
La BCE ordonne aux banques de la zone euro de soumettre des plans de défense contre l'IA pour octobre, le risque cyber systémique relevé à « grave »
La Banque centrale européenne a demandé aux plus grandes banques de la zone euro de présenter un plan d'action complet d'ici le 31 octobre 2026 pour contrer les menaces de cybersécurité provenant de modèles d'IA avancés, avertissant d'un changement permanent du paysage des menaces.
La BCE exige des plans d'action de 110 banques
La Banque centrale européenne a envoyé une lettre le 7 juillet aux PDG des 110 établissements importants qu'elle supervise directement, leur demandant de soumettre un plan d'action d'ici le 31 octobre 2026. La lettre, signée par la présidente du conseil de surveillance, Claudia Buch, décrit les modèles d'IA avancés capables d'identifier les vulnérabilités et de générer des exploits fonctionnels comme un changement à long terme, et non un phénomène temporaire.
Il s'agit d'un changement à long terme du paysage des menaces, et non d'un phénomène temporaire ou d'un risque lié à un outil spécifique.
La BCE attend des banques qu'elles évaluent immédiatement leur exposition et élaborent un plan couvrant à la fois les mesures à court terme (correctifs, protection de la surface d'attaque) et les mesures à long terme (contrôles de l'inventaire des actifs, modernisation des infrastructures). Chaque plan doit être envoyé à l'équipe de surveillance conjointe compétente, après quoi la BCE l'examinera et fournira un retour d'information. Le superviseur a souligné que la responsabilité incombe aux organes de direction des banques et qu'aucune réponse sectorielle uniforme ne sera imposée.
Le déclencheur Mythos
L'urgence fait suite à la divulgation en avril 2026 par la startup américaine Anthropic de Mythos 5, un modèle construit sans classificateurs de sécurité qui a montré des compétences sans précédent en matière de cybersécurité et de piratage. Seul un nombre limité d'entreprises y a accès dans le cadre du « Project Glasswing ». À la mi-juin, la Maison-Blanche a interdit aux ressortissants étrangers d'utiliser les nouveaux modèles d'Anthropic pour des raisons de sécurité nationale, mais cette interdiction a pris fin le 1er juillet, alors que le chinois Zhipu AI aurait lancé un système comparable.
En juin, le Comité européen du risque systémique (CERS) a relevé sa note de risque cyber systémique de « élevé » à « grave », avertissant que les modèles d'IA de pointe donnent un avantage aux acteurs malveillants en permettant des attaques plus rapides, à plus grande échelle et plus sophistiquées. Le CERS a appelé à une réponse coordonnée de l'UE impliquant les fournisseurs d'IA, les sociétés de sécurité, les mainteneurs de logiciels open source et les banques.
Bruxelles lance sa propre capacité de test
Le même jour que la publication de la lettre de la BCE, la Commission européenne a présenté un plan d'action pour construire une plateforme sécurisée de test des risques de cybersécurité des modèles d'IA avancés. La vice-présidente Henna Virkkunen a déclaré que l'UE devait suivre le rythme des changements induits par l'IA en matière de cybersécurité.
L'IA transforme la signification de la cybersécurité et nous devons suivre le rythme.
La plateforme, gérée par l'ENISA et le Centre commun de recherche, devrait être opérationnelle d'ici 2027. Elle fournira des environnements simulés pour les secteurs critiques (finance, énergie, santé, transport) et produira des lignes directrices pour permettre aux organisations publiques et privées d'accéder à des capacités d'IA avancées dans des conditions transparentes. Le plan ne propose pas de nouvelle législation ni de nouveaux fonds, s'appuyant plutôt sur les cadres existants. Les obligations d'atténuation des risques de l'AI Act pour les modèles avancés s'appliqueront à partir du 2 août 2026.
Quelle est la suite
Les banques doivent remettre leurs plans d'ici le 31 octobre 2026. La Commission lancera une campagne de résilience pour les logiciels open source critiques au quatrième trimestre 2026 et un « European AI for Cybersecurity Grand Challenge » pour favoriser les solutions locales. La chronologie ci-dessous reprend les principales étapes.
- Anthropic dévoile Mythos 5, un modèle doté de capacités avancées en matière de cybersécurité et de piratage.
- Le CERS relève la note de risque cyber systémique de « élevé » à « grave ».
- La Maison-Blanche interdit aux ressortissants étrangers d'utiliser les nouveaux modèles d'Anthropic pour des raisons de sécurité nationale.
- L'interdiction par la Maison-Blanche de l'utilisation des modèles Anthropic par les ressortissants étrangers prend fin.
- La BCE envoie une lettre à 110 banques exigeant des plans d'action ; la Commission européenne présente son plan d'action pour la cybersécurité et l'IA.
- Les obligations d'atténuation des risques de l'AI Act pour les modèles avancés entrent en vigueur.
- Date limite pour que les banques soumettent leurs plans d'action à la BCE.
- La plateforme de test sécurisée de l'UE pour les risques de cybersécurité de l'IA devrait être opérationnelle.


