Accueil Business IA : les régulateurs financiers pressent les banques de renforcer leur cyber-résilience

IA : les régulateurs financiers pressent les banques de renforcer leur cyber-résilience

Les régulateurs européens et britanniques alertent les banques sur les risques cyber liés aux modèles d’IA les plus avancés. En cause : leur capacité à accélérer l’identification de vulnérabilités, l’automatisation d’attaques et l’exploitation de failles à grande échelle. Pour le secteur financier, l’enjeu n’est plus seulement d’encadrer les usages internes de l’IA, mais de se préparer à des attaques plus rapides et plus industrialisées.

Les autorités financières commencent à hausser le ton face aux risques cyber liés à l’IA. Le Comité européen du risque systémique, ou ESRB, a adopté le 25 juin une alerte consacrée aux risques systémiques que les modèles d’IA avancés font peser sur le système financier européen. Le document, publié le 7 juillet, estime que ces modèles peuvent accroître la vitesse, l’échelle et la sophistication des cyberattaques, tout en renforçant la dépendance de l’Europe à des fournisseurs dominants situés hors de l’Union européenne.

Cette alerte ne vise pas seulement les banques en tant qu’utilisatrices d’IA. Elle les replace dans un environnement où les attaquants peuvent, eux aussi, tirer parti de modèles plus puissants pour identifier des faiblesses, automatiser certaines étapes et multiplier les tentatives. Côté britannique, la Banque d’Angleterre, la FCA et le Trésor avaient déjà publié en mai une déclaration commune allant dans le même sens. Selon eux, les capacités cyber des modèles frontier dépassent déjà ce qu’un praticien qualifié pourrait accomplir, avec une vitesse plus élevée, une plus grande échelle et des coûts plus faibles.

Des plans de défense attendus

Le sujet devient désormais opérationnel. D’après Reuters, la Banque centrale européenne a demandé aux banques de la zone euro de préparer des plans contre les cyberattaques liées à l’IA avancée, avec une échéance fixée au 31 octobre. Son but est d’évaluer leur capacité à faire face à des attaques plus automatisées, susceptibles de se propager rapidement ou de cibler un grand nombre de vulnérabilités. Ce point n’apparaît pas encore dans un communiqué public détaillé de la BCE, mais il s’inscrit dans la continuité des alertes émises par les autorités européennes et britanniques.

Les régulateurs insistent notamment sur la gouvernance, la gestion des vulnérabilités, les risques liés aux tiers et la capacité de réponse. La déclaration britannique invite les établissements régulés à être capables de trier, prioriser et corriger plus vite les vulnérabilités, y compris à grande échelle et avec de l’automatisation lorsque c’est pertinent. Elle souligne aussi la nécessité de mieux suivre les applications, bibliothèques et services externes intégrés aux systèmes d’information.

L’IA comme accélérateur de risque

Les établissements financiers ne peuvent plus traiter l’IA uniquement comme un sujet d’innovation, de productivité ou de conformité interne. Les modèles les plus avancés changent aussi la dynamique de la menace. Même sans créer de techniques entièrement nouvelles, ils peuvent réduire les temps d’exécution, faciliter l’exploitation de failles connues et rendre certaines opérations plus accessibles.

Pour les banques, déjà soumises à des exigences renforcées de résilience opérationnelle avec DORA en Europe, cette pression réglementaire ajoute une couche supplémentaire. L’enjeu n’est pas de bâtir une défense spécifique contre une IA abstraite, mais d’adapter les fondamentaux cyber à un rythme d’attaque plus rapide : visibilité sur les actifs, correction des vulnérabilités, contrôle des dépendances, réponse aux incidents et capacité de reprise. La différence ne se jouera pas seulement sur le niveau de protection, mais sur la vitesse à laquelle les établissements sauront détecter, décider et corriger.