La BCE examine les cyberrisques de l'IA bancaire

La BCE examine les cyberrisques liés à l'IA dans les banques

Publié 22 avr. 2026, 11:26 Mis à jour 31 mai 2026, 09:58 3 min de lecture Talia Emily Rogic (Editor-in-Chief & Founder)

Bâtiment de la Banque centrale européenne à Francfort la nuit

La BCE veut évaluer la préparation des banques face aux cyberrisques liés aux modèles d’IA avancés, notamment autour de Mythos.

La Banque centrale européenne regarde de plus près les cyberrisques que des modèles d'intelligence artificielle avancés pourraient créer pour les banques. Reuters a rapporté en avril 2026 que les superviseurs de la BCE collectaient des informations sur Mythos, le modèle d'Anthropic, et prévoyaient d'interroger les banques de la zone euro dans le cadre de leurs échanges habituels de supervision. Le sujet n'est pas une interdiction de l'IA, mais la capacité des établissements à maîtriser un nouveau type de risque.

Les superviseurs veulent mesurer la préparation

Mythos attire l'attention parce que des spécialistes de cybersécurité estiment que ce type de modèle pourrait aider à trouver plus vite des failles logicielles ou à préparer des attaques plus efficaces. Pour les banques, le problème est concret : elles combinent anciens systèmes, services cloud, prestataires externes, données sensibles et outils automatisés. Si les vulnérabilités deviennent plus faciles à repérer, le temps disponible pour les corriger diminue.

D'après Reuters, la BCE entend traiter la question par ses canaux de supervision ordinaires. Cette précision compte. Il ne s'agit pas d'un message de panique, mais d'une vérification précoce : les banques doivent pouvoir expliquer où l'IA intervient, comment les modèles sont testés et quels mécanismes permettent d'interrompre un processus en cas d'anomalie.

Les fournisseurs externes compliquent la surveillance

Une partie du risque vient aussi de la dépendance aux prestataires. Beaucoup d'établissements n'entraînent pas leurs modèles eux-mêmes et s'appuient sur des fournisseurs de logiciels, des API, des services cloud ou des outils de cybersécurité spécialisés. Cette approche accélère les projets, mais elle rend plus difficile l'identification de la responsabilité en cas d'incident.

La BCE avait déjà souligné ces enjeux dans son analyse de stabilité financière publiée en 2024. L'institution y évoquait les bénéfices possibles de l'IA, mais aussi les risques liés à la qualité des données, à la gouvernance des modèles, à la cybersécurité et à la concentration autour de grands fournisseurs technologiques. L'affaire Mythos donne un exemple plus immédiat à ces préoccupations.

Le contrôle devient une exigence opérationnelle

D'autres banques centrales suivent la même piste. Reuters a rapporté que le gouverneur de la Banque d'Angleterre, Andrew Bailey, voulait comprendre rapidement ce qu'un nouveau modèle d'Anthropic pouvait signifier pour les banques et les systèmes technologiques. La Banque d'Angleterre a aussi indiqué au Parlement qu'elle testait les risques de l'IA pour le système financier avec des simulations et des scénarios.

Pour les banques européennes, le message est clair : l'IA ne peut pas être présentée uniquement comme un outil d'efficacité. Les établissements devront prouver que leurs modèles sont audités avant déploiement, surveillés pendant leur utilisation et limités rapidement si un comportement anormal apparaît. Ils devront aussi connaître précisément les prestataires et infrastructures qui soutiennent leurs fonctions critiques.

La BCE ne demande donc pas aux banques d'abandonner l'IA. Elle leur demande de démontrer qu'elles en contrôlent les risques. Dans la finance, la rapidité d'un système compte moins que sa robustesse lorsqu'il traite des paiements, des données clients ou des décisions sensibles.