Les services financiers traverseront la vague de l’IA. Mais votre fonction de cybersécurité y survivra‑t‑elle?
Déployer l’IA sans sécurité et confiance intégrées augmente les risques et ralentit les résultats. Voici comment les leaders en cybersécurité peuvent garder une longueur d’avance.
Le secteur des services financiers ne manque certainement pas d’ambition en matière d’IA. Les centres de contact l’utilisent déjà pour éliminer les arriérés, interagir avec les clients et accroître la productivité. Les équipes responsables des paiements s’en servent pour numériser et accélérer le traitement. Les marchés des capitaux s’appuient depuis des années sur l’apprentissage automatique et l’intelligence pour optimiser les stratégies de négociation.
Cependant, cette adoption rapide s’accompagne d’une réalité risquée : les entreprises déploient l’IA plus vite que les fonctions de sécurité et de gouvernance ne peuvent suivre, ce qui crée une responsabilisation fragmentée, des contrôles incohérents et des équipes de cybersécurité qui tentent de rattraper des initiatives guidées par l’IA déjà en cours.
Le directeur de la sécurité de l’information a toujours été chargé de protéger la valeur au sein des systèmes, des données, des clients et du capital. Mais à mesure que des systèmes agentiques raisonnent et agissent de manière autonome, les mécanismes de confiance conçus pour des utilisateurs humains peinent à suivre, laissant les directeur de la sécurité de l’information responsables de risques dans des environnements qu’ils n’ont pas conçus. Résultat : un écart grandissant entre la manière dont l’IA est utilisée et la manière dont elle est gouvernée.
Le rôle de la cybersécurité évolue. Votre fonction de cybersécurité peut-elle fournir l’infrastructure de sécurité et de confiance nécessaire pour permettre les transformations de l’IA au rythme exigé par le secteur des services financiers?
La plupart des équipes déploient l’IA plus vite que leurs contrôles de cybersécurité ne peuvent évoluer
Dans les services financiers, l’argument en faveur de l’IA est clair. Les projets pilotes et les programmes de productivité laissent place à de véritables déploiements à mesure que l’IA générative entre dans les flux de travail opérationnels et que les modèles d’apprentissage automatique évoluent vers des capacités génératives et agentiques.
Cependant, les cadres de sécurité et de gouvernance ne sont pas toujours intégrés dès le départ. À mesure que les cas d’utilisation se multiplient, la supervision demeure souvent liée à des structures de gestion des risques héritées, jamais conçues pour gouverner des systèmes autonomes à la vitesse machine. Cela crée des zones floues en matière de responsabilités et de reddition de comptes. Lorsque la cybersécurité intervient trop tard, les équipes se retrouvent à sécuriser des systèmes sur lesquels elles ont peu ou pas eu d’influence initiale.
Dans un secteur où chaque décision doit être défendable et prête pour l’examen réglementaire, les responsabilités ne peuvent plus être isolées. La cybersécurité, la gouvernance, l’architecture et les modèles opérationnels doivent évoluer ensemble, en commençant par les fondations qui les soutiennent.
Des mesures incontournables pour renforcer vos défenses
Les équipes de cybersécurité doivent suivre le rythme de l’IA tout en gérant les coûts, les exigences réglementaires et la complexité. Voici quatre mesures incontournables pour renforcer la supervision sans ralentir la cadence.
Automatisez d’abord la fonction de cybersécurité : alors que l’IA transforme les services financiers, les garde‑fous traditionnels atteignent leurs limites. Les équipes de cybersécurité fonctionnent déjà à plein rendement, et ajouter davantage de supervision manuelle ou de processus lourds ne comblera pas l’écart.
Avant de demander plus de budget, les leaders de cybersécurité devraient intégrer l’IA directement dans leurs opérations : automatiser les contrôles répétitifs, accélérer la détection et simplifier le triage des alertes. En appliquant l’IA à votre propre fonction dès le départ, vous créez la capacité et la résilience structurelle nécessaires pour sécuriser des risques émergents plus complexes à l’échelle de l’entreprise.
Renforcer la littératie en IA au sein des équipes de cybersécurité : les équipes de cybersécurité ne peuvent pas sécuriser ce qu’elles ne comprennent pas. La littératie en IA doit aller au-delà des cadres de sécurité traditionnels pour inclure une compréhension approfondie et pratique de la construction des modèles, du comportement des systèmes génératifs et du fonctionnement des systèmes agentiques qui peuvent lancer des actions de manière autonome. L’amélioration des compétences, des embauches ciblées et la création de rôles en sécurité spécialisés en IA permettent d’évaluer ces systèmes avec assurance et de concevoir des contrôles adaptés à leur adoption rapide.
Redessiner la cybersécurité en plaçant l’IA au centre : pour sécuriser l’IA à grande échelle, la cybersécurité doit devenir elle-même un système d’exploitation de confiance alimenté par l’IA, et non une collection de points de contrôle manuels hérités. Les modèles de sécurité traditionnels ont été conçus pour des systèmes dirigés par des humains, pas pour des réseaux d’apprentissage automatique, des modèles génératifs ou des flux de travail agentiques. Les adapter ne suffit presque jamais lorsque l’IA est intégrée directement dans les plateformes et les processus décisionnels.
Gérer l’IA efficacement exige un modèle opérationnel différent : une gouvernance clarifiée fondée sur une responsabilisation partagée entre la cybersécurité, la gestion des modèles et les unités d’affaires. La sécurité doit être intégrée à chaque étape du cycle de vie de l’IA en tant que fonctionnalité à part entière. Cela implique de passer d’approbations ponctuelles à une assurance continue dans les chaînes de livraison pilotées par l’IA.
Se préparer à des systèmes qui agissent, et non qui conseillent : lorsque l’IA passe de la génération d’analyses à l'action, le profil de risque change radicalement. L’IA agentique impose un niveau plus élevé de gouvernance, de reddition de comptes et de traçabilité, surtout dans les activités où la relation client et la conformité réglementaire sont essentielles.
Pour maintenir la confiance des organismes de réglementation et celle des clients, les leaders en cybersécurité doivent comprendre comment les actions sont déclenchées, quels garde‑fous doivent être en place, quand l’humain doit intervenir et comment les décisions sont consignées pour assurer leur traçabilité. Se préparer à cette évolution exige des cadres de supervision plus robustes, conçus en tenant compte des attentes des régulateurs.
Cadre d’architecture de cybersécurité pour l’IA
L’IA est déjà intégrée dans la façon dont les services financiers déplacent le capital, gèrent les risques et interagissent avec les clients. Le choix de réagir ou de mener dépendra de la solidité de vos fondations.
Le cadre de cybersécurité pour l’IA de Deloitte offre une approche claire et concrète pour intégrer la sécurité à l’IA, en identifiant les risques spécifiques et en définissant les contrôles nécessaires pour protéger les systèmes critiques à mesure que l’adoption s’accélère.
Ali Varshovi
Gayatri Suresh Kumar
