une intrusion soit détectée rapidement et contenue. Cela passe par des journaux, des outils de détection comportementale et des processus de réponse documentés et testés.
Une politique d'utilisation de l'IA, des outils approuvés, une formation de base sur ce qui peut ou ne peut pas être saisi dans un agent conversationnel. Sans cela, vous laissez vos employés naviguer à vue dans un cadre légal qu'ils ne maîtrisent pas.
Particulièrement pour tout transfert de données hors Québec, tout nouveau système informatique et tout outil d'IA utilisé dans un processus impliquant des renseignements personnels. L'ÉFVP n'est plus une formalité — c'est votre principale ligne de défense en cas de contrôle de la CAI.
Qui prend la décision de notifier la CAI ? Qui rédige le communiqué ? Qui parle aux médias ? Qui contacte les personnes concernées ? Ces décisions ne se prennent pas dans la panique, elles se documentent à froid. Un exercice de simulation par année, au minimum.
Le rôle de la haute direction n'a jamais été aussi central
Le livre blanc de la Cloud Security Alliance sur Mythos insiste sur un point que nous partageons : la gouvernance ne peut plus être traitée comme une couche posée par-dessus la technique. Elle doit être intégrée à la stratégie de l'organisation.
Concrètement, pour un président de CA d'OBNL, cela veut dire poser des questions à la direction générale — et exiger des réponses documentées. Pour un PDG de PME, cela signifie nommer formellement un responsable de la protection des renseignements personnels (c'est une obligation légale) et lui donner les moyens d'agir. Pour un DG de municipalité, cela passe par l'inscription du sujet à l'ordre du jour du conseil et une démarche structurée de mise en conformité.
L'erreur classique consiste à attendre l'incident pour se poser ces questions. Avec Mythos et les modèles qui le suivront, le délai entre « rien ne se passe » et « tout se passe » se compresse. La préparation, elle, prend du temps — quelques mois si elle est bien menée. Le calcul est simple.
Faire le point sur votre conformité Loi 25 et votre posture IA
Synéra accompagne les municipalités, les PME et les OBNL du Québec dans leur diagnostic de conformité Loi 25, leurs ÉFVP et la mise en place d'une gouvernance de l'IA adaptée à leur taille — sans jargon et sans surdimensionnement.
Pour aller plus loin
- Project Glasswing — Anthropic : la coalition défensive autour de Claude Mythos
- After Mythos: New Playbooks For a Zero-Window Era — The Hacker News
- Claude Mythos Preview — Anthropic Red Team : la documentation technique d'origine
- Cloud Security Alliance — AI Vulnerability Discovery and Containment
- Commission d'accès à l'information — Principaux changements de la Loi 25
- La Presse — L'IA fantôme et la Loi 25
- Ministère de la Cybersécurité et du Numérique du Québec
Forfaits Synéra mentionnés dans cet article
- Synéra Conforme — mise en conformité Loi 25 et accompagnement ÉFVP
- Synéra Vigile — surveillance et conformité continue
- Synéra 360 — gestion TI complète et conformité intégrée
- Synéra Check — audit ponctuel de votre posture
Suivre l'auteur et Synéra
Cet article est rédigé à des fins d'information générale et de sensibilisation. Il ne constitue pas un avis juridique. Pour toute question relative à votre situation spécifique, communiquez avec Synéra ou avec votre conseiller juridique.