Accéder au contenu principal

Les institutions financières de taille intermédiaire ne peuvent pas reproduire la réponse des grandes banques aux cyberrisques liés à l’IA de pointe. Quelle approche devraient‑elles adopter?

Les institutions financières de taille intermédiaire ne peuvent ni mobiliser une équipe de crise, ni accélérer des cycles de correction trop lents, ni maîtriser chaque tiers critique – et elles ne devraient pas s’y atteler. Elles doivent toutefois démontrer au conseil d’administration, aux autorités de réglementation et au marché une approche de réponse crédible et défendable.

Points essentiels

  • L’IA de pointe met désormais en lumière des risques de façon continue et à grande échelle, mais la plupart des organisations n’ont pas la capacité de les valider, de les prioriser et d’y remédier au même rythme.
  • Les institutions financières de taille intermédiaire ne peuvent pas reproduire les modèles de réponse des grandes banques. Elles doivent adopter un modèle différent, capable d’offrir le même niveau d’agilité et de coordination, malgré des contraintes bien réelles.
  • La gestion des risques repose désormais sur une compréhension fine des dépendances tierces, une priorisation à l’échelle du réseau et la mobilisation de capacités partagées pour agir plus rapidement et de manière cohérente.  

Discutez avec nos dirigeants

L’IA de pointe met au jour des vulnérabilités plus rapidement que la plupart des équipes ne peuvent les traiter. Le goulot d’étranglement ne se situe plus au niveau de la visibilité, mais plutôt de la validation, de la priorisation et de la remédiation. Les modèles d’exploitation en place ne sont pas conçus pour soutenir un tel volume ni une telle cadence. Les processus de gouvernance et de gestion du changement ne permettent pas non plus d’atteindre la rapidité de décision désormais requise.

L’IA accroît cette pression sur l’ensemble de la surface d’attaque. Ce qui relevait autrefois d’un processus limité s’exécute désormais en continu, à vitesse machine, ce qui multiplie le volume de vulnérabilités et élève les attentes envers les équipes de réponse.

Pour les institutions financières de taille intermédiaire, cet écart devient de plus en plus difficile à ignorer. Des avancées marquantes comme Mythos ou Project Glasswing accélèrent la prise de conscience de ce que l’IA de pointe peut révéler. Les conseils d’administration observent de près la réponse des grandes banques et suivent l’évolution des attentes réglementaires. La plupart exigent déjà des réponses quant à la découverte des vulnérabilités alimentée par l’IA. Les organisations qui anticipent cet examen renforceront leur crédibilité et seront mieux positionnées pour orienter les discussions à venir.

Ce n’est pas une version allégée du modèle des grandes banques qu’il faut reproduire, mais bien en concevoir un autre.

Mythos ne fera pas disparaître les risques

Mythos n’est pas une finalité, mais un signal précoce.

L’émergence de Mythos et d’autres modèles ne constitue pas une perturbation passagère. Les capacités de l’IA de pointe évoluent rapidement, et des modèles comme Mythos ne représentent qu’un point de départ. Ce qui paraît avancé aujourd’hui pourrait sembler élémentaire d’ici 12 à 18 mois.

L’accès aux modèles de pointe n’est pas le facteur limitatif, et il ne le sera pas lorsqu’ils seront largement accessibles. Les institutions financières de taille intermédiaire doivent plutôt adopter une posture de réponse évolutive, capable de s’adapter en continu, plutôt que de s’appuyer sur des mises à jour périodiques.

Le modèle d’exploitation actuel ne peut pas absorber cette augmentation du volume

Les organisations passent de quelques dizaines à des milliers de correctifs à déployer, et les processus de réponse traditionnels – fondés sur des cycles de test, la gestion des changements et des mises en production séquencées – ne résisteront pas à cette pression. Les dirigeants sont contraints de faire des arbitrages en temps réel : accélérer les correctifs au risque d’accroître le risque opérationnel, ou ralentir la réponse et accepter une exposition plus élevée.

Les leaders de la cybersécurité doivent désormais décider, souvent en temps réel, quelles vulnérabilités exigent une intervention immédiate (y compris en cas d’exposition potentielle à des vulnérabilités de type zero-day), lesquelles peuvent être contenues par d’autres mesures, et comment arbitrer entre les priorités de sécurité et la stabilité opérationnelle.

Les organismes de réglementation sont déjà en mouvement. La lettre sectorielle publiée en mai 2026 par le New York State Department of Financial Services (NYDFS) sur les cyberrisques liés à l’IA de pointe réitère une attente bien établie : « la meilleure préparation face aux modèles d’IA de pointe repose sur un programme de cybersécurité robuste, intégrant des capacités rapides et complètes d’identification et de remédiation des vulnérabilités1 ».

Le NYDFS est historiquement passé rapidement des orientations à l’application, notamment par le biais des ordonnances de consentement prévues à la Part 500, et l’expérience montre que d’autres organismes de réglementation devraient suivre2. Au Canada, le BSIF n’a pas encore publié de directives propres à l’IA de pointe, mais les leviers de surveillance sont déjà en place. La ligne directrice B‑13 porte sur la gestion des risques technologiques et cybernétiques3. La ligne directrice E‑21 couvre la résilience opérationnelle et les opérations critiques4. Enfin, la ligne directrice B‑10 traite des risques liés aux tiers, y compris la concentration5.

Il n’est pas réaliste d’attendre des orientations formelles. Les institutions doivent interpréter les cadres existants à la lumière de l’IA de pointe.

Pour les institutions financières de taille intermédiaire, les priorités à court terme sont claires : s’aligner dès maintenant sur des attentes accrues en matière de gestion des vulnérabilités, tout en s’appuyant sur des cadres comme le FS‑ISAC pour bâtir, au fil du temps, une capacité de réponse à l’IA de pointe plus complète6.

Les mêmes pressions, un modèle de réponse différent

Les institutions financières de taille intermédiaire font face aux mêmes risques fondamentaux que les grandes banques, mais dans un écosystème fortement interconnecté, où une perturbation peut se propager rapidement aux systèmes de paiement, de règlement et aux infrastructures partagées.

Pour les institutions financières axées sur le numérique, l’exposition passe par un réseau concentré de tiers critiques, notamment les processeurs de base, les fournisseurs de solutions de connaissance du client (KYC), les réseaux de cartes et les plateformes infonuagiques. Le Fonds monétaire international (FMI) a d’ailleurs identifié des défaillances corrélées, alimentées par l’IA, au sein de cet écosystème comme un vecteur potentiel de risque systémique, avec des répercussions sur les paiements, l’intermédiation financière et la confiance du marché7.

Les institutions financières de taille intermédiaire ne pourront pas reproduire la façon dont les grandes banques, notamment les cinq grandes banques canadiennes, réagissent. Ces dernières peuvent mobiliser des cellules de crise dédiées, déployer des équipes spécialisées et mener des interventions en parallèle dans le cadre de mécanismes de montée en charge. La plupart des institutions de taille intermédiaire ne le peuvent pas – et ne devraient pas chercher à le faire.

Ce dont elles ont besoin, en revanche, ce sont les résultats de ce modèle : la capacité de trier, de prioriser et d’agir avec la même rapidité et coordination, mais selon une approche évolutive, durable et économiquement viable.

Les institutions financières de taille intermédiaire sont confrontées à un choix structurel :

  • Tout corriger est trop coûteux et fragilise les opérations.
  • S’appuyer uniquement sur la détection laisse subsister un niveau de risque trop élevé lorsque la fenêtre entre la découverte et l’exploitation se referme.

La voie à privilégier repose sur une résilience ciblée et une remédiation priorisée. Elle consiste à concentrer des ressources limitées sur des contrôles qui réduisent la portée des incidents et accélèrent le déploiement de correctifs fiables. C’est cette approche que mettent en œuvre les trois leviers présentés ci‑après.

Ne cherchez pas à reproduire une version réduite du modèle des grandes banques. Concevez plutôt un modèle d’exploitation distinct, capable d’offrir un niveau d’agilité équivalent dans des contraintes plus serrées.

Trois leviers pour renforcer votre modèle de réponse

Levier 1 : Optimiser la chaîne validation-remédiation

  • Ne multipliez pas les outils par défaut. Ajouter davantage d’outils d’analyse de code alimentés par l’IA augmente le volume sans améliorer les résultats. Accroître la détection sans améliorer la réponse ne fait qu’amplifier le goulot d’étranglement.
  • Concentrez-vous sur la chaîne de validation à la remédiation. Investissez pour accélérer la validation, le triage et la prise de décision en vous appuyant sur vos outils existants, complétés par des capacités ciblées, à faible coût ou issues de l’écosystème libre.
  • Simplifiez le triage pour passer plus rapidement du signal à l’action. Réduisez les frictions dans la validation, la priorisation et le transfert des vulnérabilités vers les équipes responsables afin de raccourcir le délai de décision.  
En pratique, cela se traduit par un modèle de remédiation par paliers : des voies automatisées pour les changements à faible risque et à forte certitude (mises à jour de dépendances, images de conteneurs, configurations infonuagiques), des voies semi‑automatisées avec validation humaine avant la mise en production (intergiciels, dépendances applicatives, resserrement des politiques), et des voies pilotées par des équipes pour les systèmes hérités ou à risque d’affaires élevé. La rapidité repose sur l’affectation du bon type de travail à la bonne voie, et non sur une automatisation généralisée. 
  • Faites du délai moyen d’application des correctifs (MTTP) l’indicateur de performance principal. Évaluez la performance selon la rapidité de remédiation plutôt que le volume de détection. Par exemple : niveau 0 pour les actifs exposés externes en 24 à 48 heures ; niveau 0 pour les actifs non critiques en moins de 7 jours ; niveau 1 en moins de 14 jours ; niveau 2 en moins de 30 jours, selon votre contexte.
  • Renforcez la responsabilisation des fournisseurs dans la chaîne de réponse. Évaluez la préparation des tiers face aux scénarios de vulnérabilités liés à l’IA de pointe. En l’absence de plans de réponse clairs ou documentés, considérez cela comme un signal de risque significatif.

Levier 2 : Contenir le risque lorsque la correction immédiate n’est pas possible

  • Priorisez la visibilité sur vos dépendances les plus critiques. Identifiez vos principales relations tierces selon leur criticité et cartographiez leurs interconnexions avec vos systèmes internes afin d’orchestrer la remédiation et la réponse à l’échelle de l’écosystème.
  • Mobilisez activement vos fournisseurs sur leur exposition aux risques liés à l’IA de pointe. Exigez des positions claires et formalisées sur leurs plans de réponse aux vulnérabilités. L’absence de clarté ou les retards de réponse doivent être traités comme des signaux de risque nécessitant une escalade.
  • Tirez parti de la visibilité sur l’écosystème pour orienter vos décisions. Priorisez la remédiation en fonction des chaînes de dépendance et des répercussions potentielles en aval, et non uniquement selon des niveaux de gravité internes.
  • Admettez que toutes les vulnérabilités ne peuvent pas être corrigées immédiatement. Mettez l’accent sur la réduction de l’exploitabilité lorsque les correctifs sont différés.
  • Déployez des contrôles compensatoires à grande échelle. Misez sur la segmentation du réseau, une surveillance renforcée et des correctifs virtuels pour contenir les risques en attendant la remédiation.

Levier 3 : Mutualiser ce qui ne doit pas être construit seul

  • Anticipez des vagues récurrentes de vulnérabilités. L’IA de pointe entraînera des hausses répétées du volume et de la complexité.
  • Mutualisez les capacités non différenciatrices. Tirez parti d’approches partagées ou fondées sur l’écosystème.
  • Concentrez les capacités internes là où elles créent le plus de valeur. Priorisez la prise de décision, la priorisation et l’orchestration de la réponse, plutôt que de reproduire des capacités en amont.
  • Définissez à l’avance des modèles de réponse en situation de pointe. Établissez des seuils clairs de priorisation, des arbitrages opérationnels et des niveaux de perturbation acceptables.
  • Clarifiez ce qui doit se poursuivre et ce qui peut être suspendu sous pression. Identifiez les services critiques devant être maintenus, ainsi que les activités pouvant être temporairement dépriorisées ou ralenties en période de tension.

Les institutions financières de taille intermédiaire ne doivent pas agir seules

Vous n’avez pas besoin d’accéder dès aujourd’hui aux modèles d’IA de pointe les plus récents. L’essentiel est d’adopter une posture capable de tenir dans la durée, à mesure que ces capacités deviennent largement accessibles.

Face à ce type d’enjeu, le marché gagne en résilience lorsque les institutions partagent ce qu’elles peuvent : renseignements sur les menaces, interprétation réglementaire, capacités de détection liées à l’IA de pointe et retours d’expérience entre pairs. Ces éléments ne constituent pas un avantage concurrentiel pour une institution en particulier, et les développer en silo mobilise inutilement des ressources limitées qui devraient être consacrées aux décisions stratégiques propres à votre organisation.

Cela commence par un plan clair et défini dans le temps : renforcer la gestion des vulnérabilités, intégrer les dépendances tierces à l’échelle de l’écosystème et prendre des décisions explicites quant aux priorités immédiates et aux risques à accepter et aux mesures à reporter. Une initiative collective est actuellement mise en place pour les institutions financières canadiennes de taille intermédiaire, afin de mutualiser ces capacités communes et de donner aux participants une visibilité sur la manière dont les grandes banques canadiennes et les banques d’importance systémique mondiale (G‑SIB) se mobilisent en temps réel.

Si votre conseil d’administration ou votre haute direction s’interroge sur votre plan, discutons-en.  

  1. New York State Department of Financial Services, « May 2026 NYDFS industry letter on frontier-AI cyber risk » (en anglais), 21 mai 2026.
  2. New York State Department of Financial Services, « SECOND AMENDMENT TO 23 NYCRR 500 » (en anglais), 15 juin 2026.
  3. Bureau du superintendant des institutions financières, « Ligne directrice E-21 sur la gestion du risque opérationnel et la résilience opérationnelle », 31 juillet 2022.
  4. Bureau du superintendant des institutions financières, « Document d’information : Ligne directrice E-21 sur la gestion du risque opérationnel et la résilience opérationnelle », 22 août 2024.
  5. Bureau du superintendant des institutions financières, « Ligne directrice sur la gestion du risque lié aux tiers », 30 août 2023.
  6. FS-ISAC, « Sector Risk Advisory Preparing the Enterprise for AI-Enabled Vulnerability Discovery » (en anglais), 15 juin 2026.
  7. IMF Blog, « Financial Stability Risks Mount as Artificial Intelligence Fuels Cyberattacks » (en anglais), 7 mai 2026.

Est-ce que cette information vous a été utile?

Merci pour vos commentaires