Frank Elderson, Vice President, BCE : « La situation est urgente, le temps presse. »
La BCE a réuni mardi en ligne plusieurs centaines d’acteurs publics et privés au moment où les derniers modèles d’IA tels que Mythos, développé par Anthropic, fait craindre un basculement majeur pour la cybersécurité des États.
Une réunion informelle organisée à l’initiative de Frank Elderson, Vice President, Conseil de surveillance, BCE, Sans communication officielle, donc. Mais avec un message clair : « le temps presse ».
La Banque centrale européenne a convié ce mardi toutes les banques européennes sous sa supervision directe, en gros les banques les plus importantes, pour plancher sur la question sensible des nouvelles vulnérabilités informatiques créées par les modèles d’IA, et plus spécifiquement, le modèle Mythos d’Anthropic.
A ce jour, les négociations entre l’Union européenne et Anthropic sur un accès des banques européennes à Mythos restent dans l’impasse, comme le rapporte Crypto Briefing: les établissements supervisés par Francfort sont exposés aux mêmes vulnérabilités logicielles que leurs concurrentes américaines sans disposer de l’outil de détection que la BCE leur demande désormais d’intégrer à leur posture cyber.
Changement radical
Les banques et les autorités de régulation du monde entier s’efforcent en effet de réagir aux conséquences de la diffusion rapide des outils d’IA de plus en plus performants.
« Il s’agit d’un changement radical et nous allons rencontrer les dirigeants des banques pour aborder cette question. Nous souhaitons recueillir leurs analyses, leur donner l’occasion de partager leurs expériences et souligner l’importance de ce sujet. Nous voulons que les banques se penchent sérieusement sur la question », a ainsi confié Frank Elderson au Financial Times.
Les banques de la zone euro n’ont actuellement pas accès à Mythos qui n’a été mis à disposition que d’un nombre limité d’organisations aux États-Unis. « Toutefois, l’absence d’accès ne constitue pas une excuse pour l’inaction », commente Frank Elderson.
La BCE supervise environ 111 des plus grandes banques de la zone euro, y compris les filiales de grandes banques américaines de Wall Street comme JPMorgan Chase, qui ont accès à Mythos.
DORA pose le devoir, pas le levier
Le règlement DORA, applicable depuis le 17 janvier 2025, impose un cadre harmonisé de gestion des risques IT, mais ne prévoit aucun accès souverain à un outil d’IA offensive tiers. En clair, la supervision européenne presse ses banques sans détenir le levier qu’elle leur demande d’actionner.
« Il y a toute une série de problèmes de cybersécurité sur lesquels nous avons travaillé avec les banques depuis des années, qui sont tous toujours valides, mais compte tenu des progrès de l’IA, ils doivent être traités plus rapidement », commentait hier Frank Elderson au Financial Times.
Mythos déplace l’équilibre opérationnel entre attaque et défense. L’outil est capable de détecter des milliers de vulnérabilités de type zero-day dans les systèmes des banques. Un correctif logiciel peut désormais faire l’objet d’une rétro-ingénierie en une trentaine de minutes, contre plusieurs semaines auparavant. Ce raccourcissement du délai entre publication du patch et arme exploitant la faille corrigée modifie qualitativement la dynamique de remédiation : la fenêtre pendant laquelle un établissement reste vulnérable après diffusion d’un correctif s’est nettement contractée.
