La Banque centrale européenne discutera avec les banques des risques du modèle Anthropic Mythos pour le système financier

La Banque centrale européenne déplace la conversation sur l'intelligence artificielle de la catégorie des expériences technologiques vers la zone de la supervision bancaire directe. Le régulateur organise un appel avec les responsables des risques des banques de la zone euro pour discuter séparément du nouveau modèle Anthropic Mythos et comprendre s'il peut exploiter les vulnérabilités des systèmes financiers. Le format d'une telle réunion est aussi important que son sujet.

Quand une banque centrale contacte non pas les équipes informatiques et non pas les départements d'innovation, mais spécifiquement les directeurs des risques, cela signifie que la question est considérée comme une menace potentielle à la stabilité, et non simplement comme un autre outil pour améliorer l'efficacité. Dans de tels cas, l'accent ne porte pas sur la commodité de l'interface ou sur la performance du modèle, mais sur les risques opérationnels, la protection des données, le contrôle d'accès, la résilience des processus internes et la possibilité que l'IA accélère les scénarios d'attaque déjà connus. Aucun incident réel avec Mythos n'a été signalé jusqu'à présent, mais la formulation même de l'ordre du jour montre à quel point le régulateur prend cette question au sérieux.

La raison d'une telle attention est claire. Les banques ont depuis longtemps cessé d'être des structures fermées où les systèmes critiques sont isolés du monde extérieur. Elles disposent de chaînes d'approvisionnement complexes, de services en nuage, d'API, de systèmes de surveillance automatisés, d'outils d'analyse interne et de canaux numériques destinés aux clients.

Face à cela, tout progrès dans les capacités de l'IA soulève un nouvel ensemble de questions. Si un modèle peut mieux analyser le code, construire des scénarios multi-étapes plus rapidement, manipuler en toute confiance de grands volumes de données ou automatiser l'interaction avec des services externes, alors aux bénéfices s'ajoutent des risques accrus d'abus. Théoriquement, ces systèmes pourraient aider les acteurs malveillants à trouver des configurations faibles plus rapidement, à préparer des campagnes de phishing convaincantes, à intensifier l'ingénierie sociale ou à tester les barrières de sécurité à une vitesse plus grande qu'auparavant.

Pour le régulateur européen, c'est une question particulièrement sensible car l'infrastructure financière de la zone euro repose sur la confiance dans la fiabilité des banques, des infrastructures de paiement et des procédures de contrôle. Même si le nouveau modèle ne crée pas un type de menace fondamentalement nouveau, il peut rendre les anciennes menaces moins coûteuses, plus rapides et plus évolutives. C'est précisément l'un des effets clés des systèmes d'IA modernes : ils n'inventent pas nécessairement une nouvelle façon de contourner la sécurité, mais ils peuvent réduire considérablement la barrière d'entrée pour les opérations complexes.

Par conséquent, la conversation sur Mythos concerne probablement non seulement le modèle Anthropic lui-même, mais une classe plus large de systèmes qui gagnent en autonomie, gèrent mieux la planification et peuvent fonctionner comme un outil entre les mains d'une personne ou d'une équipe. En pratique, de tels appels sont généralement nécessaires pour aligner les cartes des risques et comprendre ce que les banques doivent vérifier en priorité. Cela pourrait impliquer la façon dont le contrôle d'accès aux systèmes internes est organisé, où subsistent des faiblesses dans les processus d'authentification, la sécurité avec laquelle les banques connectent les modèles externes et la rapidité avec laquelle elles pourraient détecter une activité inhabituelle si l'IA était utilisée dans une attaque.

Pour les banques elles-mêmes, c'est aussi un signal pour reconsidérer les scénarios de red teaming, les procédures de gestion des risques fournisseurs et les exigences pour les prestataires de services d'IA. Si un régulateur soulève la question au niveau des directeurs des risques, le sujet bascule presque inévitablement vers le domaine des audits formels, des scénarios de stress et de nouvelles attentes en matière de rapports. La conclusion principale est simple : les grands régulateurs financiers ne considèrent plus les modèles d'IA avancés comme une technologie de bureau neutre.

L'histoire d'Anthropic Mythos montre que pour les banques, la prochaine étape de la mise en œuvre de l'IA sera liée non seulement à la productivité et à l'automatisation, mais à un réexamen rigoureux des risques cybernétiques, des contrôles internes et de la responsabilité dans l'utilisation des modèles externes. Pour le marché, c'est un tournant important : plus les systèmes d'IA deviennent forts, plus rapidement ils commencent à être évalués selon les normes d'infrastructure critique plutôt que de logiciel grand public.