La Banque centrale européenne (BCE) a convoqué de manière urgente les dirigeants des principales institutions financières d’Europe pour discuter de la menace inédite représentée par Claude Mythos, le dernier modèle d’intelligence artificielle développé par Anthropic. Cette réunion exceptionnelle témoigne des préoccupations croissantes au sein de l’institution de Francfort concernant les capacités de cette IA à détecter et potentiellement exploiter les failles de sécurité au sein des infrastructures bancaires européennes, souvent invisibles mais alarmantes, rapporte TopTribune.
La BCE fait face aux nouvelles menaces de cybersécurité
Ce mardi 26 mai, la BCE a convoqué de manière exceptionnelle les hauts responsables des banques européennes afin de confronter les enjeux critiques liés à l’avènement de Claude Mythos.
Frank Elderson, membre du conseil de surveillance de la BCE et vice-président du Conseil de surveillance prudentielle, a exprimé des inquiétudes lors d’un entretien avec le Financial Times. « Nous avons travaillé pendant des années sur de nombreuses questions de cybersécurité en collaboration avec les banques, mais compte tenu de l’avancée de l’IA, ces questions doivent être traitées plus rapidement », a-t-il déclaré, soulignant l’urgence de la situation : plutôt qu’une simple rupture, c’est une intensification des défis qui est à l’œuvre, et les banques européennes ont des difficultés à en évaluer l’ampleur.
Des capacités de détection alarmantes
Les résultats du projet Glasswing, rendu public par Anthropic, sont révélateurs. En un mois seulement, les partenaires de ce programme ont mis en lumière plus de 10 000 vulnérabilités grâce à cette IA expérimentale, multipliant par dix le taux de détection précédent. Parmi les participants au projet figurent des entreprises technologiques de premier plan, telles que Cloudflare et Mozilla, reconnues pour leur expertise en cybersécurité.
Les résultats de ces évaluations mettent en avant des performances exceptionnelles. Selon Yahoo Finance, l’Institut britannique de sécurité IA a constaté que Mythos Preview réussissait 73 % des défis de niveau expert lors des simulations de cybersécurité, un seuil jamais atteint auparavant par d’autres systèmes d’intelligence artificielle. Ces défis, conçus pour reproduire des incidents réels dans un cadre contrôlé, représentent la référence absolue en matière de compétences en cybersécurité. La capacité à résoudre ces défis avec une telle efficacité démontre la mince ligne entre outils de protection et potentiel offensif.
Lors d’une démonstration de ses capacités, Claude Mythos a permis à une banque partenaire d’arrêter un virement frauduleux de 1,5 million de dollars après qu’un acteur malveillant a compromis le compte d’un client. Cette situation illustre la dualité de ce système, pouvant être une défense robuste entre les mains des bons et une arme redoutable pour les malfaiteurs.
Une problématique géopolitique inquiétante
Le cœur du défi pour les régulateurs européens réside dans l’accès restreint à Claude Mythos : seules quarante à cinquante organisations à l’échelle mondiale ont l’autorisation d’utiliser ce modèle dans le cadre du projet Glasswing. Ce constat soulève des inquiétudes, car les bénéficiaires incluent des géants américains comme Amazon, Microsoft, Google, Nvidia et JPMorgan Chase, laissant les banques européennes sur le carreau. L’agence ANSA souligne que ce déséquilibre d’accès représente un danger systémique pour le secteur financier en Europe.
Cette disparité technologique place les institutions financières du Vieux Continent dans une vulnérabilité structurelle : elles sont exposées aux mêmes risques que leurs homologues américaines, mais sans les outils nécessaires pour y répondre. Selon The Next Web, la BCE a explicitement demandé aux banques américaines présentes lors de cette réunion de partager leurs instructions avec les banques européennes, exclues du programme, révélant ainsi l’ampleur du fossé technologique qui s’est creusé entre les deux rives de l’Atlantique.
Une course à la technologie
Le sens d’urgence exprimé par Frank Elderson ne relève pas d’une simple rhétorique. Ce sentiment est profondément ancré dans la réalité quotidienne des équipes de sécurité bancaire, qui ressentent une pression accrue. « Il semble que lorsque l’un des grands fournisseurs de logiciels publie une mise à jour, il est possible de contourner les protections en place non pas en quelques semaines, mais potentiellement en seulement 30 minutes », a-t-il expliqué, illustrant l’accélération des défis.
Aujourd’hui, les banques ne disposent plus de jours, voire semaines, pour analyser et déployer des correctifs de sécurité. Le temps de réaction s’est considérablement réduit, rendant obsolètes de nombreux processus méthodologiques basés sur l’idée d’une disponibilité temporelle. Cette évolution rapide exige une transformation profonde dans la façon dont les banques envisagent leur sécurité informatique.
Pour illustrer cette nécessité de changement, Elderson a utilisé une métaphore musicale frappante : « En termes musicaux, il était peut-être suffisant d’opter pour un rythme andante, mais nous devons maintenant passer à un tempo presto. » Cette image résume parfaitement la nécessité d’un changement radical dans la gestion de la cybersécurité au sein des banques.
