Le gouverneur de la Banque d'Angleterre appelle à une évaluation urgente des risques cybernétiques pour les banques du modèle IA Mythos d'Anthropic

Andrew Bailey, gouverneur de la Banque d'Angleterre, a appelé les régulateurs mondiaux à évaluer rapidement la menace que le modèle d'IA Mythos d'Anthropic pourrait représenter pour les banques. Cette déclaration en elle-même est importante non seulement en raison de la mention d'une entreprise ou d'un modèle spécifique. Elle signale que la discussion sur l'intelligence artificielle dans le secteur financier se déplace des questions d'efficacité et d'automatisation vers des préoccupations concernant la résilience cybernétique et le risque systémique.

Pour les banques centrales et les autorités de surveillance, l'accent porte désormais non seulement sur le potentiel de l'IA, mais sur la rapidité avec laquelle elle pourrait modifier le profil des menaces pour les plus grandes organisations financières. Bailey dirige l'une des principales banques centrales du monde, et ses avertissements publics sont généralement interprétés comme un signal adressé à la communauté régulatrice plus large. Lorsqu'il s'agit de risque cybernétique, les préoccupations ne portent pas sur l'abstrait « soulèvement des machines » mais sur des scénarios plus concrets : accélération des attaques de phishing, automatisation de la reconnaissance des vulnérabilités, génération de code malveillant, contournement des procédures internes et réduction des coûts pour les attaques sophistiquées perpétrées par des acteurs malveillants.

Les banques sont particulièrement sensibles à de tels changements car elles gèrent simultanément l'argent, l'infrastructure critique de paiement et d'énormes volumes de données confidentielles. De manière significative, Bailey parle spécifiquement d'une réponse régulatrice mondiale. Les grandes banques opèrent dans plusieurs juridictions, dépendent de services cloud internationaux, sont connectées à des canaux de paiement partagés et utilisent de longues chaînes de fournisseurs technologiques externes.

Si un système d'IA puissant abaisse la barrière à l'entrée pour les cyberattaques ou accélère la préparation d'opérations complexes, le problème ne reste pas localisé. Un maillon faible dans un pays ou chez un entrepreneur peut rapidement devenir un problème pour les flux financiers transfrontaliers. C'est pourquoi l'idée d'une évaluation rapide s'apparente à un appel à la coordination, plutôt qu'à un simple rapport interne supplémentaire.

La mention de Mythos est également révélatrice. Les régulateurs discutent souvent de l'IA en tant que classe de technologies mais pointent rarement publiquement un modèle spécifique nécessitant une évaluation urgente des risques. Cela indique que l'accent se déplace graduellement des principes généraux vers l'analyse pratique des capacités d'un produit : à quel point il peut exécuter de manière autonome des chaînes d'actions, sa performance sur les tâches techniques, sa capacité à utiliser des outils externes, comment il étend les possibilités d'abus à grande échelle et à quelle vitesse ses capacités s'améliorent d'une version à l'autre.

Une telle approche n'équivaut pas à accuser le développeur de créer un outil dangereux. Elle reflète plutôt la reconnaissance que les capacités du modèle lui-même deviennent un sujet de supervision financière. Pour les banques, de tels signaux signifient que l'hygiène cybernétique formelle seule n'est plus suffisante.

Elles devront probablement réévaluer les contrôles d'accès, les processus d'utilisation par les employés de services d'IA externes, la vérification des entrepreneurs, les tests de scénarios de fraude, la protection des référentiels de code internes et la qualité de la surveillance des activités inhabituelles. Simultanément, l'IA complique le tableau car les mêmes technologies peuvent renforcer à la fois la défense et l'attaque. Les systèmes qui aident les analystes à détecter rapidement les anomalies et à automatiser les enquêtes pourraient potentiellement accélérer aussi la préparation d'attaques plus précises et à grande échelle.

Pour cette raison, l'ancien modèle d'audits peu fréquents et de mise à jour lente des exigences semble de plus en plus insuffisant. La déclaration de Bailey peut être lue comme un indicateur précoce d'une nouvelle phase de régulation : l'IA en finance est désormais considérée non seulement sous l'angle de l'innovation, mais aussi sous celui de la résilience opérationnelle. Si les régulateurs mondiaux accélèrent véritablement cette évaluation, les banques feront probablement face à des exigences plus strictes concernant les tests, la divulgation d'informations et la gestion des dépendances technologiques externes.

Si ce n'est pas le cas, l'avantage en matière de vitesse pourrait pencher du côté des attaquants. La question centrale ici n'est pas de savoir si le secteur financier a besoin de l'IA, mais si les règles et mesures de protection peuvent suivre le rythme du développement des modèles eux-mêmes.