Souveraineté, IA, Mythos et imputabilité

avril 20, 2026 René-Sylvain Bédard

Auteur(e)

René-Sylvain Bédard

Chroniqueur, Culturemania ; PDG et fondateur, Indominus Sécurité Gérée ; Expert Microsoft ; Auteur de « Conçu pour être SÉCURE »

Quand un créateur freine la diffusion de sa propre IA, ce n’est plus une question de marketing — c’est un signal faible qui devient fort. Un nouveau modèle d’intelligence artificielle, baptisé Mythos, agite déjà les cercles en cybersécurité. Faut-il s’en inquiéter? Avons-nous les clés pour y faire face? Notre expert René-Sylvain Bédard vous propose une chronique sur les quatre sujets dont il compte débattre à ITSec 2026, le rendez-vous TI et cyber de Saint-Hyacinthe, qui commence cette semaine.

ITSec 2026 se tient à Saint-Hyacinthe du 20 au 22 avril, sous le thème « Quand l’IA défend nos mondes numériques ». Il tombe à point : les trois dernières semaines ont plus déplacé la ligne de front en cybersécurité que les trois dernières années. Ce qui suit n’est pas un compte-rendu, c’est une mise en bouche. Quatre sujets qui se tiennent entre eux : la souveraineté, l’IA en cyberdéfense, les nouveaux modèles de frontière cyber, et la cohérence entre nos outils et l’imputabilité des dirigeants. Ce dernier point est le fil de ma conférence.

« Pour une fois, ce n’est pas un slogan creux : la défense commence vraiment à pouvoir aller plus vite que l’attaque. »

1. Souveraineté : séparer le vrai de l’épouvantail

Dès qu’on a senti du sang dans l’eau autour du Cloud Act, les requins sont arrivés avec leurs « clouds souverains ». Rappel utile avant de signer quoi que ce soit : le premier hyperscaler à avoir investi des milliards en sol canadien, c’est Microsoft. Et nous ne produisons ici ni serveurs, ni stockage, ni OS, ni réseautique. Le soi-disant cloud souverain québécois tourne sur du matériel américain. La souveraineté, quand on la prend au sérieux, c’est un écosystème industriel — pas un slogan.

C’est exactement sous cet angle qu’il faut regarder le partenariat Québec-CGI annoncé le 8 avril. CGI est déjà solidement installée dans les centres de données gouvernementaux; ce n’est pas la qualité de CGI qui m’intéresse, c’est la mécanique de la nouvelle entité mixte. Quel régime de transparence opérationnelle et financière obtiendrons-nous en retour? Quel champ d’application au secret commercial sur ce qui relevait, jusqu’ici, du domaine public? Le glissement d’imputabilité ne se joue pas dans le communiqué — il se joue dans les clauses.

Pendant qu’on s’écharpe sur le slogan, la souveraineté opérationnelle, elle, existe déjà et fonctionne : BYOK, Confidential Computing, enclaves matérielles, clauses contractuelles serrées. Vous gardez la clé privée, vous gardez la main. La bonne question n’est donc pas « sommes-nous souverains? » — c’est « sommes-nous en contrôle? ». Et celle-là, contrairement à l’autre, a des réponses concrètes.

2. L’IA en cyberdéfense : le discours est enfin à la hauteur

« Quand l’IA défend nos mondes numériques », annonce ITSec. Pour une fois, ce n’est pas un slogan creux : la défense commence vraiment à pouvoir aller plus vite que l’attaque. Le signal politique suit. Le 17 avril, trois jours avant l’événement, le Centre canadien pour la cybersécurité a lancé RIEFIM — Résilience des infrastructures essentielles face à l’intensification des menaces. L’État a pris position, avec un cadre opérationnel; à nous de voir qui, dans la salle, y est déjà branché.

Côté outils, l’IA fait enfin son travail là où elle doit : corrélation SIEM, détection comportementale UEBA/XDR, triage SOC, réponse assistée par agents. Mais il y a un dossier qu’on n’ouvre pas. On sait modéliser le comportement d’un humain sur un réseau. On ne sait pas modéliser celui d’une machine. Un agent IA qui tourne 24/7 avec ses clés, ses jetons et son accès à un pan complet du SI n’a pas, aujourd’hui, de ligne de base digne de ce nom. C’est là que se jouera le prochain cycle d’attaques : comptes de service qui font soudain 1 000 fois ce qu’ils faisaient hier, et personne qui lève les yeux. C’est le trou que je veux entendre nommer à Saint-Hyacinthe.

3. Mythos, GPT-5.4-Cyber : les modèles de frontière arrivent

Et ce trou arrive au moment précis où deux coups lourds viennent d’être joués. Le 7 avril, Anthropic dévoile Claude Mythos Preview, distribué sous Project Glasswing — coalition restreinte regroupant Microsoft, Amazon, Apple, Google, CrowdStrike, Palo Alto et une quarantaine d’autres. Une semaine plus tard, OpenAI riposte avec GPT-5.4-Cyber et son programme Trusted Access for Cyber, élargi à des milliers de défenseurs vérifiés. Aucun des deux laboratoires ne distribue son modèle comme un produit grand public. C’est, en soi, un changement de régime.

Et c’est ici que la question de la souveraineté retombe sur ses pieds. Les deux coalitions passent par Microsoft, Amazon, Google, Oracle, NVIDIA — exactement les acteurs qu’on nous propose parfois de fuir. Microsoft investit, à elle seule, 10 G$ en R&D chaque année, soit l’équivalent de dix projets SAAQ par an. Nous n’avons pas les moyens de l’autarcie. La souveraineté ne disparaît pas pour autant : elle change de plan. Ce qui sépare les organisations demain n’est plus l’outil qu’elles achètent, c’est la coalition à laquelle elles sont adossées — et ce qu’elles font le jour où cet accès change.

4. Cohérence des outils et imputabilité des dirigeants

Et cette coalition, à son tour, ramène la conversation au dernier sujet — celui que je porterai sur scène. Depuis quinze ans, nous empilons des outils comme des couches de peinture : EDR, SIEM, SOAR, CNAPP, DLP, PAM, IGA, ITDR. Chaque acronyme se défend seul. L’empilement, lui, ne défend plus personne — et surtout pas la personne qui signe, qui répond devant le C.A. et, de plus en plus, devant un tribunal. Les tableaux de bord sont lisibles par ceux qui les ont construits; les décisions, elles, sont réclamées à quelqu’un d’autre. Ce n’est plus un problème d’outils, c’est un problème de cohérence.

Wendy Nather a nommé cet écart dès 2011 : la cybersecurity poverty line. Un seuil sous lequel une organisation n’a tout simplement pas les moyens — ressources, expertise, outillage — de se défendre raisonnablement. Quinze ans plus tard, la ligne bouge. Avec l’arrivée des modèles de frontière, ce n’est plus seulement votre budget qui détermine de quel côté vous êtes : c’est votre accès à une coalition comme Glasswing ou TAC. Des organisations qui étaient au-dessus hier se retrouvent en dessous demain, sans avoir rien changé chez elles.

Et c’est pour ça que la prochaine vraie percée en cybersécurité ne sera pas technique, elle sera linguistique. Il faut traduire la cyber dans le registre du C.A. — continuité d’affaires, risque financier, réputation, responsabilité personnelle des administrateurs. Pas en MITRE ATT&CK, pas en CVE, pas en taux de faux positifs. On ne peut pas demander l’imputabilité à un dirigeant sans lui donner l’intelligibilité. Sinon, l’imputabilité reste une fiction comptable.

Quatre questions pour Saint-Hyacinthe

Les quatre sujets forment une seule grille de lecture : le « où » (souveraineté), le « comment » (IA défensive), le « avec quoi » (modèles de frontière), le « pour qui » (cohérence outils-imputabilité). D’où les quatre questions que je laisse, à nous tous, pour Saint-Hyacinthe :

1. Du côté de la transparence opérationnelle : détenez-vous vos propres clés, et vos données sont-elles véritablement sous votre contrôle?

2. Pour ce qui est de l’IA au cœur de vos cyberdéfenses, à quel point avez-vous avancé sur ce sujet?

3. Quel sera l’impact des nouveaux modèles de frontière cyber sur la sécurité de votre entreprise?

4. Vous, propriétaires d’entreprise : vous sentez-vous bien servis par vos outils cyber?

Rendez-vous à Saint-Hyacinthe du 20 au 22 avril. Venez me donner raison. Ou me faire changer d’idée.