La cybersécurité devient un jeu de tokens La cybersécurité devient un jeu de tokens: dépenser pour se défendre et pour déceler les failles, un équilibre qui s’évalue comme une contrainte budgétaire. La cybersécurité par tokens est devenue une grille d’analyse qui replace la défense informatique dans une logique économique.
La cybersécurité par tokens est devenue une grille d’analyse qui replace la défense informatique dans une logique économique. Selon l’analyse du modèle Mythos d’Anthropic par l’AI Security Institute, sécuriser un système revient à dépenser des tokens pour trouver des exploits ; les attaquants dépensent aussi des tokens pour en exploiter, et la partie se joue sur le rapport coût/récompense. Le benchmark The Last Ones pousse ce raisonnement jusqu’au bout en simulant une attaque réseau complexe en 32 étapes: Mythos a complété le parcours dans trois tentatives sur dix, chacune avec un budget de 100 millions de tokens. Autour de ce scénario, un cycle de développement en trois phases prend forme: développement, revue de code, puis hardening autonome limité par le budget.
Ce que signifie ce constat pour la cybersécurité
Le principe est simple en apparence: si déceler des vulnérabilités coûte cher, les défenseurs doivent optimiser chaque dépense. Le coût en tokens devient une métrique opérationnelle qui juxtapose les ressources consacrées à la détection et à la correction avec les ressources mobilisées par les attaquants. Cela ne dit pas que l’objectif est d’augmenter sans fin les dépenses, mais qu’il faut concevoir des mécanismes de sécurité qui réduisent exponentiellement les opportunités d’exploitation tout en maîtrisant le coût des contre-mesures.
Dans ce cadre, les chercheurs insistent sur la nécessité d’un cycle itératif et mesuré: les équipes peuvent afficher des gains de sécurité plus rapidement lorsque les phases de développement et de revue intègrent des contrôles de coût et des validations répétées, plutôt que de s’en remettre à des plans de défense réactifs. Le modèle Mythos illustre aussi que la sécurité ne peut pas être pensée uniquement comme une couche unique; elle se construit comme une chaîne où le hardening est conditionné par des budgets et des objectifs concrets.
Le cadre Mythos et le benchmark “The Last Ones”
Anthropic présente Mythos comme un cadre d’évaluation de sécurité reposant sur des scénarios d’attaque simulés. The Last Ones impose une progression en 32 étapes et fixe un budget de 100 millions de tokens par tentative. Sur dix essais, Mythos a réussi dans trois cas, ce qui met en évidence des écarts importants entre les hypothèses de détection et les capacités réelles de remédiation dans un cadre budgétaire strict. Le constat ne vise pas une promesse de sécurité absolue, mais la mise en évidence d’un équilibre entre dépense en défense et potentiel d’exploitation.
Cette démonstration invite à discuter non seulement des mécanismes techniques, mais aussi de la manière dont les coûts se répartissent entre développement, revue et durcissement. Le fait que seul un modèle ait franchi la barre dans ce cadre restreint rappelle que les environnements réels restent plus complexes et que les coûts de défense ne peuvent pas être réduits à une métrique unique.
Le cycle de développement en trois phases
Le cadre suggère un cheminement en trois étapes fondées sur une gestion explicite des ressources:
- Développement : conception des contrôles et des mécanismes de détection, avec une attention particulière portée à l’anticipation des motifs d’attaque et à l’évaluation des coûts de déploiement.
- Revue de code : validation par des pairs et tests de sécurité, afin de repérer les vulnérabilités et d’estimer leur coût de correction dans le budget alloué.
- Hardening autonome : renforcement des systèmes via des processus automatisés capables d’opérer dans les limites budgétaires établies, sans dépendance exclusive à l’intervention humaine.
Cette logique n’impose pas une réduction des talents humains, mais une répartition plus transparente des efforts et des coûts. Elle encourage aussi des cycles plus courts, où chaque itération apporte une réduction mesurable du risque et du coût potentiel d’exploitation.
Ce que cela change pour les équipes et les organisations
Adopter ce cadre implique de considérer la sécurité comme un paramètre budgétaire autant qu’un enjeu technique. Les équipes doivent définir des seuils d’alerte et des budgets dédiés au hardening, tout en garantissant la traçabilité des coûts et des résultats. L’approche pousse à:
- Prioriser les investissements sur les contrôles qui réduisent le coût global d’exploitation des attaques.
- Automatiser les verrous de sécurité lorsque c’est possible, afin d’alléger la charge humaine et de limiter les variations de coût.
- Rendre les retours métriques plus visibles: quelles actions, à quel coût, et quel gain en sécurité?
À moyen terme, cela peut favoriser une culture de sécurité à la fois plus proactive et plus mesurable, où les décisions ne se fondent plus uniquement sur des impondérables techniques, mais aussi sur des chiffres et des budgets réels.
Limites et questions en suspens
Le cadre repose sur des scénarios simulés et des budgets abstraits. Dans la pratique, les architectures, les chaînes d’approvisionnement et les surfaces d’attaque réelles restent plus hétérogènes que les tests ne le laissent penser. Une dépense élevée en sécurité ne garantit pas l’immunité, et une réduction des coûts ne doit pas affaiblir les contrôles critiques. Il faut aussi veiller à ce que la dépendance à l’automatisation n’occulte pas les besoins humains en supervision et en raisonnement contextuel.
Pour terminer
La perspective offerte par Mythos et The Last Ones pousse à repenser la cybersécurité sous l’angle économique sans renoncer à l’ingénierie. Si les tokens deviennent une métrique opérationnelle, elles n’éliminent pas le besoin d’expertise et d’analyse fine. Ce cadre peut, à condition d’être appliqué avec discernement, aider les équipes à rendre la sécurité plus tangible, mesurable et adaptée à des environnements en constante évolution.
