Colosses aux pieds d'argile ?
Anthropic a coup sur coup procédé à deux annonces qui ont fait l’effet de petits séismes sur les marchés financiers. Plusieurs grands noms de la cybersécurité ont ainsi vu leur cours de bourse chamboulé suite à l’annonce, vendredi, de Claude Code Security. Lundi, c’est le géant IBM qui a connu la plus mauvaise journée boursière de son histoire, en partie parce qu’Anthropic prétend désormais s’attaquer à l’une de ses chasses gardées : la modernisation des applications COBOL.
Si les études peinent encore à quantifier la contribution exacte de l’intelligence artificielle générative à l’économie réelle, son impact en matière de volatilité boursière n’est plus à démontrer. Anthropic vient d’en donner deux illustrations concrètes à quelques jours d’intervalle, avec deux annonces qui ont successivement fait vaciller les acteurs de la cybersécurité et IBM en bourse.
Claude Code Security bientôt concurrent des éditeurs spécialisés ?
Dévoilé le 20 février dernier, Claude Code Security se présente comme une nouvelle fonctionnalité intégrée à Claude Code, capable, selon Anthropic, de scanner des pans de code à la recherche de vulnérabilités.
Pour l’instant disponible sous forme de préversion limitée aux comptes Team et Entreprise, recommandée uniquement à des fins de recherche, l’outil ne se limite pas à la détection : il sait aussi suggérer des corrections logicielles à son validateur humain, de façon à « détecter et corriger les problèmes de sécurité que les méthodes traditionnelles ne parviennent souvent pas à identifier ».
D’après Anthropic, l’IA générative offre, dans le domaine cyber, une réelle avancée par rapport aux méthodes d’analyse statiques, qui reposent notamment sur la détection de motifs (des patterns) déjà identifiés au préalable :
« Claude Code Security se concentre sur les vulnérabilités critiques telles que la corruption de mémoire, les failles d’injection, les contournements d’authentification et les erreurs logiques complexes que les outils de correspondance de motifs ne détectent généralement pas. Il est particulièrement efficace pour identifier les vulnérabilités contextuelles qui nécessitent l’analyse du code dans plusieurs fichiers. »
Anthropic affirme que Claude Code Security est également capable de prendre du recul sur ses propres découvertes, avec un processus de vérification en plusieurs étapes, qui conduit à établir un score de sévérité et un indice de confiance, pour qu’une équipe humaine puisse ensuite déclencher, ou non, les éventuelles réponses suggérées.
Alors que le phénomène Openclaw illustre les dérives potentielles d’un agent IA laissé en roue libre, Anthropic insiste sur cette dimension de contrôle. L’entreprise présente par ailleurs son outil comme un complément, et non comme une alternative, aux outils de cybersécurité existants.
Sur la page dédiée, elle souligne que Claude Code Security a été testé (avec succès) sur son propre code, et promet que ces capacités d’analyse seront mises au service de la communauté open source. En guise de bonne foi (et de vitrine), Anthropic indique avoir découvert plus de 500 vulnérabilités au sein de logiciels courants, notamment open source, et promet une divulgation responsable au fur et à mesure que les mainteneurs ont mis en place les corrections nécessaires.
CrowdStrike, Datadog et consorts flanchent en bourse
Impossible, à ce stade, de juger de l’efficacité technique de Claude Code Security, ni de mesurer son éventuel impact sur le marché de la cyber. En bourse, l’annonce d’Anthropic a toutefois entraîné une réaction de défiance des investisseurs, avec une baisse immédiate de plus de 10 points du cours d’acteurs spécialisés comme CrowdStrike, Datadog ou Zscaler. Toujours sensible mardi, le mouvement de baisse a également affecté dans des proportions moindres le cours de Fortinet, Palo Alto Networks ou SentinelOne.
Sans préjuger des capacités de Claude Code Security, il convient toutefois de rappeler que ces sociétés, dont la valorisation se compte en dizaines de milliards de dollars, ont un portefeuille de produits et de solutions bien plus large que ce que promet Anthropic avec ce nouvel outil.
George Kurtz, CEO de CrowdStrike, a d’ailleurs choisi cet angle d’attaque pour tenter de minimiser l’impact de cette annonce. Sur LinkedIn, il explique ainsi avoir demandé à Claude Code de lui construire un produit destiné à remplacer CrowdStrike. Sans surprise, le modèle décline, et fait valoir, que la comparaison directe n’est pas valable.
Si les analystes financiers suivent globalement la même logique dans leurs recommandations sur le secteur, ils remarquent qu’à défaut de remplacer une plateforme de sécurité bout-en-bout, la promesse de Claude Code Security a tout de même de quoi fragiliser certains pans de l’activité.
Anthropic s’attaque à l’héritage COBOL
Non content d’avoir secoué le monde de la cyber, Anthropic a déclenché un nouvel épisode boursier lundi 23 février, en chahutant cette fois le cours d’IBM. L’action a en effet reculé de 13 % à Wall Street, soit près de 40 milliards de dollars de capitalisation effacés en une seule séance, du jamais vu dans l’histoire de Big Blue !
Cette baisse intervient dans un contexte de volatilité particulier, lié notamment aux incertitudes qui entourent les futurs plans de Trump sur les droits de douane, mais elle semble découler principalement d’un simple billet de blog.
Publié lundi par Anthropic, celui-ci décrit comment Claude Code peut intervenir dans la mise en œuvre d’un projet de modernisation de code COBOL. Rappelons que ce vénérable langage sous-tend encore de nombreux systèmes informatiques utilisés dans la banque, l’assurance, les services publics ou la finance de marché. Sa maintenance soulève un défi identifié de longue date : la formation de nouveaux mainteneurs, capables de remplacer les ingénieurs et développeurs ayant conçu ces systèmes il y a plus de 40 ans.
Comme nous le rappelions dans notre article dédié aux systèmes COBOL, le langage suppose une logique d’ingénierie différente de celle des projets informatiques modernes. Dans son billet, Anthropic fait valoir que Claude Code permet de reprendre la main sur un projet dont la documentation est partie avec les développeurs qui l’avaient conçue, notamment grâce à ses capacités d’exploration et de cartographie automatique de la base de code.
Anthropic reprend d’ailleurs à ce niveau l’un des arguments avancés dans le domaine de la cybersécurité, à savoir la capacité à aller plus loin que les modèles d’analyse statiques.
« Structures de données partagées, opérations de fichiers qui créent un couplage entre les modules, séquences d’initialisation qui affectent le comportement d’exécution – ces dépendances implicites n’apparaissent pas dans l’analyse statique parce qu’elles impliquent des données partagées par le biais de fichiers, de bases de données ou d’état global », décrit Anthropic.
Son billet de blog se conclut, comme souvent dans le monde du marketing BtoB, par un appel à laisser ses coordonnées pour télécharger un livre blanc, en l’occurrence un playbook dédié à la modernisation d’un projet COBOL vers « des langages modernes comme Java ou Python ».
« La modernisation du code existant a été bloquée pendant des années car comprendre ce code coûtait plus cher que de le réécrire. L’IA inverse cette équation », clame encore Anthropic. IBM ne dira pas nécessairement le contraire : Big Blue dispose depuis 2023 dans son propre catalogue de watsonx Code Assistant, une solution assistée par IA précisément dédiée à la modernisation des projets informatiques, dont le portage de COBOL vers Java…
Connexion
