La BCE donne aux plus grandes banques de la zone euro jusqu'à fin octobre pour détailler le renforcement de leurs cyberdéfenses face à l'IA
Le principal superviseur bancaire de la zone euro, la BCE, a demandé mardi aux grandes banques européennes d'élaborer des plans d'action pour faire face aux risques de cybersécurité posés par des systèmes d'intelligence artificielle de plus en plus puissants.
L'apparition de modèles d'IA comme Mythos d'Anthropic, particulièrement efficace pour repérer les faiblesses des systèmes informatiques, suscite des inquiétudes parmi les gouvernements et les responsables politiques européens.
Le Conseil de supervision de la BCE a adressé une lettre aux 110 banques qu'il supervise directement, estimant que les derniers modèles d'IA représentent « une évolution durable du paysage des menaces plutôt qu'un phénomène temporaire ».
« Même si ces évolutions n'introduisent pas de risques entièrement nouveaux, elles amplifient considérablement la vitesse et l'ampleur à laquelle ces risques se matérialisent », a écrit Claudia Buch, présidente du Conseil de supervision de la BCE.
La BCE demande aux principaux établissements prêteurs, dont Deutsche Bank, BNP Paribas et Santander, de lui soumettre d'ici au 31 octobre un plan détaillant les mesures immédiates et de plus long terme qu'ils entendent prendre pour renforcer leur résilience face aux cyberattaques.
Elle précise que ces plans devront donner la priorité à une gestion plus rapide des vulnérabilités et des correctifs logiciels, à des systèmes de surveillance et de détection renforcés grâce à l'IA, ainsi qu'à un examen plus étroit des fournisseurs de technologies tiers et des risques liés aux chaînes d'approvisionnement.
Ces efforts doivent être pilotés au plus haut niveau de ces institutions, a insisté la BCE.
Pour permettre aux banques de consacrer davantage de temps à cette nouvelle menace, la BCE a annoncé qu'elle reporterait son questionnaire annuel sur les risques informatiques de septembre 2026 à février 2027 et qu'elle envisagerait d'ajuster, au cas par cas, d'autres activités de supervision.
Une fois l'échéance passée, la BCE analysera le plan de chaque banque, en discutera avec chaque établissement et mènera une analyse horizontale afin d'identifier les faiblesses communes et les meilleures pratiques dans l'ensemble du secteur bancaire.
La lettre évoque également d'autres technologies émergentes, dont l'informatique quantique, qui « aura un impact significatif sur le paysage de la cybersécurité ». La BCE a indiqué qu'elle traiterait les risques liés à l'informatique quantique dans une lettre distincte « en temps voulu ».
ESRB : le risque cybernétique systémique passe au niveau sévère
L'initiative du Conseil de supervision s'accompagne d'un avertissement du Comité européen du risque systémique (CERS), l'organe de l'UE chargé de surveiller les risques systémiques pour la stabilité financière.
Le CERS a mis en garde mardi contre « les risques cybernétiques systémiques découlant des modèles d'intelligence artificielle de dernière génération ».
Cet avertissement fait suite à la décision prise en juin par son Conseil général de relever son appréciation du risque cybernétique systémique au niveau « sévère », contre « élevé » en mars.
Le régulateur estime que les modèles d'IA de pointe constituent un « changement de paradigme » en matière de cybersécurité et sont devenus une source de risque systémique pour le système financier de l'UE. Selon lui, « l'IA est déjà utilisée par des acteurs malveillants pour renforcer les cyberattaques ».
Le CERS a averti que l'IA pourrait réduire drastiquement le temps dont disposent les banques pour repérer et corriger les vulnérabilités logicielles avant qu'elles ne soient exploitées, accroissant ainsi le risque d'incidents cyber simultanés dans l'ensemble du secteur financier.
Le comité a également souligné que la concentration des principaux développeurs d'IA de pointe en dehors de l'Union européenne expose le bloc à une dépendance stratégique et à des risques géopolitiques.
Anthropic, l'un des principaux développeurs d'IA au monde, conçoit des modèles d'IA de pointe de plus en plus puissants. L'entreprise avait initialement retenu la version complète de Mythos, craignant qu'elle ne soit utilisée pour identifier des vulnérabilités logicielles et aider des pirates informatiques, avant de publier le mois dernier une version accessible au public dotée de garde-fous intégrés en matière de sécurité.