Gouvernance des agents d’IA : un focus réglementaire en Australie
L’Autorité de Régulation Prudentielle Australienne (APRA) a récemment publié un avertissement concernant la gouvernance et l’assurance des agents d’IA au sein des institutions financières. Cette mise en garde intervient alors que les banques et les fonds de pension intensifient l’usage de l’IA dans leurs opérations internes et orientées client.
Constats clés de la revue ciblée 2025
APRA a mené une revue ciblée de plusieurs entités réglementées de grande taille à la fin de 2025. Les principaux constats sont :
- Utilisation de l’IA dans tous les organismes évalués, mais avec des niveaux de maturité très variables.
- Intérêt fort des conseils d’administration pour l’IA, notamment pour la productivité et l’expérience client, mais manque de structures de gestion des risques adéquates.
- Dépendance excessive aux présentations des fournisseurs, avec une scrutinisation insuffisante des risques tels que le comportement imprévisible des modèles.
Domaines d’application de l’IA identifiés
Les entités étudiées testent ou déploient l’IA dans plusieurs cas d’usage :
- Ingénierie logicielle et développement assisté par IA.
- Triage des réclamations et traitement des demandes de prêts.
- Lutte contre la fraude et les escroqueries, ainsi que l’interaction client.
Principaux écarts de gouvernance
APRA a relevé plusieurs lacunes critiques :
- Surveillance du comportement des modèles et gestion des changements.
- Absence d’inventaires complets des outils d’IA et de responsables désignés pour chaque instance.
- Manque de participation humaine dans les décisions à haut risque.
Sécurité et gestion des accès
Le déploiement de l’IA modifie le paysage des menaces, introduisant de nouvelles voies d’attaque telles que le prompt injection et les intégrations non sécurisées. Les pratiques de gestion des identités et des accès n’ont pas toujours été adaptées aux entités non humaines comme les agents d’IA.
APRA recommande d’appliquer des contrôles sur les flux de travail autonomes, incluant la gestion des privilèges, la configuration, le patching et la vérification de sécurité du code généré par IA.
Défis liés à la dépendance fournisseur
Certaines institutions sont fortement dépendantes d’un seul fournisseur d’IA, sans plan de sortie ni stratégie de substitution clairement définie, augmentant le risque de verrouillage technologique.
Initiatives de normalisation
Le FIDO Alliance a créé un groupe de travail technique sur l’authentification agentique, développant des spécifications pour les actions commerciales initiées par des agents. Des solutions comme le Agent Payments Protocol de Google et le Verifiable Intent framework de Mastercard sont en cours d’évaluation.
Le Centre for Internet Security (CIS) a publié des guides de sécurité IA alignés sur les contrôles CIS v8.1, couvrant les modèles de langage étendu, les agents d’IA et les environnements de protocole de contexte de modèle.