Deux grands acteurs français, l’opérateur télécoms Orange et le groupe bancaire Crédit Agricole, seraient en négociation pour rejoindre Glasswing, le projet ultra-confidentiel d’Anthropic dédié à la cybersécurité par intelligence artificielle. L’initiative, réservée à environ deux cents organisations mondiales triées sur le volet, vise à détecter et neutraliser les vulnérabilités informatiques à grande échelle avant toute exploitation malveillante.
Glasswing, un dispositif de cybersécurité IA à accès très restreint
Crédit Agricole et Orange, deux piliers de l’économie française, seraient actuellement en discussions avec la société américaine Anthropic en vue d’intégrer le programme Glasswing, un projet d’intelligence artificielle appliquée à la cybersécurité de haute intensité. Le directeur de la transformation technologique du Crédit Agricole a confirmé que l’établissement bancaire est « en train de rentrer dans le projet Glasswing », précisant que les échanges avec Anthropic portent notamment sur les questions cyber. Orange, de son côté, serait également en négociation, bien que l’opérateur ait refusé tout commentaire public sur le sujet.
Glasswing s’articule autour d’un outil baptisé Mythos, un logiciel d’intelligence artificielle conçu pour identifier et corriger massivement les failles de sécurité informatique à l’échelle mondiale, avant que des acteurs malveillants ne parviennent à les exploiter. L’ambition affichée est considérable : automatiser la détection de vulnérabilités dans des systèmes complexes, en mobilisant la puissance de traitement de modèles d’IA de dernière génération. Ce type de capacité représente un changement de paradigme dans l’approche défensive des grandes organisations, qui peinent traditionnellement à anticiper les failles zero-day dans des environnements informatiques toujours plus étendus et hétérogènes.
La sélectivité du programme constitue l’un de ses traits les plus distinctifs. Anthropic limite l’accès à Glasswing à un cercle d’environ deux cents organisations mondiales, soigneusement choisies parmi les géants technologiques, les opérateurs d’infrastructures critiques relevant des secteurs de la finance, de l’énergie ou de la santé, ainsi que des institutions et agences étatiques. Cette architecture fermée vise à garantir un niveau de confiance maximal entre les participants et à prévenir toute diffusion non contrôlée des capacités offertes par l’outil.
Des secteurs stratégiques français au cœur du dispositif de cybersécurité
L’intérêt manifesté par le Crédit Agricole et Orange n’est pas anodin au regard de leur positionnement sectoriel respectif. Premier groupe bancaire français par le total de bilan et l’un des plus importants d’Europe, le Crédit Agricole opère des infrastructures numériques critiques traitant quotidiennement des volumes considérables de transactions financières et de données personnelles sensibles. Une compromission de ses systèmes aurait des répercussions immédiates sur des millions de clients particuliers et professionnels, ainsi que sur la stabilité du système financier national.
Orange, en sa qualité d’opérateur télécoms historique, administre quant à lui une partie substantielle des réseaux de communications électroniques français et européens. À ce titre, il figure parmi les opérateurs d’importance vitale identifiés par les autorités nationales, soumis à des obligations renforcées en matière de résilience et de protection contre les cyberattaques. Son éventuelle intégration à Glasswing s’inscrirait naturellement dans cette logique de sécurisation des infrastructures de premier rang.
La démarche de ces deux entreprises intervient dans un contexte de montée en puissance des menaces cybernétiques ciblant les acteurs économiques et institutionnels européens. Les attaques par ransomware, les intrusions étatiques et les campagnes d’espionnage industriel se sont intensifiées ces dernières années, poussant les organisations à rechercher des solutions technologiques capables d’offrir une longueur d’avance sur des adversaires de plus en plus sophistiqués. L’intelligence artificielle s’impose progressivement comme le levier central de cette course technologique défensive.
La souveraineté numérique européenne à l’épreuve des partenariats américains
L’orientation vers Anthropic, société américaine fondée en 2021 et désormais l’un des acteurs majeurs de l’IA générative mondiale, soulève néanmoins des interrogations légitimes sur le plan de la souveraineté numérique européenne. Confier une partie de la détection et de la correction de failles critiques à un outil développé et contrôlé outre-Atlantique implique une forme de dépendance technologique dont les implications stratégiques méritent d’être pesées avec soin, en particulier pour des entités opérant dans des secteurs régulés et sensibles.
Cette tension entre efficacité opérationnelle et autonomie stratégique est au cœur des débats qui traversent les institutions européennes depuis plusieurs années. La directive NIS2, entrée en vigueur à l’échelle de l’Union européenne, renforce les obligations de cybersécurité pour les entités essentielles et importantes, tout en laissant aux organisations une marge de manœuvre dans le choix de leurs solutions techniques. Dans ce cadre, le recours à des outils américains de pointe n’est pas interdit, mais il doit s’inscrire dans une gestion rigoureuse des risques de dépendance et de transfert de données.
La question se pose également en termes industriels : si des champions français de la stature du Crédit Agricole ou d’Orange s’appuient sur des solutions étrangères pour sécuriser leurs infrastructures les plus sensibles, quel espace de développement reste-t-il pour les acteurs européens de la cybersécurité cherchant à émerger dans ce segment à haute valeur ajoutée ? La réponse appartient en partie aux décideurs publics, appelés à définir les conditions dans lesquelles les partenariats technologiques transatlantiques peuvent se nouer sans compromettre les objectifs d’autonomie stratégique que l’Europe s’est fixés.
Pour l’heure, ni Orange ni le Crédit Agricole n’ont formalisé publiquement leur adhésion au programme Glasswing. Les discussions en cours illustrent toutefois l’attractivité croissante des solutions d’IA appliquées à la cybersécurité et la volonté des grandes organisations françaises de ne pas rester à l’écart des dispositifs les plus avancés, quand bien même ceux-ci émanent d’acteurs extra-européens.
