Votre PME dans la ligne de mire : ce que l’annonce Glasswing change
Un nouveau modèle d’IA vient d’industrialiser la découverte et l’exploitation de failles logicielles critiques. Ce que ça signifie pour votre organisation — et ce que vous pouvez faire maintenant.
Le 7 avril 2026, Anthropic — l’entreprise qui développe l’assistant IA Claude, a annoncé que son nouveau modèle Claude Mythos Preview avait découvert des milliers de vulnérabilités critiques dans les logiciels les plus répandus : Windows, macOS, Linux, Chrome, Firefox, et des dizaines d’autres. Certaines dormaient depuis 27 ans. D’autres avaient résisté à des millions de tests automatisés. Mythos les a trouvées de façon largement autonome, pour quelques dizaines de dollars chacune.
Si vous dirigez une PME, ce texte explique pourquoi cette annonce vous concerne directement et ce que vous pouvez faire sans équipe de sécurité dédiée.
Partie 1 - Ce qui vient de changer, et pourquoi ça vous concerne
Les PME québécoises, cibles privilégiées depuis longtemps déjà
Commençons par corriger une idée reçue : les PME ne sont pas des cibles secondaires. C’est l’inverse et les données canadiennes le confirment clairement.
Selon un sondage KPMG Canada mené auprès de 735 dirigeants de PME en 2024, 72 % déclaraient avoir subi des cyberattaques au cours de l’année écoulée, contre 63 % l’année précédente. Plus des deux tiers ont payé une rançon au cours des trois dernières années. Au Québec comme ailleurs au Canada, les PME représentent plus de 60 % des victimes de cyberattaques, justement parce qu’elles sont moins bien protégées. Les attaquants ne cherchent pas les cibles les plus lucratives — ils cherchent les plus accessibles.
Les données canadiennes sont parlantes : 78 % des entreprises ont subi une cyberattaque réussie ; 59 % ont été victimes d’un rançongiciel ; et lorsqu’une rançon est payée, seulement 60 % des données sont en moyenne récupérées pour une rançon moyenne de 160 652 $ CAD. Les dépenses de rétablissement au Canada ont doublé entre 2021 et 2023, passant de 600 millions à 1,2 milliard de dollars. Et 66 % des PME canadiennes n’ont toujours pas de plan pour faire face à une attaque par rançongiciel. (Sources : CCCS / KPMG Canada / MicroAge Québec, 2023-2024.)
Ce que Mythos Preview vient modifier dans cette équation
Si les PME sont déjà des cibles fréquentes, pourquoi l’annonce Glasswing change-t-elle quelque chose ?
Parce qu’elle modifie fondamentalement la nature des attaques auxquelles toutes les organisations, incluant les PME, sont désormais exposées. Jusqu’ici, la grande majorité des attaques reposait sur des techniques simples : au Canada, 95 % des incidents proviennent de l’hameçonnage, des attaques opportunistes qui misaient sur le volume plutôt que sur la précision technique.
Ce que des modèles comme Mythos Preview rendent possible, c’est l’industrialisation de la découverte de vulnérabilités à travers l’ensemble de l’écosystème applicatif, les logiciels qu’utilisent toutes les organisations, grandes ou petites. Plus significatif encore : le modèle ne se contente pas de trouver des failles isolées. Il est capable d’enchaîner plusieurs vulnérabilités qui, prises individuellement, semblent relativement bénignes, pour construire une stratégie d’exploitation complète et sophistiquée. Le tout, de façon autonome, pour quelques dizaines de dollars, et sans que l’attaquant n’ait besoin d’une expertise technique particulière.
Avant ce type de modèle, développer une telle attaque demandait des semaines de travail d’un expert qualifié. Ce coût constituait une barrière implicite qui filtrait les cibles : une PME de 20 employés ne valait simplement pas cet investissement. Cette barrière est en train de disparaître. Le Centre canadien pour la cybersécurité (CCCS) confirme que le nombre d’incidents liés aux rançongiciels augmente au Canada et continuera d’augmenter chaque année — et l’arrivée de modèles comme Mythos ne va qu’accélérer cette tendance.
En chiffres
Avant Mythos : Claude Opus 4.6 réussissait à exploiter une faille dans Firefox 2 fois sur plusieurs centaines de tentatives. Avec Mythos Preview : 181 exploits fonctionnels sur la même base de tests. Ce n'est pas une amélioration progressive. C'est un changement de nature.
Pourquoi les PME québécoises restent particulièrement exposées
La vulnérabilité des PME québécoises face à ce nouveau contexte tient essentiellement à une contrainte structurelle : des ressources limitées à consacrer à la cybersécurité. Cette contrainte se manifeste surtout dans la diligence à maintenir les logiciels à jour, or c’est précisément là que réside leur plus grande exposition. Un parc applicatif mal entretenu, avec des mises à jour reportées faute de temps ou de personnel dédié, est une invitation permanente pour des attaquants qui, avec des outils comme Mythos, peuvent désormais scanner et exploiter ces failles de façon industrielle. En effet, 70 % des PME canadiennes déclarent ne pas disposer du personnel qualifié pour gérer leur cybersécurité, et 69 % estiment ne pas avoir les ressources financières nécessaires. (Source : KPMG Canada, 2024.)
À cela s’ajoute le risque de la chaîne d’approvisionnement. Le CCCS a confirmé qu’il est fort probable que les cybercriminels continuent de cibler les fournisseurs de services gérés pour maximiser la portée de leurs opérations. En 2021, une attaque contre un seul prestataire TI a permis de compromettre 60 fournisseurs de services et 1 500 de leurs clients en une seule opération. Si vous travaillez avec des clients ou partenaires plus grands que vous, vos systèmes non mis à jour peuvent devenir leur point de vulnérabilité.
Enfin, il y a le décalage entre perception et réalité : 75 % des PME canadiennes craignent que l’IA générative ne les rende plus vulnérables, mais 71 % traitent encore la cybersécurité comme une routine insuffisamment intégrée. Seulement 47 % se disent prêtes à faire face à une cyberattaque, même si 73 % ont déjà signalé au moins un incident. (Source : KPMG Canada / MSP Corp, 2024-2025.)
Partie 2 - Ce qui va se passer dans les prochains mois
Une double accélération à anticiper
La conséquence la plus concrète pour votre organisation : une double accélération, des deux côtés à la fois.
Du côté des éditeurs de logiciels, attendez-vous à recevoir plus de correctifs de sécurité, plus souvent, avec plus d’urgence. Les éditeurs vont utiliser ces mêmes modèles pour scanner massivement leur propre code et découvrir des vulnérabilités qu’ils n’auraient jamais trouvées autrement. Ils devront les corriger. Les cycles de mise à jour prévisibles, Patch Tuesday, mises à jour mensuelles, vont être remplacés par des correctifs d’urgence plus fréquents. Les mises à jour que vous reportez « parce que ça tombe au mauvais moment » vont devenir de plus en plus souvent des correctifs critiques qu’il serait dangereux d’ignorer.
Du côté des attaquants, la fenêtre entre la publication d’un correctif et son exploitation active se réduit drastiquement. Aujourd’hui, ce délai se compte en jours ou en semaines. Avec des outils de niveau Mythos, il pourrait se compter en heures. Reporter une mise à jour de deux semaines était une prise de risque acceptable il y a trois ans. Ce n’est plus le cas. Le CCCS et son Évaluation des cybermenaces nationales 2025-2026 confirment que le Canada est de plus en plus exposé à des acteurs qui combinent capacités étatiques et cybercriminalité opportuniste et que cette tendance s’accélérera.
Partie 3 - Ce que vous pouvez faire concrètement
La bonne nouvelle est sincère : vous n’avez pas besoin d’un budget exceptionnel ni d’une équipe dédiée pour réduire significativement votre exposition. Les mesures les plus efficaces sont aussi les plus accessibles. Elles demandent de la discipline et de l’organisation, pas des ressources extraordinaires. Et selon le CCCS lui-même, la grande majorité des cyberincidents peuvent être évités en appliquant des mesures de base.
Deux mises en garde importantes. D’abord, ne pas paniquer et tout changer d’un coup : les décisions précipitées créent souvent plus de vulnérabilités qu’elles n’en résolvent. Ensuite, ne pas déléguer entièrement à votre prestataire TI sans suivi : il ne peut pas décider à votre place qu’une interruption de service est acceptable pour appliquer un correctif urgent. La cybersécurité demande une décision organisationnelle, pas seulement une compétence technique.
En conclusion
La période qui s’ouvre sera plus difficile pour la cybersécurité en général, et les PME sont structurellement désavantagées. Mais les organisations qui développent dès maintenant les bons réflexes, appliquer les mises à jour rapidement, maintenir une hygiène de base, tester leur plan de reprise, seront dans une position structurellement meilleure dans 18 mois, indépendamment de la taille de leur budget sécurité.
La menace la plus probable pour votre PME reste le rançongiciel opportuniste qui exploite un système non mis à jour, ou l’hameçonnage qui compromet un compte sans authentification à deux facteurs. Ces menaces existaient avant Glasswing. Ce qui change, c’est que la fenêtre pour y remédier se rétrécit.
Quatre termes à connaître
Hameçonnage : technique qui consiste à tromper un employé pour lui soutirer ses identifiants ou l’inciter à cliquer sur un lien piégé. Premier vecteur d’attaque au Canada, impliqué dans 95 % des incidents.
Rançongiciel : logiciel malveillant qui chiffre les fichiers d’une organisation et exige une rançon. Menace la plus fréquente pour les PME canadiennes : rançon moyenne de 160 652 $ CAD, et seulement 60 % des données récupérées même après paiement.
Zero-day / N-day : un zero-day est une faille inconnue des développeurs (aucun correctif n’existe). Un N-day est une faille connue et corrigée, mais pas encore appliquée partout. La majorité des attaques réussies exploitent des N-days — d’où l’importance cruciale des mises à jour rapides.
Surface d’attaque : l’ensemble des points d’entrée potentiels dans vos systèmes. Chaque logiciel non mis à jour, chaque compte inutilisé, chaque service ouvert inutilement agrandit cette surface. La réduire est la défense la plus efficace et la moins coûteuse.
Sources principales
- Anthropic, Project Glasswing — anthropic.com/glasswing (7 avril 2026)
- Anthropic, Frontier Red Team Blog — red.anthropic.com/2026/mythos-preview (7 avril 2026)
- KPMG Canada, sondage PME canadiennes, 735 répondants — octobre 2024
- Centre canadien pour la cybersécurité, Évaluation des cybermenaces nationales 2025-2026 — cyber.gc.ca
- Centre canadien pour la cybersécurité, Vue d’ensemble des menaces par rançongiciel 2025-2027 — janvier 2026
- Statistique Canada, Enquête canadienne sur la cybersécurité et le cybercrime 2023 — octobre 2024
- MicroAge Québec, Cybermenaces nationales 2023-2024 — microage.ca/quebec
- MSP Corp, Se préparer à la prochaine vague de cyberattaques au Canada : 2026 et au-delà
Inscrivez-vous à l’infolettre Eficio et soyez le premier à recevoir notre actualité !