OpenAI a annoncé l'octroi d'un accès à son outil de cybersécurité GPT-5.5 Cyber à neuf grandes banques britanniques, une décision qui intervient alors que celles-ci se heurtent à un refus d'accès à l'outil concurrent Claude Mythos, développé par Anthropic. Les deux modèles d'intelligence artificielle sont conçus pour identifier des vulnérabilités cachées dans les systèmes numériques et surpassent les humains dans certaines tâches de piratage et de cybersécurité.
L'annonce a suscité des réactions contrastées dans le secteur financier. Le gouverneur de la Banque d'Angleterre, Andrew Bailey, avait indiqué la semaine précédente que les banques britanniques ne pouvaient toujours pas accéder à Mythos pour tester la sécurité de leurs propres systèmes et applications. L'outil d'Anthropic avait été dévoilé en avril et avait provoqué des remous : la société affirmait avoir découvert une faille dans un système existant qui était restée invisible pendant près de trente ans. Depuis, plusieurs ministres des Finances, banquiers centraux et financiers ont exprimé de vives inquiétudes, craignant que le modèle ne compromette la sécurité de l'ensemble des systèmes financiers.
Un accès sélectif et payant
Les établissements qui bénéficieront désormais de GPT-5.5 Cyber incluent Lloyds Banking Group, HSBC et Nationwide. NatWest et Santander disposaient déjà d'un accès dans le cadre d'accords antérieurs. OpenAI a précisé que l'outil ne serait pas rendu accessible à tous, à l'instar de Mythos. « Le principal avec ces outils, c'est qu'ils doivent être entre les mains des bonnes personnes », a déclaré l'ancien chancelier de l'Échiquier George Osborne, aujourd'hui cadre dirigeant chez OpenAI. « Nous voulons nous assurer que les forces qui établissent l'ordre dans nos démocraties disposent de ces outils, et que les forces qui veulent nous perturber ou commettre des crimes n'en aient pas. » Il a également indiqué qu'Andrew Bailey ne l'avait pas contacté directement à ce sujet.
OpenAI facture l'utilisation de son modèle, tout comme Anthropic, qui avait toutefois injecté 100 millions de dollars dans les préversions de Mythos. Anthropic avait initialement ouvert l'accès à un groupe de 42 entreprises, principalement des sociétés technologiques américaines. OpenAI s'est montré plus généreux en élargissant l'accès à l'Union européenne ainsi qu'à des banques au Japon et au Canada.
Performances comparables et vigilance humaine requise
L'Institut de sécurité de l'intelligence artificielle (AI Security Institute) a testé les deux modèles et conclu dans un rapport qu'ils atteignaient « un niveau de performance similaire » dans les tâches confiées. Le professeur Alan Woodward, expert en cybersécurité à l'université de Surrey, a souligné l'efficacité de ces outils : « Je ne m'attends pas nécessairement à ce qu'ils découvrent des choses que les humains ne trouveraient pas un jour, mais ils sont implacables et incroyablement minutieux pour trier les millions de lignes de code que contiennent les seules applications bancaires. » Il a ajouté qu'au Royaume-Uni, une partie du code exécuté par les systèmes bancaires est très ancienne, et que l'IA serait très utile pour y repérer des problèmes. « Ils peuvent accomplir en quelques minutes un travail qui prendrait des semaines », a-t-il précisé, tout en notant qu'ils génèrent aussi des faux positifs, ce qui nécessite de maintenir un humain dans la boucle pour vérifier les résultats.
La question de l'accès à ces puissants outils de cybersécurité reste au cœur des préoccupations des autorités financières, alors que les banques britanniques cherchent à renforcer leurs défenses face à des menaces numériques croissantes.
