La Banque centrale européenne presse les établissements de crédit de la zone euro d'investir davantage dans la cybersécurité, avertissant que l'intelligence artificielle décuple l'ampleur et la rapidité des attaques numériques. Dans une nouvelle directive adressée aux institutions supervisées, la BCE affirme que la recrudescence des menaces pilotées par l'IA exige une hausse significative des dépenses de défense – et non de simples ajustements marginaux. Les banques qui ne suivent pas le rythme risquent non seulement leurs propres systèmes, mais aussi la stabilité de l'ensemble du réseau financier, insiste le régulateur.
Pourquoi cet avertissement intervient maintenant
Les cybercriminels ont commencé à utiliser des outils d'IA générative et d'apprentissage automatique pour créer des courriels d'hameçonnage plus convaincants, automatiser le balayage des vulnérabilités et contourner les systèmes de détection traditionnels. L'évaluation de la BCE, partagée avec les banques ces dernières semaines, note que ces attaques arrivent plus vite et avec moins de signes révélateurs. Un seul identifiant compromis peut provoquer une brèche transfrontalière en cascade avant même que l'équipe de sécurité d'une banque ne détecte l'intrusion. Le message de la banque centrale est sans équivoque : l'ancien manuel de jeu ne suffit plus.
Le timing n'est pas un hasard. Les banques européennes sont déjà confrontées à des règles de fonds propres plus strictes et à une économie atone. Ajouter une course aux armements en cybersécurité à ce contexte pèse sur les budgets, mais la BCE précise que sous-investir n'est plus une option. Des documents internes de la BCE consultés par GFdaily décrivent l'environnement actuel des menaces comme « sans précédent en termes de vélocité et de portée », bien que la banque ait refusé de préciser les incidents spécifiques ayant déclenché cette alerte.
Ce que la BCE exige
La directive ne fixe pas d'objectif de dépenses précis – ni pourcentage du chiffre d'affaires ni montant fixe en euros. Elle demande plutôt à chaque banque de réaliser une nouvelle évaluation des risques axée sur les vecteurs d'attaque utilisant l'IA et de présenter un plan d'investissement pluriannuel. Ces plans doivent montrer des mesures concrètes : recrutement de spécialistes, mise à niveau des logiciels de détection des menaces et réalisation de simulations d'équipe rouge imitant les intrusions pilotées par l'IA. Les banques qui traînent les pieds peuvent s'attendre à des inspections sur site plus fréquentes et, dans les cas extrêmes, à des exigences de fonds propres plus élevées liées au risque cyber.
La BCE souhaite également que les banques partagent plus activement les informations sur les menaces. « Aucune banque n'est plus une île », indique la directive. « La collaboration sur les schémas d'attaque et les outils défensifs est essentielle pour l'ensemble du système. » Plusieurs grandes banques de la zone euro ont déjà commencé à mutualiser leurs données via une plateforme pilote gérée par l'Autorité bancaire européenne, et la BCE s'attend à ce que cet effort s'étende.
Le contexte réglementaire plus large
Cette impulsion de Francfort s'inscrit dans une tendance réglementaire plus large. Le Règlement sur la résilience opérationnelle numérique (DORA) de l'UE, entré en vigueur en janvier 2025, exige déjà des entreprises financières qu'elles testent régulièrement leurs défenses cybernétiques et signalent les incidents majeurs en quelques heures. La dernière injonction de la BCE va plus loin en ciblant spécifiquement la dimension IA. C'est le signe que les régulateurs considèrent cette technologie comme une menace distincte, et non comme un simple élément supplémentaire sur la liste des risques.
Les petites banques, qui manquent souvent de moyens financiers par rapport à leurs rivales plus grandes, font face à la pente la plus raide. La BCE a reconnu cette disparité et étudie la possibilité d'offrir des services de cybersécurité partagés ou une coordination des achats d'outils défensifs. Aucun plan ferme n'a été annoncé, mais le conseil de la banque centrale devrait discuter des options lors de sa réunion de juin.
Pour l'instant, le temps presse. Les banques ont jusqu'à la fin du troisième trimestre pour soumettre leurs évaluations des risques liés à l'IA et leurs feuilles de route d'investissement. Celles qui manqueront cette date butoir feront l'objet d'un examen formel et, potentiellement, d'une mention publique dans les rapports de supervision de la BCE.
