Les régulateurs britanniques avertissent les entreprises de crypto et de finance

Les autorités financières britanniques veulent que les entreprises agissent rapidement. La Banque d’Angleterre, l’Autorité de régulation prudentielle et l’Autorité de conduite financière insistent fortement pour renforcer les défenses cybernétiques — et la raison est assez précise : les modèles d’IA de pointe changent la nature des attaques.

Pas dans un avenir lointain. Maintenant.

Ces systèmes d’IA de pointe ont essentiellement dépassé les limites des menaces cybernétiques plus anciennes et plus familières. Ils peuvent mener des attaques à une vitesse et à une échelle que la plupart des entreprises ne sont tout simplement pas équipées pour gérer. Et le message principal des autorités britanniques est clair — si vous vous fiez encore à des configurations de cybersécurité obsolètes, vous êtes exposé. L’IA de pointe peut analyser l’infrastructure, trouver des points faibles et les exploiter plus rapidement qu’une équipe humaine ne peut réagir. Ce n’est plus un risque théorique. C’est la réalité opérationnelle que les conseils d’administration et les cadres supérieurs doivent comprendre et prendre au sérieux, probablement plus sérieusement que beaucoup ne le font actuellement.

Ce que les régulateurs veulent réellement que les entreprises fassent

Les directives conjointes ne se contentent pas de signaler la menace et de s’en aller. Les autorités précisent les domaines spécifiques où les entreprises doivent s’améliorer.

La gouvernance est en premier. Les conseils d’administration et la direction ne peuvent pas traiter le risque cybernétique lié à l’IA comme un problème du département informatique. La direction doit comprendre l’exposition suffisamment bien pour prendre de réelles décisions stratégiques — où investir, quoi assurer, quels systèmes sont dangereusement obsolètes. Cette dernière partie est plus importante qu’elle n’en a l’air. Une infrastructure ancienne est essentiellement un cadeau pour les attaquants utilisant des outils d’IA, car les vulnérabilités des systèmes hérités sont souvent bien documentées et faciles à explorer à grande échelle.

Les cadres de gestion des risques doivent également être mis à jour. Les entreprises sont censées construire ou affiner leur capacité à gérer les vulnérabilités rapidement — triage rapide, priorisation et remédiation à grande échelle. Le mot « automatisé » revient souvent dans les directives, et pour une bonne raison. Si les attaques alimentées par l’IA se déplacent à la vitesse des machines, les défenses manuelles ne suffiront pas. Les systèmes automatisés capables de suivre ce rythme ne sont pas un luxe. Ils sont en quelque sorte tout l’enjeu.

Tiers, chaînes d’approvisionnement et les lacunes dont personne ne parle

Il y a une section des directives qui mérite plus d’attention qu’elle n’en reçoit habituellement : le risque lié aux tiers et à la chaîne d’approvisionnement.

Les entreprises sont invitées à repenser sérieusement la façon dont elles surveillent et gèrent les intégrations externes — fournisseurs, logiciels open-source, services extérieurs connectés à leurs réseaux. C’est un territoire flou. Une entreprise peut avoir des défenses internes solides et être tout de même touchée par un fournisseur qui n’en a pas. Les autorités veulent que les entreprises disposent de systèmes robustes capables d’identifier et de résoudre les vulnérabilités signalées par des tiers, même lorsque ces vulnérabilités apparaissent à grande échelle. La gestion des accès et la protection des données sont considérées comme essentielles ici, spécifiquement pour réduire la surface d’attaque et limiter les dommages si quelque chose passe.

Plus de contexte : La FCA dit aux prêteurs liés aux crypto-monnaies : Aidez les clients touchés par la hausse des coûts au Moyen-Orient

C’est un problème plus difficile qu’il n’y paraît, surtout pour les grandes institutions avec des chaînes d’approvisionnement complexes et superposées construites au fil des ans.

Les entreprises sont également poussées vers des défenses automatisées qui peuvent réellement correspondre à la vitesse d’une attaque alimentée par l’IA. Pas seulement détecter — répondre. La différence entre ces deux choses, en termes de dommages réels, peut être énorme.

Où les entreprises peuvent-elles trouver des conseils

Les autorités ne laissent pas les entreprises complètement seules. Le Cross Market Operational Resilience Group et le National Cyber Security Centre sont les deux principales ressources recommandées. Le NCSC publie des directives pratiques et organise des webinaires éducatifs spécifiquement conçus pour aider les entreprises à se préparer aux incidents cybernétiques et à renforcer leurs défenses contre les capacités d’IA de pointe.

Le gouvernement britannique reste engagé avec les groupes industriels via le Cross Market Operational Resilience Group. Cet engagement vise à maintenir les directives à jour — car la menace n’est pas statique. Les modèles d’IA de pointe continuent d’évoluer, et les vulnérabilités qu’ils peuvent exploiter évolueront à mesure que ces modèles deviendront plus performants.

Les entreprises qui ne sont pas déjà connectées à ces ressources sont probablement à la traîne. Le matériel du NCSC, en particulier, est conçu pour être actionnable, pas seulement descriptif.

Lire aussi : La Pologne adopte MiCA alors que l’enquête de 96 millions de dollars sur Zondacrypto secoue le secteur crypto

Et le point plus large des autorités est que rien de tout cela ne fonctionne sans une approche collective. Le renforcement des défenses par les entreprises individuelles est nécessaire mais pas suffisant. La résilience du système financier dans son ensemble dépend du partage d’informations par les entreprises, de leur engagement avec les groupes industriels et du traitement du risque cybernétique lié à l’IA comme un défi sectoriel — pas seulement un problème pour ceux qui sont touchés en premier.

Les capacités de réponse et de récupération sont tout aussi importantes que la prévention. Les entreprises doivent être capables de se remettre rapidement des perturbations, selon les meilleures pratiques décrites par la Banque d’Angleterre, la PRA et la FCA. La rapidité de récupération fait de plus en plus partie de ce que les régulateurs entendent par résilience opérationnelle.

La FCA n’a pas fixé de date limite spécifique pour se conformer à ces attentes.