Une échéance claire pour contrer une menace amplifiée par l'IA
La Banque centrale européenne (BCE) a demandé mardi aux 110 banques qu'elle supervise directement de formuler avant le 31 octobre un plan d'action détaillant les mesures immédiates et à plus long terme destinées à renforcer leur résilience face aux cyberattaques rendues plus puissantes par les progrès de l'intelligence artificielle. Cette instruction, adressée par le Conseil de supervision, vise en priorité les principaux établissements — parmi lesquels Deutsche Bank, BNP Paribas et Santander — et marque un durcissement de la posture prudentielle sur un risque jugé croissant.
La décision fait suite à l'émergence de modèles d'IA avancés, cités par la BCE comme exemples d'une capacité nouvelle à identifier des vulnérabilités informatiques. Dans sa lettre, la présidente du Conseil de surveillance prudentielle, Claudia Buch, qualifie cette évolution comme structurelle :
« une évolution durable du paysage des menaces plutôt qu'un phénomène temporaire ».
La BCE souligne que si ces systèmes n'introduisent pas forcément des risques inédits, ils accélèrent et amplifient la vitesse et l'ampleur de leur matérialisation. En conséquence, les banques doivent préciser dans leurs plans comment elles vont :
- accélérer la gestion des vulnérabilités et le déploiement de correctifs logiciels ;
- renforcer les systèmes de surveillance et de détection, y compris via l'IA ;
- effectuer un examen approfondi des fournisseurs technologiques et des risques de la chaîne d'approvisionnement ;
- impliquer la haute direction dans le pilotage de ces efforts.
Conséquences pratiques et calendrier
Pour permettre aux banques de se concentrer sur cette menace nouvelle, la BCE annonce le report de son questionnaire annuel sur les risques informatiques, initialement prévu en septembre 2026, à février 2027. L'autorité précise qu'elle pourra, au cas par cas, ajuster d'autres activités de supervision afin de libérer des capacités chez les établissements.
Après la date-limite, la BCE s'engage à analyser chaque plan, à en discuter avec les établissements et à conduire une analyse horizontale pour identifier les faiblesses communes et partager les bonnes pratiques auprès du secteur bancaire de la zone euro.
Impacts pour l'économie française
Pour les banques françaises, l'injonction de la BCE signifie un renforcement des investissements et des ressources consacrés à la cybersécurité — tant en interne que chez les sous-traitants technologiques. Cette orientation pourrait entraîner des coûts opérationnels accrus à court terme, mais vise à limiter des perturbations potentielles plus coûteuses en cas d'attaques réussies. Sur le plan macroéconomique, la mesure cherche à préserver la confiance des clients et la stabilité du crédit dans la zone euro en réduisant le risque de chocs opérationnels pouvant se propager au système financier.
| Élément | Valeur |
|---|---|
| Nombre d'établissements visés | 110 |
| Date limite pour le plan | 31 octobre |
| Report du questionnaire annuel | février 2027 |
La démarche illustre la manière dont la supervision intègre désormais l'essor de l'intelligence artificielle dans son évaluation des risques opérationnels et systémiques. En demandant des réponses rapides et coordonnées, la BCE cherche à transformer la capacité d'adaptation du secteur bancaire face à des menaces qui évoluent en rythme accéléré.