Le concepteur a gardé le modèle en interne. Trois questions de gouvernance pour votre conseil de direction.

Un guide de montagne expérimenté peut exposer ses clients à de plus grands dangers qu'un guide novice. Non parce qu'il est moins prudent, mais parce qu'il est engagé pour des itinéraires plus exigeants. Il emmène ses clients dans les passages les plus difficiles, là où un guide moins expérimenté hésiterait. Une compétence accrue conduit à une exposition accrue au risque.

Cette analogie figure littéralement dans la fiche système qu'Anthropic a publiée le 7 avril 2026 au sujet de son nouveau modèle, Claude Mythos Preview. Le document compte 244 pages. Et le message est aussi inconfortable que limpide : un modèle d'IA plus capable peut, précisément en raison de ses capacités, causer des dommages à une échelle que les modèles précédents ne pouvaient atteindre. Non par malveillance, mais par excès de zèle.

Sur la base de ses propres recherches, Anthropic a choisi de ne pas mettre Mythos à la disposition générale. Pas d'API, pas de produit grand public, pas de déploiement étendu. Seul un petit nombre de partenaires sous conditions strictes, avec pour unique usage autorisé la cybersécurité défensive.

Pour un conseil de direction belge ou luxembourgeois qui se penche sur la politique en matière d'IA, ce document est pertinent à plusieurs égards. Non parce que votre organisation travaillera un jour avec Mythos (cela n'arrivera pas), mais parce que la manière dont Anthropic gère ce modèle constitue un exemple du type de gouvernance que l'EU AI Act attend de votre organisation.

Aucune obligation légale, un choix volontaire

Le détail le plus important du document figure dans une note de bas de page à la page 12. Anthropic y indique explicitement que la décision de ne pas publier Mythos ne découle pas de leur propre Responsible Scaling Policy. Aucune règle interne ne les y obligeait. Aucune loi externe ne l'exigeait. Anthropic aurait simplement pu déployer Mythos.

Ils ont choisi de ne pas le faire.

Ce détail change la nature de l'histoire. Nous ne regardons pas une organisation qui se conforme à des exigences imposées. Nous regardons une organisation qui prend ses responsabilités au-delà de ses propres règles. Et c'est précisément l'esprit de l'EU AI Act : la conformité comme minimum, non comme plafond.

1. La revue préalable au déploiement n'est pas un luxe

Avant la sortie de Mythos, Anthropic a introduit une nouvelle procédure qui n'existait pas pour les modèles précédents. Avant que le modèle ne devienne disponible en interne pour des outils agentiques, il a été bloqué pendant 24 heures. Pendant cette période, une équipe pluridisciplinaire issue des départements alignment, interpretability et security a fait tourner une douzaine de pistes d'évaluation parallèles : red-teaming, surveillance comportementale, replay de prompts antérieurs, et tests ciblés visant à vérifier si le modèle tentait d'obtenir des poids du modèle ou des clés cryptographiques.

Ce n'est qu'après le feu vert de cette équipe que le modèle a été déployé en interne.

Cela mérite d'être souligné. Il s'agit ici d'un usage interne du modèle par les développeurs eux-mêmes. Les personnes qui avaient construit le modèle. Anthropic a jugé prudent de ne laisser ses propres collaborateurs travailler avec ce modèle qu'après qu'une équipe de tests indépendante ait vérifié les comportements.

Le parallèle avec votre propre organisation est direct. Quels outils d'IA tournent aujourd'hui sur le poste de travail de vos collaborateurs ? Qui a évalué ces outils avant qu'ils n'entrent en usage opérationnel ? Quelle procédure existe-t-il si un fournisseur ajoute demain une nouvelle fonction d'IA à un outil existant, et que cette fonction s'active sans avertissement ? Qui détient le mandat de dire « attendez, il faut d'abord évaluer » ?

Pour la plupart des PME et des administrations locales, la réponse à cette dernière question est : personne. Les outils d'IA arrivent par des collaborateurs individuels, par des mises à jour de fournisseurs, par des extensions de navigateur. Personne ne les évalue de manière structurée avant qu'ils ne fassent partie du flux de travail. Une revue de 24 heures comme celle d'Anthropic dépasse les moyens de votre organisation. Mais la variante minimale, même pour une organisation de cinquante personnes, consiste en une courte liste d'évaluation pour chaque nouvel outil d'IA et un responsable désigné habilité à dire « non, pas comme ça ».

2. Les concepteurs reconnaissent l'incertitude de leur propre jugement

Un deuxième passage du document Mythos est particulièrement pertinent pour les conseils de direction. Anthropic écrit dans son propre résumé que leurs jugements sur les capacités des modèles reposent de plus en plus sur des appréciations subjectives plutôt que sur des résultats empiriques aisément interprétables. Et juste après : ils ne sont pas convaincus d'avoir identifié tous les problèmes liés à cette évolution.

Ce n'est pas un critique externe. C'est le concepteur lui-même. Qui dit : nos instruments de mesure ne suivent plus nos modèles, et nous ne savons pas avec certitude si nous avons vu toutes les failles.

Cette reconnaissance présente deux atouts pour votre conseil de direction.

Premièrement : elle invalide l'argument selon lequel les fournisseurs d'IA savent ce qui est sûr. Le meilleur fournisseur au monde admet lui-même que son étalon est insuffisant. Cela signifie qu'une confiance aveugle dans les déclarations des fournisseurs n'est pas une posture de gouvernance défendable. Votre propre jugement, étayé par une documentation interne et une approche structurée, n'est pas une prudence excessive mais un minimum.

Deuxièmement : elle vous donne un langage pour vos propres rapports de gestion. Si le concepteur lui-même rend l'incertitude explicite, votre organisation peut le faire aussi. Une politique en matière d'IA ne doit pas prétendre avoir cartographié tous les risques. Elle peut, et doit, être honnête sur ce qui reste inconnu. Une procédure de gestion des incidents IA qui dit explicitement « nous savons que nous passerons à côté de certaines choses, c'est pourquoi nous avons intégré cette boucle d'apprentissage » est plus crédible qu'une procédure qui promet de couvrir tous les risques.

3. L'écart de capacités s'élargit, une politique fondée sur hier ne tient pas

La troisième leçon de gouvernance porte sur le timing. Mythos est un modèle de frontière. Ce que Mythos peut faire aujourd'hui, les modèles largement disponibles que vos collaborateurs utilisent ne le font pas. Mais le motif observé ces cinq dernières années est que les capacités de la frontière descendent en grande partie dans les modèles largement disponibles dans un délai de douze à dix-huit mois.

Cela signifie qu'une politique en matière d'IA fondée sur ce que les modèles publics font aujourd'hui est structurellement en retard sur ce qu'ils feront demain. Non parce que les modèles évoluent plus vite que la politique, mais parce que la politique est généralement réactive : après un incident, après une mise à jour de fournisseur, après une plainte interne. Une politique réactive arrive trop tard si la courbe des capacités est plus pentue que la courbe administrative.

Ce que le document Mythos montre ici, c'est que même Anthropic, avec toutes ses ressources et son expertise interne, est parfois surpris par ce que ses propres modèles peuvent faire. Le document indique littéralement qu'ils n'étaient pas conscients du niveau de risque que représentaient les versions antérieures de Mythos lorsqu'ils les ont déployées en interne pour la première fois.

Cela plaide pour un autre type de gouvernance de l'IA : non une politique fondée sur ce que l'IA fait aujourd'hui, mais une politique qui décrit un processus pour évaluer les nouvelles capacités dès qu'elles apparaissent. Avec une cadence fixe de réévaluation. Avec des déclencheurs clairs (une mise à jour majeure de fournisseur, une nouvelle fonction d'IA dans un produit existant, un nouveau type d'incident dans votre propre secteur). Avec un responsable qui veille à cette cadence.

Trois questions pour votre conseil de direction

Sur la base de ce que montre le document Mythos, voici les trois questions auxquelles toute direction devrait pouvoir répondre cette semaine :

1. Qui dans notre organisation détient le mandat de dire « stop, évaluons d'abord » avant qu'un nouvel outil d'IA ou qu'une nouvelle fonction d'IA n'entre en usage opérationnel ?

2. Comment documentons-nous honnêtement ce que nous savons et ne savons pas sur les risques des outils d'IA que nous utilisons aujourd'hui ? Et cette documentation a-t-elle une date de révision fixe ?

3. Quel processus avons-nous mis en place pour réévaluer dans six ou douze mois si notre politique actuelle en matière d'IA est encore adaptée à ce que nos outils pourront faire à ce moment-là ?

Si la réponse à l'une de ces trois questions est « nous ne l'avons pas encore organisé », vous savez où se situe la prochaine étape.

Pour conclure

Ce type de discussion sur la gouvernance est précisément le cœur de ce qu'AIAdopt propose. Notre microformation pour responsables (M2) traite du type de prise de décision abordé dans cet article. Notre AI Adoption Assessment aide les organisations à cartographier leur usage actuel de l'IA.

Et comme preuve que nous mettons en pratique ce que nous enseignons : AIAdopt dispose de sa propre AI Usage Policy, de son AI Tool Inventory et de sa AI Incident Procedure depuis le 21 avril 2026, élaborés en appui de notre EU AI Pact pledge. Nous portons les lunettes que nous apprenons à nos clients à porter.

La fiche système Mythos complète est publiquement disponible sur anthropic.com. Ce n'est pas une lecture joyeuse, mais c'est l'un des documents les plus honnêtes que l'industrie de l'IA ait produits jusqu'ici. Et cela seul justifie de le prendre au sérieux.

Dans un article de suivi, nous quittons la salle du conseil et nous regardons ce qu'une IA capable fait concrètement de travers lorsque les instructions sont laissées trop larges. Non de manière abstraite, mais à partir des incidents concrets qu'Anthropic décrit ouvertement dans ce même document.