Anthropic affirme ne disposer d’aucun moyen technique pour contrôler ou arrêter ses modèles d’IA une fois qu’ils ont été déployés par le gouvernement américain dans des environnements classifiés. L’argument figure dans un document judiciaire cité par Axios, au cœur d’un bras de fer avec le Pentagone sur la question du risque fournisseur et, plus largement, sur la gouvernance des IA utilisées dans des opérations sensibles.
La formulation est lourde de conséquences politiques et industrielles. Depuis deux ans, les grands éditeurs d’IA multiplient les promesses de garde-fous et de contrôle d’usage. Or, dans le monde classifié, les impératifs de sécurité, de cloisonnement et de souveraineté technique conduisent souvent à des déploiements déconnectés, où l’éditeur perd la main. La position d’Anthropic, telle que rapportée par Axios, revient à dire que le contrôle ex post, une fois le modèle installé derrière des murs de sécurité, n’est pas seulement difficile, il est structurellement hors de portée.
Une procédure fédérale en toile de fond, le Pentagone invoque un supply chain risk
Selon Axios, le différend se joue devant une juridiction fédérale à Washington, dans le cadre d’un appel où Anthropic conteste une décision du Département de la Défense. Le Pentagone a désigné l’entreprise comme un risque de chaîne d’approvisionnement, une qualification qui pèse lourd dans l’écosystème des contrats publics américains, surtout lorsque les systèmes visés touchent à des missions sensibles.
D’après Axios, une première demande d’Anthropic visant à suspendre cette désignation a déjà été rejetée. L’effet pratique est immédiat: la société ne peut pas participer à de nouveaux contrats avec le Pentagone pendant que le contentieux suit son cours, même si elle peut continuer à travailler avec d’autres administrations. Cette distinction souligne un point clé du marché fédéral: le Département de la Défense impose souvent des exigences et des procédures de validation plus strictes que le reste de l’appareil d’État, avec des conséquences directes sur l’accès aux programmes.
Le Pentagone, toujours selon Axios, reproche à Anthropic d’être inappropriately getting involved dans la manière dont sa technologie pourrait être utilisée dans des opérations militaires sensibles. Le désaccord n’est pas seulement commercial. Il touche à la répartition des responsabilités entre un éditeur qui veut encadrer l’usage de son modèle et un client souverain qui entend décider seul des conditions d’emploi, surtout en environnement classifié.
Pas de visibilité, pas de capacité technique: le cœur de l’argument d’Anthropic
Le passage le plus frappant du dossier, rapporté par Axios, tient en trois éléments: pas de visibilité, pas de capacité technique et pas de “kill switch” une fois le modèle déployé par le gouvernement. Autrement dit, Anthropic affirme qu’elle ne peut ni observer l’utilisation réelle du système, ni intervenir à distance pour le désactiver.
Sur le plan technique, l’argument s’inscrit dans une réalité connue des architectures sécurisées: lorsqu’un modèle est installé dans un environnement isolé, parfois dit air-gapped, l’accès réseau est restreint, les mises à jour sont contrôlées, et l’éditeur n’a généralement pas de canal d’administration à distance comparable à ce qui existe dans les services cloud grand public. Dans ce cadre, un bouton d’arrêt piloté par le fournisseur ressemble moins à une fonctionnalité manquante qu’à une propriété incompatible avec les exigences de sécurité du client.
Sur le plan politique, la phrase agit comme un contre-feu. Elle vise à contester l’idée que l’entreprise pourrait exercer un contrôle opérationnel sur des systèmes militaires. En creux, Anthropic plaide qu’elle ne peut pas être tenue pour responsable d’un contrôle qu’elle n’a pas, et qu’on ne peut pas lui reprocher de s’immiscer dans l’usage une fois la technologie livrée. C’est aussi une manière de déplacer le centre de gravité de la responsabilité vers l’intégrateur et l’utilisateur final, en l’occurrence l’État.
Le paradoxe des garde-fous: plus l’IA est cloisonnée, moins l’éditeur peut intervenir
Le débat met en lumière une tension qui traverse aujourd’hui les politiques d’IA: l’exigence de contrôle et l’exigence de cloisonnement tirent souvent dans des directions opposées. Les environnements classifiés recherchent l’isolement, la maîtrise locale, la traçabilité interne. Les éditeurs, eux, promeuvent des mécanismes de sécurité qui reposent fréquemment sur des mises à jour, des politiques d’usage centralisées, des systèmes de monitoring, voire des restrictions activées côté service.
Dans un déploiement on-premise ou souverain, les garde-fous doivent être embarqués: filtrage, journalisation, limites d’accès, contrôle des outils connectés, procédures d’homologation. Mais dès qu’une organisation demande une autonomie complète, l’éditeur perd les leviers qui permettent, dans le cloud, de corriger rapidement un comportement dangereux, de retirer une version, ou de bloquer certains usages. La controverse autour d’un kill switch illustre ce paradoxe: la possibilité d’un arrêt à distance rassure certains régulateurs, mais inquiète des clients souverains qui y voient une dépendance stratégique.
Ce point a une conséquence directe sur la manière dont les administrations devraient rédiger leurs contrats. Si l’éditeur ne peut pas arrêter le système une fois déployé, alors la sécurité repose davantage sur l’architecture interne, les contrôles d’accès, la segmentation des réseaux, la gouvernance des données et la formation des opérateurs. Le bouton d’arrêt devient une question d’ingénierie locale et de procédures opérationnelles, plus qu’une promesse commerciale.
Mythos, cybersécurité et contrôle des usages: Anthropic veut mettre les risques sur la table
Cette bataille judiciaire intervient alors qu’Anthropic communique sur une nouvelle génération de modèles. D’après Digital Journal, qui relaie des propos recueillis par l’AFP, l’entreprise prévoit de lay the risks out on the table autour d’un modèle baptisé Mythos, présenté comme doté de capacités avancées en cybersécurité. Guillaume Princen, responsable des relations avec l’écosystème à Paris, y décrit un modèle qui commence à dépasser l’humain dans certains domaines du cyber, ce qui pousse l’entreprise à restreindre sa diffusion.
Selon ce même article, Anthropic a retardé une mise à disposition générale et a d’abord partagé Mythos avec un cercle limité d’acteurs technologiques et financiers, citant notamment Nvidia, Amazon, Apple et JP Morgan Chase, pour tester et renforcer leurs dispositifs de sécurité. La logique est cohérente avec l’ADN safety revendiqué par l’entreprise: exposer les risques, organiser des tests, limiter l’accès, documenter les usages.
Mais l’affaire du kill switch rappelle que cette stratégie de limitation a ses frontières. Restreindre l’accès à un modèle est plus simple quand l’éditeur contrôle la distribution, l’hébergement et l’authentification. Dans un environnement classifié, l’État peut exiger une installation autonome, des poids de modèle livrés localement, ou une intégration dans une chaîne logicielle interne. À partir de là, l’encadrement dépend d’accords contractuels, de contrôles d’accès internes et de l’architecture de déploiement, pas d’une intervention de l’éditeur.
Un débat qui dépasse Anthropic, entre souveraineté militaire et responsabilité des éditeurs
Le dossier a aussi une dimension idéologique et politique. Business Insider rapporte que Steve Bannon a publiquement estimé qu’Anthropic avait had it right en rejetant un accord avec le Pentagone, plaidant pour une meilleure compréhension de la manière dont l’IA serait utilisée par l’industrie de défense. Le propos n’engage pas l’administration, mais il montre que la question de l’IA militaire est devenue un marqueur de lignes de fracture, y compris dans les cercles proches du pouvoir à Washington.
Au fond, deux modèles s’opposent. Le premier privilégie la souveraineté du client étatique: une IA déployée localement, contrôlée par ses propres équipes, sans dépendance à un fournisseur capable d’interrompre le service. Le second insiste sur la responsabilité des éditeurs: capacité à retirer un accès, à empêcher certains usages, à corriger rapidement des failles, à imposer des politiques d’utilisation. Les environnements classifiés poussent mécaniquement vers le premier modèle, même si les débats publics sur la sécurité de l’IA poussent vers le second.
Pour les administrations, la question devient opérationnelle: quelles exigences imposer à un fournisseur si celui-ci ne peut pas intervenir après livraison? Pour les entreprises, elle devient stratégique: accepter des déploiements totalement autonomes peut ouvrir des marchés, mais réduit la capacité à appliquer des politiques d’usage et peut accroître le risque réputationnel si le modèle est employé à des fins contestées. Pour les régulateurs, enfin, l’affaire souligne une limite: exiger un bouton d’arrêt universel n’a pas le même sens selon que l’IA est consommée comme un service cloud ou déployée comme un logiciel souverain.
Le point soulevé par Anthropic, tel que rapporté par Axios, ne règle pas le débat, il le déplace: dans les environnements classifiés, le contrôle ne se joue pas dans une console chez l’éditeur, il se joue dans les choix d’architecture, les procédures d’homologation et la doctrine d’emploi des systèmes d’IA par l’État.
