Les capacités émergentes de certains modèles d’intelligence artificielle inquiètent les superviseurs bancaires. Entre réunions de crise, appels à l’investissement et échanges d’informations avec des établissements américains déjà exposés à ces outils, la Banque centrale européenne tente d’accélérer la préparation du secteur face à des attaques automatisées capables d’exploiter des vulnérabilités à une vitesse inédite.
Selon Reuters, la Banque centrale européenne pousse désormais les banques de la zone euro à renforcer leurs investissements en cybersécurité face à des outils capables d’exploiter automatiquement des vulnérabilités logicielles.
La BCE hausse le ton sur le risque cyber lié à l’IA
La Banque centrale européenne multiplie les échanges avec les banques de la zone euro autour des risques liés aux nouveaux modèles d’intelligence artificielle. Le sujet était au cœur d’une réunion organisée le 26 mai par Frank Elderson, vice-président du Conseil de surveillance de la BCE, qui a rassemblé plus de 300 représentants du secteur bancaire, d’institutions publiques et d’associations professionnelles, selon une source proche du dossier citée par l’AFP.
Depuis plusieurs semaines, le superviseur européen interroge les établissements sur leur niveau de préparation face à l’émergence d’outils capables d’identifier et d’exploiter automatiquement des vulnérabilités logicielles. Pour Luis de Guindos, vice-président sortant de la BCE, le sujet dépasse désormais le cadre de la cybersécurité traditionnelle. Interrogé par Reuters le 27 mai, il estime que les banques devront augmenter leurs investissements afin de renforcer des défenses appelées à devenir “structurelles” dans les prochaines années.
“La cybersécurité devient de plus en plus importante”, a-t-il déclaré, en insistant sur la nécessité d’investissements “pervasifs”, y compris pour les petits établissements.
Mythos, le modèle qui alimente les inquiétudes des superviseurs
Au centre des préoccupations figure Mythos, un modèle développé par Anthropic. Selon les explications relayées par Frank Elderson dans un entretien publié sur le site de la BCE, ce système serait capable de “découvrir et exploiter de manière autonome des vulnérabilités à une vitesse et à une échelle inédites”.
Toujours selon le responsable de la BCE, le modèle pourrait également combiner plusieurs failles mineures pour construire des attaques complexes auparavant réservées à des profils experts. Il serait aussi capable d’analyser des correctifs de sécurité pour en déduire rapidement de nouvelles vulnérabilités exploitables, réduisant le délai d’exploitation de plusieurs semaines à quelques heures.
“L’absence d’accès ne constitue pas une excuse pour l’inaction”, a rappelé Frank Elderson dans les colonnes du Financial Times. Les banques européennes n’ont pas directement accès à Mythos, réservé pour l’instant à un nombre limité d’organisations américaines. Mais certaines filiales européennes de groupes américains supervisés par la BCE, comme JPMorgan Chase, y ont accès.
Une pression croissante autour de la résilience opérationnelle
Pour la BCE, la question dépasse désormais la seule solidité financière des établissements. Face à des cyberattaques jugées plus fréquentes et plus sophistiquées, les superviseurs mettent l’accent sur la capacité opérationnelle des banques à maintenir leurs services en cas d’incident.
Le dialogue engagé par la BCE doit se poursuivre dans les prochains mois afin de favoriser le partage d’informations et la préparation de plans d’action communs. La mobilisation ne se limite d’ailleurs pas à l’Europe. Selon l’AFP, le secrétaire américain au Trésor Scott Bessent et le président sortant de la Réserve fédérale Jerome Powell ont eux aussi réuni plusieurs grandes banques en avril pour évaluer les risques liés au modèle développé par Anthropic.
