Une transformation durable du paysage des menaces et non un phénomène temporaire

Pour le secteur financier, l’enjeu n’est plus seulement d’encadrer les usages internes de l’IA, mais de se préparer à des attaques plus rapides et plus industrialisées. Renforcer leur cyber-résilience.

Les principales banques de l’UE doivent, d’ici le 31 octobre, définir comment elles comptent gérer les risques liés aux modèles d’IA de pointe, a déclaré aujourd’hui la principale autorité de surveillance bancaire de l’Union.

Claudia Buch, Claudia Buch, Chair of the Supervisory Board, European Central Bank, a demandé aux banques d’élaborer des plans d’action décrivant comment elles renforceront leurs systèmes internes et s’assureront que leurs prestataires de technologies externes sont compétents.

Transformation durable

Cette injonction intervient alors que l’on craint que des modèles d’IA tels que Mythos, dont Anthropic affirme qu’il possède des capacités cybernétiques sans précédent, ne provoquent des ravages dans un système financier non préparé.

En cause : la capacité de ces modèles à accélérer l’identification de vulnérabilités, l’automatisation d’attaques et l’exploitation de failles à grande échelle.

« On assiste à une transformation durable du paysage des menaces, et non d’un phénomène temporaire ou d’un risque lié à un seul outil », écrit Claudia Busch dans un courrier adressé aux CEO des banques.

Vitesse, ampleur…

Le document, publié le 7 juillet, estime que ces modèles peuvent accroître la vitesse, l’échelle et la sophistication des cyberattaques, tout en renforçant la dépendance de l’Europe à des fournisseurs dominants situés hors de l’Union européenne.

« Si ces évolutions n’introduisent pas de risques entièrement nouveaux, elles amplifient considérablement la vitesse et l’ampleur avec lesquelles ces risques se matérialisent », peut-on encore lire.

Aucune sanction n’est prévue pour les banques qui ne se conforment pas aux exigences, mais la BCE pourrait utiliser ces plans pour comparer les performances des différentes banques face aux risques liés à l’IA et exercer un suivi auprès d’elles.

Le but, conclut la BCE, est d’évaluer leur capacité à faire face à des attaques plus automatisées, susceptibles de se propager rapidement ou de cibler un grand nombre de vulnérabilités.