VectorCertain LLC a annoncé aujourd'hui la finalisation de la préparation du manuscrit du MYTHOS Playbook, une référence technique de 34 chapitres et 9 annexes conçue pour les RSSI, les architectes sécurité et les responsables de programmes de gouvernance IA qui mettent en œuvre les nouvelles directives conjointes des Five Eyes sur la sécurité de l'IA agentique. Le livre clôt aujourd'hui son cycle de développement de 17 sprints et sera publié en juin 2026. Une page de précommande est disponible sur vectorcertain.com.
Le 1er mai 2026, six agences nationales de cybersécurité représentant les cinq pays des Five Eyes—CISA, NSA, l'ASD ACSC australien, le Centre canadien pour la cybersécurité, le NCSC néo-zélandais et le NCSC britannique—ont publié conjointement « Careful Adoption of Agentic AI Services ». Il s'agit de la première directive de sécurité multi-gouvernementale coordonnée traitant spécifiquement des systèmes d'IA agentique, faisant passer le risque des agents autonomes de « problème émergent des fournisseurs » à une classification d'« infrastructure nationale critique ». La directive identifie cinq classes de risque : privilège, conception et configuration, comportemental, structurel et responsabilité.
Le contexte de marché dans lequel cette directive intervient est sévère. Gartner prévoit que les agents d'IA seront intégrés dans 40 % des applications d'entreprise d'ici fin 2026, contre moins de 5 % en 2025. Une brèche sur huit en entreprise implique désormais des agents d'IA—une augmentation de 340 % en glissement annuel, avec 78 % des agents compromis jugés sur-permissionnés. 88 % des organisations signalent des incidents de sécurité liés aux agents. L'analyse de 18 470 configurations d'agents en production a révélé que 98,9 % n'ont aucune règle de refus. Le Centre for Long-Term Resilience a documenté 698 incidents de tromperie IA dans le monde réel en une seule fenêtre de six mois—une augmentation de 4,9x, incluant une tromperie inter-modèles documentée.
Le MYTHOS Playbook comble l'écart entre l'intention politique et la mise en œuvre par les RSSI. Chaque classe de risque identifiée dans la directive des Five Eyes correspond à des chapitres et annexes spécifiques du MYTHOS Playbook. Pour les risques de privilège, la partie II délivre une architecture de moindre privilège brevetée à travers les portes de gouvernance MRM-CFS-SG et la couche de gouvernance d'accès AGL-SG. Pour les risques de conception et de configuration, les parties II et VI spécifient des modèles de conception sécurisée par défaut et un déploiement progressif aligné sur la recommandation des Five Eyes de « cas d'utilisation à faible risque et non sensibles d'abord », tandis que l'annexe G fournit une bibliothèque de 12 clauses pour les appels d'offres avec héritage. Pour les risques comportementaux, la partie III présente une taxonomie des menaces comportementales à sept vecteurs, et la partie IV fournit une méthodologie de détection statistique incluant HOTS Homology (précision de détection de tromperie de 81,4 %). Pour les risques structurels, le chapitre 8 spécifie le modèle de sécurité compositionnelle 8-2-8 pour le confinement des défaillances en cascade entre composants, et l'annexe C livre une matrice de 119 cellules croisant les mesures d'atténuation avec NIST AI RMF, OWASP LLM Top 10, OWASP Agentic Top 10, CRI FS AI RMF et MITRE ATLAS. Pour les risques de responsabilité, l'annexe F publie un échantillon complet d'enregistrement d'audit GTID avec preuve de falsification par chaîne de hachage, fournissant le schéma de journal exact dont les RSSI ont besoin pour satisfaire aux exigences de « chaque décision d'agent enregistrée ».
Le manuscrit du MYTHOS Playbook était structurellement complet en avril 2026—avant la publication de la directive conjointe des Five Eyes le 1er mai 2026. La rédaction a commencé en 2025. La taxonomie des risques comportementaux à sept vecteurs du Playbook a été dérivée indépendamment de l'analyse d'incidents réels, y compris des cas documentés tels que les 698 incidents de tromperie IA catalogués dans le rapport « Scheming in the Wild » du CLTR et la découverte de 1 brèche sur 8 de Digital Applied. Lorsque la directive des Five Eyes a été publiée, ses cinq classes de risque se sont alignées proprement sur les engagements structurels existants du Playbook. Aucune adaptation n'a été nécessaire. Cette convergence est significative sur le plan opérationnel : la taxonomie des risques des Five Eyes est le plancher politique ; la taxonomie des risques du MYTHOS Playbook est le plancher technique. Elles se sont alignées parce que le paysage des menaces sous-jacent est réel et observable.
Le livre est structuré en sept parties plus un ensemble de neuf annexes, totalisant environ 450 000 mots. Les annexes comprennent une feuille de calcul de matrice de confusion pour les calculs binomiaux exacts de Clopper-Pearson, une matrice de référence croisée, une bibliothèque de langage pour les appels d'offres, un échantillon d'audit GTID et une bibliographie annotée. Le portefeuille de brevets sous-tendant les engagements architecturaux du livre comprend 55 brevets (21 déposés à l'USPTO) dans une structure hub-and-spoke couvrant sept verticales, avec une valorisation consolidée selon trois cadres allant de 285 millions à 1,55 milliard de dollars.
Joseph P. Conroy, fondateur et PDG de VectorCertain LLC, a déclaré : « Les Five Eyes ont fait le dur travail politique—établir que le risque de l'IA agentique est une préoccupation de niveau sécurité nationale dans les cinq pays membres, simultanément. Le MYTHOS Playbook est le complément opérationnel : la référence technique qu'un RSSI peut remettre à un architecte sécurité, qui peut ensuite spécifier l'application des mesures au niveau du déploiement. Nous n'avons pas écrit un livre sur la directive des Five Eyes—nous avons écrit un livre sur le paysage des menaces sous-jacent, et la directive publiée par les Five Eyes est arrivée à la même taxonomie des risques indépendamment. Cette convergence est la validation la plus forte des deux documents. »
