Les entreprises doivent sécuriser leur utilisation de l’IA, indépendamment de la réglementation
La réglementation de l’IA est tristement à la traîne par rapport à son adoption. Plus de trois quarts des entreprises de services financiers au Royaume-Uni utilisent déjà cette technologie dans des cas d’utilisation variés, tels que le service client et la détection de fraude.
Cependant, avec des gains potentiels importants viennent également de nouveaux risques. Bien qu’il soit encourageant de voir le Comité du Trésor fournir l’examen nécessaire dans ce domaine, son dernier rapport est décevant.
Des avancées timides
Ce n’est pas que de mauvaises nouvelles. Le comité souligne à juste titre que l’IA peut être utilisée par des adversaires pour rendre les campagnes de fraude plus efficaces, augmentant ainsi le volume et l’échelle des cyberattaques contre le secteur des services financiers. Il soutient également que l’approche « attendre et voir » de la Financial Conduct Authority et de la Banque d’Angleterre en matière de réglementation de l’IA expose les consommateurs et le système financier à des dommages potentiellement graves.
Il est pertinent de suggérer qu’un manque de clarté de la part des régulateurs menace de laisser les consommateurs vulnérables à la prise de décision en boîte noire, à un biais possible et à un risque croissant d’exclusion financière. Les appels à des orientations plus claires de la FCA, des tests de stress spécifiques à l’IA et à la désignation rapide des principaux fournisseurs d’IA/cloud comme parties tierces critiques sont tous raisonnables.
Attention à la faille
Le problème réside dans ce qui n’est pas dit. L’IA représente une surface d’attaque potentiellement énorme pour les acteurs malveillants. Les chercheurs ont démontré de nombreuses fois que des vulnérabilités existent dans l’écosystème qui peuvent être exploitées pour voler des données sensibles, perturber des services critiques et extorquer des entreprises.
Ces problèmes sont multipliés par l’émergence de systèmes agentiques capables d’exécuter des tâches de manière autonome. En raison du faible contrôle humain, les hackers pourraient attaquer et subvertir un agent sans déclencher d’alarmes, réalisant potentiellement des actions aux conséquences irréversibles.
De plus, ces agents s’intègrent à des outils et des sources de données externes, offrant plus d’opportunités de manipulation. Si un attaquant modifie un outil dont un agent dépend, ou injecte de fausses informations dans sa mémoire, l’agent pourrait commencer à prendre des décisions dangereuses, comme approuver des transactions frauduleuses ou fournir des évaluations de risque incorrectes.
Risques de la chaîne d’approvisionnement
Le risque provient également d’une vaste chaîne d’approvisionnement en IA cachée qui s’étend sur divers composants tiers tels que des bibliothèques open source, des plug-ins, des API et des plateformes de modèles hébergés. Cela offre également des opportunités pour des adversaires hautement motivés de placer des portes dérobées, qui peuvent être déclenchées lorsqu’un système est opérationnel et adopté par une organisation de services financiers.
Certaines composantes ne nécessitent même pas d’authentification pour y accéder, facilitant ainsi le travail des acteurs malveillants. Les frameworks open source se mettent à jour plusieurs fois par jour, augmentant ainsi la probabilité qu’ils introduisent de nouvelles vulnérabilités que les équipes de sécurité informatique doivent trouver et corriger.
Commencer par la gouvernance
En l’absence de mandats réglementaires clairs, comment les services financiers peuvent-ils atténuer ces risques croissants liés à l’IA ?
Toutes les mesures doivent commencer par la gouvernance. De nombreuses entreprises déploient la technologie si rapidement qu’elles ont du mal à comprendre dans quelle mesure l’IA accède et utilise des données sensibles.
L’utilisation de l’IA dans l’ombre reste un défi majeur ; un rapport d’IBM de 2025 indique qu’elle ajoute 670 000 $ (498 000 £) au coût moyen d’une violation de données par organisation. L’étude affirme que 20 % des organisations mondiales ont subi une violation l’année dernière en raison d’un incident de sécurité impliquant une utilisation non gérée de l’IA.
Établir des politiques claires pour l’adoption de l’IA, appliquer des contrôles d’identité et d’accès stricts, et surveiller toutes les interactions avec l’IA aidera à réduire le risque de mauvaise utilisation des modèles ou de fuite de données.
Ensuite, il faut s’attaquer à la chaîne d’approvisionnement. Scanner les composants de l’IA, y compris les API, les bibliothèques open source et les serveurs de modèles, à la recherche de vulnérabilités et de mauvaises configurations. Ajouter des vérifications de sécurité automatisées (contrôles d’admission) et surveiller en continu les points de terminaison exposés pour prévenir les manipulations et les accès non autorisés.
Pour les entreprises de services financiers construisant leurs propres services d’IA, la sécurité par conception doit être la direction à suivre. Cela signifie s’assurer que les modèles, les dépôts de données et les flux de déploiement sont surveillés en temps réel pour détecter de possibles compromissions et une dérive progressive de leurs configurations d’origine.
Les vulnérabilités émergent si rapidement dans ces environnements que l’évaluation continue de la posture de sécurité et la remédiation rapide, basée sur les risques, sont également essentielles.
Pour les entreprises de services financiers, ce ne sont pas des défis théoriques. Le risque est réel et provient d’acteurs motivés par des enjeux financiers et des États. Si le secteur veut récolter les bénéfices de l’IA, il doit d’abord la sécuriser, qu’une réglementation existe ou non.