Une réponse réglementaire à la menace croissante des IA cyberopérantes
La Banque centrale européenne (BCE) a sommé mardi les établissements bancaires de la zone euro de soumettre, d'ici au 31 octobre, des plans destinés à contrer des cybermenaces dopées à l'intelligence artificielle. Dans une lettre adressée aux dirigeants, le régulateur pointe le risque qu'une attaque sophistiquée n'entame la confiance dans le système financier et ne paralyse les mécanismes de paiement.
La démarche traduit l'inquiétude des autorités face à l'émergence de modèles d'IA de grande capacité — citant implicitement des systèmes comparables à Mythos d'Anthropic — dont certaines fonctionnalités ont déjà été limitées par leurs concepteurs. La BCE rappelle que ces évolutions peuvent affecter la confidentialité, l'intégrité et la résilience des technologies de l'information et de la communication (TIC) exploitées par les banques.
Directives concrètes et priorités opérationnelles
La lettre demande notamment de :
- mettre l'accent sur la protection des systèmes connectés à Internet et des actifs technologiques exposés ;
- renforcer la surveillance et accélérer la correction des vulnérabilités, y compris pour les logiciels tiers et composants open-source ;
- moderniser les technologies héritées et améliorer l'hygiène informatique des établissements ;
- renforcer les dispositifs de gestion de crise, de redressement et de partage d'information entre acteurs.
Pour alléger la charge des banques et concentrer les ressources, la BCE a annoncé le report d'une enquête informatique distincte et n'exclut pas d'ajuster ses inspections et d'autres travaux de supervision afin d'accompagner ce plan d'urgence.
Risque systémique et avertissement européen
Parallèlement, le Comité européen du risque systémique (CERS) a publié un avertissement soulignant le caractère potentiellement systémique de perturbations cyber à grande échelle. Le CERS met en garde contre la possibilité que des attaques généralisées érodent la confiance et provoquent des retraits massifs de capitaux ciblant certaines institutions ou juridictions.
« Le CERS considère que ces évolutions constituent une source de risque systémique pour le système financier »
Conséquences pour les banques françaises
Pour les établissements français, l'injonction de la BCE implique des arbitrages opérationnels et budgétaires : priorisation de projets de cybersécurité, renforcement des équipes techniques et adaptation des politiques de gestion des tiers. Les acteurs disposant d'infrastructures obsolètes devront accélérer leur modernisation, sous peine de voir leurs capacités opérationnelles remises en cause par les régulateurs.
Enjeux macroéconomiques et perspectives
Au-delà des risques immédiats pour le fonctionnement des paiements, la mise en garde européenne expose une vulnérabilité potentielle de la confiance des déposants et des investisseurs, ce qui pourrait, en cas de choc majeur, peser sur la stabilité financière et la transmission de la politique monétaire. Le délai imposé par la BCE inscrit la question de la cybersécurité au cœur de la supervision bancaire européenne pour les prochains mois.
| Échéance | Exigence |
|---|---|
| 31 octobre | Soumission des plans de lutte contre les cybermenaces IA |
| À court terme | Priorisation de la protection des systèmes exposés et correction des vulnérabilités |
| Horizon supervisé | Modernisation des technologies héritées et renforcement des dispositifs de gestion de crise |
La directive de la BCE devrait accélérer les investissements dans la cybersécurité au sein du secteur, mais pose aussi la question de la disponibilité des compétences et des technologies adaptées. La mise en conformité et la résilience face à des attaques articulant IA et techniques classiques vont désormais figurer parmi les priorités de supervision européenne.