La BCE donne quatre mois aux banques face à l'IA frontier
TL;DR
- La BCE demande aux principales banques de la zone euro de remettre un plan d'action cybersécurité IA d'ici fin octobre.
- Claudia Buch alerte que les modèles frontier repèrent des failles logicielles et génèrent des exploits fonctionnels à une vitesse inédite.
- L'ESRB qualifie ces modèles de source de risque systémique pouvant, en cas de perturbations cyber massives, déclencher des ruées bancaires.
Il n'arrive pas souvent qu'un superviseur bancaire européen désigne explicitement les modèles d'IA de dernière génération comme un problème de stabilité financière. C'est pourtant ce que vient de faire la Banque centrale européenne, selon le Financial Times : Claudia Buch, à la tête du conseil de supervision, a écrit aux dirigeants des plus grandes banques de la zone euro pour leur demander un plan d'action cybersécurité face aux modèles d'IA frontier, à remettre d'ici fin octobre.
L'argument technique du courrier tient en une phrase, reprise dans plusieurs comptes rendus : les modèles récents sont capables d'identifier des vulnérabilités logicielles à une vitesse inédite et de générer des exploits fonctionnels. Autrement dit, la fenêtre entre la découverte d'une faille et son exploitation se referme brutalement. Buch demande donc aux banques d'accélérer le patching, de renforcer leurs défenses assistées par IA et de resserrer la supervision de leurs prestataires tiers, avant, à plus long terme, une modernisation d'infrastructure. Les plans attendus doivent inclure des mesures concrètes de renforcement des contrôles internes, avec ressources allouées, responsabilités désignées et calendriers contraignants.
Le second signal, plus rare, vient du European Systemic Risk Board. L'ESRB décrit ces modèles comme une source potentielle de risque systémique pour le secteur financier. Le mot compte : dans le vocabulaire prudentiel, il ouvre la porte à une supervision spécifique. L'ESRB va jusqu'à évoquer, en cas de perturbations cyber à grande échelle, une érosion de la confiance publique et, dans les scénarios extrêmes, des ruées sur des établissements ou même des pays perçus comme moins résilients.
Le caveat honnête, c'est qu'à ce stade il s'agit d'une demande de plan d'action, pas d'un régime prudentiel formel. Les articles disponibles ne précisent ni les conséquences en cas de plan jugé insuffisant, ni si le périmètre s'étendra aux assureurs et gestionnaires d'actifs, ni la manière dont la BCE compte se coordonner avec ses homologues hors zone euro.
Pour les directions bancaires, l'échéance change tout de même la nature du sujet : la cybersécurité IA passe de conversation entre RSSI à livrable de supervision, avec plan écrit, ressources chiffrées et calendrier engageant. Les fournisseurs AI-native de détection et de patch management, eux, viennent de recevoir le catalyseur réglementaire qu'ils cherchaient.
Article original publié par ft.com
Lire l'article original →Titre original : BCE et ESRB classent les modèles IA frontier « risque systémique » et donnent quatre mois aux banques pour se préparer