Alors que la Banque centrale européenne (BCE) convoque en urgence les principales banques de la zone euro, les inquiétudes autour des risques cyber liés à l’intelligence artificielle s’intensifient. Cette réunion vise à accélérer le renforcement des systèmes informatiques face à des menaces jugées de plus en plus critiques pour la stabilité financière. Pour Darren Guccione, CEO et cofondateur de Keeper Security, cette initiative marque un tournant réglementaire majeur. Selon lui, l’essor rapide des modèles d’IA et des identités non humaines (NHI) expose les institutions financières à des vulnérabilités systémiques qui ne peuvent plus être considérées comme de simples enjeux de conformité.
« La décision de la Banque centrale européenne (BCE) de convoquer une réunion d’urgence avec les principaux prêteurs de la zone euro au sujet des risques de cybersécurité liés à l’IA marque une escalade significative. La crainte sous-jacente que les progrès de l’IA puissent exposer les institutions financières à des menaces systémiques pour la sécurité n’est pas nouvelle, mais cette réunion montre clairement que les conséquences de plusieurs années de négligence en matière de sécurité de l’IA s’accélèrent à un rythme qui ne peut plus être ignoré.
Cette réunion ne se tient pas dans un vide réglementaire. La loi européenne sur la résilience opérationnelle numérique (DORA) est entrée pleinement en vigueur en janvier 2025, imposant aux entités financières des obligations contraignantes en matière de gestion des risques liés aux technologies de l’information et de la communication (TIC), de gouvernance des dépendances vis-à-vis de tiers et de démonstration de la résilience opérationnelle. Cette intervention de la BCE s’inscrit pleinement dans ce cadre. Les banques qui ont jusqu’à présent considéré la DORA comme une simple liste de contrôle de conformité, plutôt que comme une incitation structurelle à repenser leur posture de sécurité, sont désormais confrontées à un deuxième signal, plus ferme, de la part de leur régulateur.
Les modèles d’IA avancés ont introduit une catégorie de risques véritablement difficile à maîtriser. Ce n’est pas parce que les vulnérabilités sous-jacentes sont nouvelles, mais parce que l’IA accélère et amplifie considérablement leur exploitation. Chaque agent IA, flux de travail automatisé et compte machine introduit crée une identité non humaine (NHI) qui nécessite un accès privilégié pour fonctionner. Ces identités sont souvent provisionnées rapidement, mal gérées et rarement révoquées avec la même rigueur que celle appliquée aux comptes humains. Il s’agit d’une pratique non viable et d’un risque structurel pour toute organisation opérant dans un secteur hautement réglementé tel que la banque et la finance.
Les recherches de Keeper confirment l’ampleur du problème. Selon l’étude mondiale de Keeper, 43 % des personnes interrogées ont identifié la gestion et la sécurité des NHI liées à l’IA comme l’une des principales lacunes en matière de gouvernance de l’IA. Parmi les professionnels de la sécurité du secteur financier, 75 % ont déclaré trouver la gestion d’un nombre croissant d’identités — humaines et non humaines — au moins modérément difficile. Cela soulève une question urgente : si les institutions financières ne parviennent pas à gouverner efficacement les identités déjà présentes dans leur environnement, comment pourront-elles gérer efficacement l’ajout de l’automatisation pilotée par l’IA à l’échelle actuelle de déploiement ?
L’exposition du secteur financier aux menaces liées à l’IA est réelle et croissante. Les contrôles nécessaires pour la gérer sont bien compris ; ce qui a fait défaut, c’est la discipline nécessaire pour les appliquer à l’échelle requise. La réglementation peut renforcer la concentration sur cet aspect, mais les institutions qui parviendront à transformer la pression réglementaire en véritable résilience seront celles qui intégreront une gouvernance continue dans leur gestion des accès. Cela nécessite d’appliquer le principe du « privilège minimal » à tous les agents IA et processus automatisés, d’étendre la gestion des accès privilégiés pour couvrir les identifiants et secrets des machines, et de traiter la gouvernance des NHI comme une priorité opérationnelle plutôt que comme une simple réponse à un audit. »