Le régulateur singapourien exige que les banques ferment les vulnérabilités face aux préoccupations concernant Mythos

L'Autorité monétaire de Singapour (MAS) a adressé un avertissement officiel aux banques : les institutions financières doivent d'urgence éliminer les vulnérabilités existantes dans leurs systèmes de cybersécurité. L'alerte réglementaire a suivi les préoccupations croissantes dans les milieux financiers asiatiques concernant Mythos, un nouveau modèle de langage de la société américaine Anthropic, créatrice de la famille de modèles Claude. Selon Bloomberg, ce sont précisément les capacités de ce modèle en matière de compréhension du contexte et de génération de texte persuasif qui ont suscité des préoccupations parmi les spécialistes de la sécurité de l'information du secteur financier.

Les préoccupations ne portent pas sur le modèle lui-même, mais sur son utilisation abusive potentielle par des acteurs malveillants : pour créer des messages de phishing, imiter les communications bancaires et mener des attaques automatisées contre les clients et employés des organisations financières. Singapour occupe depuis longtemps une position de leader parmi les centres financiers d'Asie et a traditionnellement agi de manière proactive dans la réglementation des risques technologiques. La MAS est connue pour ses exigences strictes en matière de gestion des risques technologiques — les banques doivent se conformer aux Directives de gestion des risques technologiques régulièrement mises à jour.

L'avertissement actuel poursuit cette pratique : plutôt que de réagir aux incidents après leur survenance, le régulateur exige des mesures préventives. Selon les sources de Bloomberg, la MAS pointe spécifiquement plusieurs catégories de vulnérabilités. La première concerne les systèmes d'authentification obsolètes, insuffisamment protégés contre les attaques utilisant des voix synthétiques et des deepfakes, dont la qualité a augmenté considérablement ces derniers mois.

La deuxième porte sur les faiblesses de la protection de la correspondance électronique : les employés des banques deviennent de plus en plus victimes de scénarios de phishing sophistiqués qu'il est pratiquement impossible de détecter sans une formation spécialisée. La troisième concerne les risques associés à l'utilisation par les banques elles-mêmes d'outils d'IA tiers sans vérification de sécurité appropriée. La réaction des régulateurs asiatiques à Mythos s'est avérée notablement plus vive qu'envers les lancements précédents d'Anthropic.

Les analystes l'attribuent à plusieurs facteurs. Suite à une série d'incidents très médiatisés en 2025, où des escrocs ont utilisé avec succès les modèles de langage pour attaquer les clients de banques à Hong Kong et en Corée du Sud, les régulateurs de la région ont commencé à prendre ces risques beaucoup plus au sérieux. De plus, Singapour, en tant que plus grand centre financier du sud-est asiatique, traite un volume important de transactions transfrontalières, ce qui rend les banques locales des cibles particulièrement attrayantes.

Il est important de comprendre : cela ne signifie pas que Mythos lui-même représente une menace directe ou qu'Anthropic soit complice d'abus. La MAS répond à un changement fondamental du paysage des menaces — tout modèle de langage puissant qui devient largement accessible élargit inévitablement les capacités tant des utilisateurs légitimes que des acteurs malveillants. Si, il y a quelques années, la réalisation d'une attaque de phishing complexe nécessitait une équipe de spécialistes expérimentés, aujourd'hui l'accès à un outil d'IA de pointe suffit.

Les banques qui ont reçu la directive de la MAS seront tenues d'auditer leurs systèmes de cybersécurité et de rendre compte des mesures prises. Les analystes s'attendent à ce que des avertissements similaires soient bientôt émis par l'Autorité monétaire de Hong Kong (HKMA) et d'autres régulateurs régionaux. La question n'est plus de savoir si les régulateurs financiers asiatiques adapteront leurs normes aux réalités d'une IA puissante — mais plutôt à quelle vitesse cela se fera.