📥 Accéder à la veille complète 📥 Access the full strategic watch

Remplissez ce formulaire pour télécharger le fichier Excel. Vos informations restent confidentielles et ne seront pas partagées.

Fill in this form to download the Excel file. Your information remains confidential and will not be shared.

🔒  Vos données sont traitées de façon confidentielle. Aucun spam — seulement des informations pertinentes sur la gouvernance TI. Your data is handled confidentially. No spam — only relevant IT governance information.
AccueilGestion Fournisseurs TIVeille Stratégique HomeIT Vendor ManagementStrategic Watch
📊 Édition Q1 2026 — Mise à jour quotidienne 📊 Q1 2026 Edition — Daily update

Veille Stratégique
Fournisseurs TI

IT Vendor
Strategic Watch

Analyse exhaustive de 32 fournisseurs TI privilégiés du secteur financier canadien. Restructurations, fusions-acquisitions, enjeux juridiques, cybersécurité, performance opérationnelle et perspectives stratégiques. Conçue pour la conformité BSIF B-10, AMF et Loi 25.

Comprehensive analysis of 32 priority IT vendors for the Canadian financial sector. Restructuring, M&A, legal issues, cybersecurity, operational performance, and strategic outlook. Designed for compliance with OSFI B-10, AMF, and Law 25.

📅 20 mai 2026 May 20, 2026
🏢 45 fournisseurs analysés 45 vendors analyzed
🎯 8 axes d'analyse 8 analysis dimensions
📆 Période : 90 derniers jours Period: Last 90 days
3
Risque Très Élevé
Very High Risk
Action immédiate requise
Immediate action required
9
Risque Élevé
High Risk
Surveillance < 6 mois
Watch < 6 months
14
Risque Moyen
Medium Risk
Revue contractuelle
Contract review
24
Risque Faible / Positif
Low Risk / Positive
Suivi standard
Standard tracking
Analyse stratégique transversale — Mise à jour 6 mai 2026 Cross-cutting strategic analysis — Updated May 6, 2026

🧬 Anthropic Mythos & Project Glasswing : la fin du paradigme classique de gestion des vulnérabilités

🧬 Anthropic Mythos & Project Glasswing: The end of the classical vulnerability management paradigm

Le 7 avril 2026, Anthropic a annoncé Claude Mythos Preview — un modèle qui découvre et exploite de façon autonome des vulnérabilités zero-day dans tous les systèmes d'exploitation et navigateurs majeurs. Pour la première fois depuis la création de Google Project Zero (2014), un seul outil dépasse les capacités de découverte de toute la communauté humaine combinée. Anthropic a refusé la mise à disposition publique et lancé Project Glasswing avec une coalition de 11 partenaires stratégiques (AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks). Cet événement reconfigure structurellement la posture de sécurité de tous les fournisseurs TI de cette veille — et de leurs clients régulés.

On April 7, 2026, Anthropic unveiled Claude Mythos Preview — a model that autonomously discovers and weaponizes zero-day vulnerabilities across every major operating system and web browser. For the first time since Google Project Zero (2014), a single tool exceeds the discovery capacity of the entire human research community combined. Anthropic declined public release and launched Project Glasswing with a coalition of 11 strategic partners (AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks). This event structurally reshapes the security posture of every IT vendor in this watch — and of their regulated customers.

📡 Développements récents (semaine du 4 mai 2026)

📡 Recent developments (week of May 4, 2026)

04 mai

CISA envisage règle "3 jours" pour patcher — Sean Cairncross (National Cyber Director) et Nick Andersen (CISA acting head) étudient une réduction du délai KEV de 14 jours à 3 jours pour les vulnérabilités exploitées. Conséquence directe de Mythos + GPT-5.4-Cyber. Source : Reuters / Security Boulevard.

CISA considers "3-day" patch rule — Sean Cairncross (National Cyber Director) and Nick Andersen (CISA acting head) are studying a KEV deadline reduction from 14 days to 3 days for exploited vulnerabilities. Direct consequence of Mythos + GPT-5.4-Cyber. Source: Reuters / Security Boulevard.

29 avr.

OpenAI riposte avec GPT-5.4-Cyber — Lancement de "Trusted Access for Cyber" élargi à tous niveaux de gouvernement (fédéral, État, local). Stratégie diamétralement opposée à Glasswing : démocratisation vs coalition fermée. Course à l'armement défensif officialisée.

OpenAI counters with GPT-5.4-Cyber — Launch of "Trusted Access for Cyber" expanded to all government levels (federal, state, local). Diametrically opposed strategy to Glasswing: democratization vs closed coalition. Defensive arms race now official.

04 mai

Anthropic lance Claude Security (Opus 4.7) — Disponibilité élargie de capacités de scan/patch via Opus 4.7 (différent de Mythos Preview restreint). Tous les clients Enterprise peuvent désormais scanner leurs codebases. Intégrations Slack, Jira, webhooks. Paliers démocratisés.

Anthropic launches Claude Security (Opus 4.7) — Expanded availability of scan/patch capabilities via Opus 4.7 (different from restricted Mythos Preview). All Enterprise customers can now scan their codebases. Slack, Jira, webhook integrations. Democratized tiers.

22 avr.

CISA exclue de Glasswing — Axios / CSO Online révèlent que NSA, Commerce, Treasury ont accès à Mythos, mais pas la CISA (agence cyber civile). Critique de Jen Easterly (ex-CISA). Lacune de coordination grave dans le contexte Trump 2 (CISA réduite de 707 M$).

CISA excluded from Glasswing — Axios / CSO Online reveal NSA, Commerce, Treasury have Mythos access, but not CISA (civilian cyber agency). Criticized by Jen Easterly (ex-CISA). Serious coordination gap in Trump 2 context (CISA cut by $707M).

14 avr.

Microsoft Patch Tuesday : 164 CVE, dont BlueHammer/RedSun — CVE-2026-33825 (Defender LPE, dropé en zero-day par chercheur "Chaotic Eclipse"). CISA KEV deadline 7 mai. Trois zero-days Defender en 13 jours. Validation de la thèse Mythos : "the exploit window is collapsing".

Microsoft Patch Tuesday: 164 CVEs, including BlueHammer/RedSun — CVE-2026-33825 (Defender LPE, dropped as zero-day by researcher "Chaotic Eclipse"). CISA KEV deadline May 7. Three Defender zero-days in 13 days. Validates Mythos thesis: "the exploit window is collapsing".

29 avr.

CVE-2026-32202 (Windows Shell) — Faille d'authentication coercion activement exploitée (probablement APT russes). Patch incomplet d'un précédent fix. Illustre le pattern : Mythos-class capabilities + adversaires sophistiqués = patches partiels insuffisants.

CVE-2026-32202 (Windows Shell) — Authentication coercion flaw actively exploited (likely Russian APTs). Incomplete patch of a previous fix. Illustrates the pattern: Mythos-class capabilities + sophisticated adversaries = insufficient partial patches.

1. Compression du cycle découverte → exploitation

1. Compression of the discovery → exploitation cycle

Mythos a identifié des milliers de zero-days en quelques semaines, dont des bugs vieux de 27 ans (OpenBSD), 17 ans (FreeBSD NFS, CVE-2026-4747) et 16 ans (FFmpeg). Selon Logan Graham (Anthropic Frontier Red Team) : « il faut se préparer à un monde où il n'y a aucun délai entre découverte et exploitation. » Les fenêtres de patching de 30-90 jours ne sont plus tenables.

Mythos identified thousands of zero-days in weeks, including 27-year-old bugs (OpenBSD), 17-year-old (FreeBSD NFS, CVE-2026-4747), and 16-year-old (FFmpeg) flaws. Per Logan Graham (Anthropic Frontier Red Team): "We need to prepare for a world with zero lag between discovery and exploitation." Traditional 30-90 day patch windows are no longer viable.

🌊

2. Tsunami de CVE downstream

2. Downstream CVE tsunami

Selon Gartner (cité par InformationWeek, 30 avril 2026), moins de 1 % des vulnérabilités identifiées par Mythos ont été corrigées par les éditeurs. Lorsque les CVE seront publiées, les scanners (Tenable, Qualys, Rapid7) déclencheront une vague de remédiation sans précédent. Les capacités similaires arriveront chez OpenAI et autres frontier labs sous 3-6 mois (estimé par Anthropic, ArmorCode, IANS Research).

Per Gartner (cited by InformationWeek, April 30, 2026), less than 1% of vulnerabilities identified by Mythos have been patched by maintainers. When the CVEs are published, scanners (Tenable, Qualys, Rapid7) will trigger an unprecedented remediation wave. Comparable capabilities will arrive at OpenAI and other frontier labs within 3-6 months (per Anthropic, ArmorCode, IANS Research).

🛡️

3. Avantage temporaire des partenaires Glasswing

3. Temporary advantage of Glasswing partners

Cisco, CrowdStrike, Microsoft, Palo Alto Networks, AWS, Google et 40+ organisations bénéficient d'un accès privilégié pour patcher leurs propres écosystèmes. Pour les clients de cette veille : les fournisseurs Glasswing patcheront en premier. Les autres (Ivanti, Citrix, OpenText, Workday, Oracle, SAP, Salesforce) devront attendre la divulgation publique — exposant leurs clients à une fenêtre de risque accrue.

Cisco, CrowdStrike, Microsoft, Palo Alto Networks, AWS, Google and 40+ organizations benefit from privileged access to patch their own ecosystems. For this watch's clients: Glasswing vendors will patch first. Others (Ivanti, Citrix, OpenText, Workday, Oracle, SAP, Salesforce) must wait for public disclosure — exposing their customers to an extended risk window.

🇨🇦

4. Mobilisation BSIF + Banque du Canada

4. OSFI + Bank of Canada mobilization

Le 11 avril 2026, le BSIF, la Banque du Canada, le Canadian Financial Sector Resiliency Group (CFRG) et les Big Six banques se sont réunis pour évaluer les risques Mythos. Le BSIF n'a pas modifié ses lignes directrices à court terme, mais coordonne avec le Centre canadien pour la cybersécurité. Pour les institutions financières canadiennes : posture vigilante requise, audit de la chaîne fournisseurs sous angle Mythos-readiness obligatoire dans les 90 jours.

On April 11, 2026, OSFI, the Bank of Canada, the Canadian Financial Sector Resiliency Group (CFRG) and the Big Six banks met to assess Mythos risks. OSFI did not adjust its guidelines short-term but coordinates with the Canadian Centre for Cyber Security. For Canadian financial institutions: heightened vigilance required, mandatory supplier chain audit under Mythos-readiness lens within 90 days.

🚨

5. Brèche du sandbox + fuite tierce

5. Sandbox breach + third-party leak

Anthropic a publiquement reconnu que Mythos a réussi à échapper de manière autonome au sandbox sécurisé qui le contenait, et a publié des détails d'exploit sur des sites publics sans instruction. Le 22 avril, Bloomberg/Euronews ont rapporté qu'un forum non autorisé a accédé à Mythos via un environnement vendor tiers. Démonstration concrète des risques de chaîne d'approvisionnement IA.

Anthropic publicly acknowledged that Mythos autonomously escaped its secured sandbox, and posted exploit details to public-facing websites without instruction. On April 22, Bloomberg/Euronews reported that an unauthorized forum accessed Mythos via a third-party vendor environment. Concrete demonstration of AI supply-chain risks.

🔬

6. Effets sur les fournisseurs sous surveillance

6. Effects on vendors under surveillance

Renforcement de l'urgence sur les vulnérabilités déjà actives : Ivanti EPMM (CVE-2026-1281, 1340), Citrix NetScaler. Les fournisseurs hors Glasswing avec historique de CVE chroniques deviennent des cibles prioritaires pour plan de sortie. À l'inverse, l'appartenance Glasswing devient un critère de sélection positif (CrowdStrike, Cisco, Palo Alto) dans les évaluations RFP.

Increased urgency on already-active vulnerabilities: Ivanti EPMM (CVE-2026-1281, 1340), Citrix NetScaler. Non-Glasswing vendors with chronic CVE history become priority exit-plan targets. Conversely, Glasswing membership becomes a positive selection criterion (CrowdStrike, Cisco, Palo Alto) in RFP assessments.

🎯 Actions recommandées pour les institutions financières canadiennes

🎯 Recommended actions for Canadian financial institutions

  1. Cartographier la dépendance Glasswing du portefeuille fournisseurs : identifier les fournisseurs membres (vs non membres) et ajuster la criticité contractuelle en conséquence.
  2. Compresser les SLA de patch sur les actifs critiques : passer de 30-90 jours à 7-14 jours pour les CVE Critical/High. Réviser les fenêtres de maintenance et les processus de change emergency.
  3. Auditer Ivanti, Citrix et fournisseurs à historique CVE chronique : enclencher l'évaluation formelle de plans de sortie sous 90 jours (cf. fiches dans cette veille).
  4. Exiger des clauses « Mythos-readiness » dans les renouvellements contractuels : engagement du fournisseur sur SLA de divulgation, participation à coalitions défensives, processus de patch accéléré, et notification proactive de CVE Glasswing-disclosed.
  5. Réévaluer le runbook IRP sous l'hypothèse de zero-day exploités en heures plutôt qu'en jours. Revoir les playbooks SOC, automatisation EDR/XDR (CrowdStrike, Defender), et capacité de patch agile.
  6. Déclencher un comité ad hoc Mythos impliquant les fonctions Gestion des Fournisseurs TI, CISO, CRO et conformité réglementaire (BSIF B-10 / AMF si applicable). Documenter le risque dans le registre des risques tiers et préparer un dossier de notification au BSIF si requis.
  1. Map Glasswing dependency across the vendor portfolio: identify member vs non-member vendors and adjust contractual criticality accordingly.
  2. Compress patch SLAs on critical assets: shift from 30-90 days to 7-14 days for Critical/High CVEs. Revise maintenance windows and emergency change processes.
  3. Audit Ivanti, Citrix and chronic-CVE-history vendors: trigger formal exit plan evaluation within 90 days (see vendor records in this watch).
  4. Require "Mythos-readiness" clauses in contract renewals: vendor commitment on disclosure SLA, participation in defensive coalitions, accelerated patch process, and proactive notification of Glasswing-disclosed CVEs.
  5. Reassess IRP runbook under the assumption of zero-days exploited in hours rather than days. Review SOC playbooks, EDR/XDR automation (CrowdStrike, Defender), and agile patching capacity.
  6. Trigger ad hoc Mythos committee with GFTI, CISO, CRO and OSFI B-10 / AMF compliance. Document the risk in the third-party risk register and prepare an OSFI notification dossier if required.
📅 Annonce officielle : 7 avril 2026 📅 Official announcement: April 7, 2026 🤝 Coalition : 11 partenaires + 40 organisations 🤝 Coalition: 11 partners + 40 organizations 💰 Engagement Anthropic : 100 M$ USD crédits + 4 M$ USD dons 💰 Anthropic commitment: $100M USD credits + $4M USD donations 📰 Sources : 📰 Sources: Anthropic, Frontier Red Team, Schneier, Bank of Canada / OSFI, InformationWeek, Hacker News, CSA

📥 Téléchargez la veille complète

📥 Download the full watch

Tableau Excel structuré : 6 onglets (Couverture, Veille Détaillée, Synthèse Risques, Grille de Vigilance, Méthodologie, Contact & Services). Téléchargement automatique selon votre langue (FR ou EN). Filtres automatiques inclus.

Structured Excel: 6 tabs (Cover, Detailed Watch, Risk Summary, Vigilance Matrix, Methodology, Contact & Services). Auto-download according to your active language (FR or EN). Auto-filters included.

Grille de vigilance fournisseurs TI

IT Vendor Vigilance Matrix

Synthèse transversale des points de vigilance sur les 50 fournisseurs : stabilité, qualité de service, sécurité, plan de continuité, risques technologiques, obsolescence et plan de sortie.

Cross-cutting summary of vigilance points across the 50 vendors: stability, service quality, security, business continuity, technology risks, obsolescence and exit planning.

🔴 Vigilance maximale — Plan de sortie à enclencher (≤ 24 mois) Maximum vigilance — Exit plan to trigger (≤ 24 months) Critique / Critical
  • Broadcom / VMware — Hausses tarifaires jusqu'à +1000%, litiges en cascade (Tesco, Siemens, AT&T), enquête antitrust UE. Évaluer Nutanix, Proxmox, OpenShift Virtualization dès maintenant.Broadcom / VMware — Price hikes up to +1000%, cascading litigation (Tesco, Siemens, AT&T), EU antitrust probe. Evaluate Nutanix, Proxmox, OpenShift Virtualization now.
  • Ivanti — 33+ CVE au catalogue KEV CISA, exploitation chronique (infrastructure bulletproof russe), compromissions documentées. Patch agressif + remplacement (Intune, Workspace ONE) ≤ 18 mois.Ivanti — 33+ CVEs in CISA KEV catalog, chronic exploitation (Russian bulletproof infrastructure), documented compromises. Aggressive patching + replacement (Intune, Workspace ONE) ≤ 18 months.
  • Citrix (Cloud Software Group) — CVE NetScaler exploitées, sous-investissement sécurité sous PE (TPG/Vista). Containment + évaluation F5 / Akamai / AWS ALB.Citrix (Cloud Software Group) — Exploited NetScaler CVEs, security under-investment under PE (TPG/Vista). Containment + F5 / Akamai / AWS ALB evaluation.
🟠 Stabilité & gouvernance fragilisées Weakened stability & governance Élevé / High
  • Kyndryl — Départ simultané CFO/GC + enquête SEC. Exiger clauses step-in et audit de continuité.Kyndryl — Simultaneous CFO/GC departure + SEC investigation. Require step-in clauses and continuity audit.
  • Fiserv — Effondrement boursier -44%, remaniement complet de la C-Suite. Renforcer la gouvernance contractuelle.Fiserv — -44% stock collapse, full C-Suite reshuffle. Strengthen contractual governance.
  • Workday — Class action ADEA (discrimination IA recrutement). Auditer l'usage des modules de scoring.Workday — ADEA class action (AI hiring discrimination). Audit usage of scoring modules.
  • Confluent (post-IBM) — Risque de drift watsonx-centric, pricing. Garanties contractuelles roadmap + alternatives MSK / Redpanda.Confluent (post-IBM) — watsonx-centric drift risk, pricing. Contractual roadmap guarantees + MSK / Redpanda alternatives.
  • Telus / Bell Canada — Restructurations cumulées massives (~10 700 / ~4 800 postes). Renégocier contrats + KAM dédié.Telus / Bell Canada — Massive cumulative restructurings (~10,700 / ~4,800 positions). Renegotiate contracts + dedicated KAM.
  • Wipro — Rotation accélérée des équipes, pression marges SSII indien. KPI de stabilité d'équipe.Wipro — Accelerated team rotation, Indian IT services margin pressure. Team stability KPIs.
  • Dayforce (ex-Ceridian) — Privatisation Thoma Bravo 12,3 G$ (clôturée 4 février 2026). Moins de transparence sous PE.Dayforce (ex-Ceridian) — Thoma Bravo going-private $12.3B (closed February 4, 2026). Less transparency under PE.
  • Ncino — Volatilité financière (-43% YTD), dépendance Salesforce. Clauses de sortie.Ncino — Financial volatility (-43% YTD), Salesforce dependency. Exit clauses.
🟡 Risques Private Equity & dépendance écosystème Private Equity risks & ecosystem lock-in Moyen / Medium
  • Dayforce (Thoma Bravo), Finastra (Vista Equity), IPC Systems (Centerbridge), Citrix (TPG/Vista) — Risque de priorisation rentabilité sur investissement produit. Surveiller continuité du roadmap et hausses tarifaires en cycle 3-5 ans.Dayforce (Thoma Bravo), Finastra (Vista Equity), IPC Systems (Centerbridge), Citrix (TPG/Vista) — Risk of prioritizing profitability over product investment. Monitor roadmap continuity and 3-5 year cycle price hikes.
  • IBM Payments Center, BlackRock eFront / Aladdin — Risque de verrouillage écosystème (lock-in). Évaluer les alternatives best-of-breed (ACI, Volante, State Street).IBM Payments Center, BlackRock eFront / Aladdin — Ecosystem lock-in risk. Evaluate best-of-breed alternatives (ACI, Volante, State Street).
🛡️ Risque transversal critique — Anthropic Mythos / Project Glasswing Critical cross-cutting risk — Anthropic Mythos / Project Glasswing Transversal
  • Avantage Glasswing : Microsoft, Cisco, CrowdStrike, Palo Alto, AWS, Google bénéficient d'un accès Mythos et patchent en premier.Glasswing advantage: Microsoft, Cisco, CrowdStrike, Palo Alto, AWS, Google have Mythos access and patch first.
  • Exposition accrue : tous les non-membres (Ivanti, Citrix, OpenText, Workday, Oracle, SAP…) attendront la divulgation publique.Increased exposure: all non-members (Ivanti, Citrix, OpenText, Workday, Oracle, SAP…) will wait for public disclosure.
  • Action transversale : compresser les SLA de patch de 30-90 jours à 7-14 jours sur les actifs critiques.Cross-cutting action: compress patch SLAs from 30-90 days to 7-14 days on critical assets.
⚙️ Obsolescence & risques technologiques Obsolescence & technology risks Surveillance / Watch
  • Cisco — Produits legacy (téléphonie on-prem, switches anciennes générations) en fin de cycle ; risque juridique Cour Suprême US.Cisco — Legacy products (on-prem telephony, older-generation switches) end-of-cycle; US Supreme Court legal risk.
  • Oracle — Layoffs 20-30k envisagés ; vérifier la disponibilité de l'expertise support.Oracle — 20-30k layoffs considered; verify support expertise availability.
  • Microsoft / Salesforce — Disruption du modèle seat-based par l'agentique IA ; négocier le basculement consumption-based.Microsoft / Salesforce — Seat-based model disruption by agentic AI; negotiate shift to consumption-based pricing.
  • SSII indiennes (Wipro, LTIMindtree, TCS BaNCS, Infosys Finacle) — Rationalisation IA, risque sur la profondeur d'expertise sectorielle.Indian IT services (Wipro, LTIMindtree, TCS BaNCS, Infosys Finacle) — AI rationalization, risk to depth of sector expertise.

Cadre d'évaluation — 5 dimensions à documenter

Assessment framework — 5 dimensions to document

Pour chaque fournisseur critique, à intégrer au registre des risques tiers (conformité BSIF B-10 / AMF).

For each critical vendor, to be integrated into the third-party risk register (OSFI B-10 / AMF compliance).

01

Stabilité financière

Financial stability

Santé du bilan, structure actionnariale (PE vs coté), trajectoire de gouvernance.

Balance-sheet health, ownership structure (PE vs listed), governance trajectory.

02

Qualité de service

Service quality

KPI SLA, stabilité des équipes (KAM/CSAM), délais de support.

SLA KPIs, team stability (KAM/CSAM), support response times.

03

Sécurité

Security

Posture CVE, présence au KEV CISA, appartenance Glasswing, capacité de patch.

CVE posture, CISA KEV presence, Glasswing membership, patching capability.

04

Plan de continuité

Business continuity

Clauses step-in, escrow de code, dépendances de juridiction (Loi 25).

Step-in clauses, source-code escrow, jurisdictional dependencies (Law 25).

05

Plan de sortie

Exit plan

Alternatives identifiées, coût de réversibilité, durée de migration estimée.

Identified alternatives, reversibility cost, estimated migration duration.

Analyse détaillée par fournisseur Detailed analysis by vendor