Les entreprises doivent sécuriser leur utilisation de l’IA, indépendamment de la réglementation
La réglementation sur l’IA accuse un retard considérable par rapport à son adoption. Plus de trois quarts des entreprises de services financiers au Royaume-Uni utilisent déjà cette technologie dans des cas d’utilisation variés, allant du service client à la détection de fraude.
Cependant, ces gains potentiels s’accompagnent de nouveaux risques. Bien qu’il soit encourageant de voir le comité des finances fournir un examen nécessaire dans ce domaine, son dernier rapport est décevant.
Des avancées timides
Il n’y a pas que des mauvaises nouvelles. Le comité souligne à juste titre que l’IA peut être utilisée par des adversaires pour rendre les campagnes de fraude plus efficaces et pour augmenter le volume et l’échelle des cyberattaques contre le secteur des services financiers. Il soutient également que l’approche « attendre et voir » de la réglementation de l’IA expose les consommateurs et le système financier à des préjudices potentiellement graves.
Il est juste de suggérer qu’un manque de clarté de la part des régulateurs menace de rendre les consommateurs vulnérables à des décisions « boîte noire », à des biais possibles et à un risque croissant d’exclusion financière. Les appels à une orientation plus claire de l’autorité de régulation, à des tests de résistance spécifiques à l’IA, et à la désignation rapide des principaux fournisseurs d’IA et de cloud comme parties critiques sont tous raisonnables.
Attention aux vulnérabilités
Le problème réside dans ce qui n’est pas dit. L’IA représente une surface d’attaque potentiellement énorme pour les acteurs malveillants. Des recherches ont démontré à maintes reprises que des vulnérabilités existent dans l’écosystème et peuvent être exploitées pour voler des données sensibles, perturber des services critiques et extorquer des entreprises.
Ces problèmes sont multipliés par l’émergence de systèmes agentiques capables d’agir de manière autonome. En raison du peu de surveillance humaine, les hackers pourraient attaquer et subvertir un agent sans déclencher d’alarmes, réalisant potentiellement des actions aux conséquences irréversibles.
Risques liés à la chaîne d’approvisionnement
Le risque provient également d’une vaste chaîne d’approvisionnement en IA, composée de divers composants tiers tels que des bibliothèques open source, des plug-ins, des API et des plateformes de modèles hébergés. Cela offre des opportunités aux adversaires motivés pour implanter des portes dérobées. Ces portes peuvent être déclenchées lorsqu’un système est opérationnel et a été adopté par une organisation de services financiers.
Certains composants ne nécessitent même pas d’authentification pour y accéder, ce qui facilite la tâche des acteurs malveillants. Les cadres open source se mettent à jour plusieurs fois par jour, augmentant ainsi la probabilité d’introduire de nouvelles vulnérabilités que les équipes de sécurité informatique doivent trouver et corriger. Même des erreurs honnêtes dans les composants tiers, comme de mauvaises configurations, peuvent créer des risques directs pour la sécurité et la conformité.
Commencer par la gouvernance
En l’absence de mandats réglementaires clairs, comment les services financiers peuvent-ils atténuer ces risques croissants liés à l’IA ? Tous les efforts devraient commencer par la gouvernance.
De nombreuses entreprises déploient la technologie si rapidement qu’elles ont du mal à comprendre à quel point l’IA accède et utilise des données sensibles. L’utilisation d’IA cachée reste un défi majeur, ce qui augmente le coût moyen d’une violation de données par organisation.
Établir des politiques claires pour l’adoption de l’IA, appliquer des contrôles d’identité et d’accès stricts, et surveiller toutes les interactions avec l’IA aidera à réduire les chances d’utilisation abusive du modèle ou de fuite de données.
Ensuite, il faut se pencher sur la chaîne d’approvisionnement. Scanner les composants IA, y compris les API, les bibliothèques open source et les serveurs de modèles pour détecter les vulnérabilités et les mauvaises configurations. Ajouter des contrôles de sécurité automatisés et surveiller continuellement les points d’accès exposés pour prévenir les manipulations et les accès non autorisés.
Pour les entreprises de services financiers qui construisent leurs propres services d’IA, la direction devrait être de « sécuriser par conception ». Cela signifie s’assurer que les modèles, les bases de données et les flux de déploiement sont surveillés en temps réel pour détecter d’éventuelles compromissions et une « dérive » progressive par rapport à leurs configurations d’origine.
Les vulnérabilités émergent si rapidement dans ces environnements qu’une évaluation continue de la posture de sécurité et une remédiation rapide basée sur les risques sont également essentielles.
Pour les entreprises de services financiers, ce ne sont pas des défis théoriques. Le risque est réel, et il provient à la fois d’acteurs motivés financièrement et d’États. Si le secteur veut récolter les bénéfices de l’IA, il doit d’abord la sécuriser — que la réglementation existe ou non.
