BCE et AI, cyberrépression contre les banques de la zone euro
La Banque centrale européenne a donné un peu moins de quatre mois aux principales banques de la zone euro pour préparer un plan contre une menace qui, il y a quelques mois encore, semblait plutôt théorique : l’utilisation d’une intelligence artificielle avancée pour découvrir des vulnérabilités, écrire des exploits et accélérer des cyberattaques à grande échelle. Dans la lettre signée le 7 juillet 2026 par Claudia Buch, présidente du Conseil de surveillance de la BCE, l’institut parle d’un changement structurel dans le paysage cyber, et non d’un risque passager lié à un seul instrument. Les plans doivent arriver avant le 31 octobre.
La décision de Francfort marque une nette différence par rapport aux autres grands régulateurs occidentaux. La Banque d’Angleterre a qualifié l’avertissement européen de « raisonnable », mais Andrew Bailey a clairement indiqué que Londres n’avait pas l’intention de procéder selon des ordres publics et des délais imposés. La Réserve fédérale, dirigée par Michelle Bowman, a insisté sur une approche proportionnée et plus légère des utilisations à faible risque de l’IA, tout en reconnaissant que la cybersécurité est devenue une question cruciale pour la supervision bancaire.
Que demande la BCE aux banques ?
Le cœur de la demande européenne est opérationnel. La BCE souhaite que les institutions accélèrent la gestion des vulnérabilités et des correctifs, renforcent les capacités de surveillance et de défense assistées par l’IA, vérifient la résilience aux risques liés aux tiers et donnent la priorité à la protection des systèmes exposés sur Internet, des composants logiciels provenant de fournisseurs externes et des packages open source. Dans la prochaine phase, Francfort appelle également à des mesures structurelles : davantage de défenses à plusieurs niveaux, une meilleure cyber-hygiène, la mise à niveau ou le remplacement des technologies existantes et des plans de réponse, de redressement et de gestion de crise plus solides.
Ce n’est pas un détail de procédure. La BCE relie explicitement ces demandes aux résultats d’inspections précédentes, d’examens ciblés et du test de résistance de cyber-résilience de 2024. Autrement dit, le superviseur craint que des faiblesses déjà connues ne deviennent plus dangereuses dans un contexte où le délai entre la découverte de la faille et son exploitation est drastiquement réduit. Pour libérer des ressources internes, la BCE a également reporté à février 2027 le questionnaire annuel sur les risques informatiques et s’est déclarée prête à recalibrer d’autres activités d’inspection.
Pourquoi l’IA change le cyber-risque
Le tournant ne concerne pas seulement l’arrivée de nouveaux logiciels. Selon la BCE, les modèles frontières sont désormais capables d’identifier les vulnérabilités et de générer des exploits fonctionnels à une vitesse sans précédent. Le CERS, l’organisme macroprudentiel de l’Union, va plus loin : dans son avertissement du 25 juin 2026, il écrit que ces modèles peuvent mener des attaques entièrement automatisées sur des systèmes complexes et comprimer les « tampons temporels » qui permettaient jusqu’à présent aux défenseurs de corriger les failles avant leur industrialisation par les attaquants.
Le risque pour le système financier est double. D’une part, le nombre de vulnérabilités identifiées augmente et donc la charge sur les procédures de patching, déjà souvent lentes pour des raisons de stabilité opérationnelle. D’un autre côté, la possibilité qu’une attaque se propage à travers des fournisseurs communs, des cloud, des logiciels partagés et des infrastructures critiques, affectant plusieurs sujets en même temps, augmente.
Le CERS rapporte que la combinaison d’une vitesse offensive accrue, de dépendances technologiques concentrées et de la forte interconnexion du système financier européen peut transformer un incident opérationnel en un problème de confiance systémique.
Le nœud de confiance : des serveurs aux entrepôts
Le point qui inquiète les régulateurs n’est pas seulement la perte de données ou l’interruption d’un service numérique. Dans le scénario évoqué par le CERS, une attaque généralisée pourrait éroder la confiance dans les banques, les infrastructures de paiement ou les intermédiaires perçus comme plus fragiles, avec des effets de contagion entre opérateurs et pays. L’alerte européenne rappelle le risque que de graves interruptions cyber puissent finir par affecter la continuité des fonctions critiques et, dans les cas extrêmes, déclencher une course vers des contreparties jugées plus sûres. Pour les superviseurs, le cyber-risque ne se limite plus à l’informatique : il entre dans la stabilité financière. (Source : esrb.europa.eu)
Cette lecture explique également le ton plus affirmé de la BCE. Dans son discours au Parlement européen le 2 juillet 2026, Claudia Buch a rappelé que plus de 85 % des banques sous surveillance européenne utilisent déjà des outils d’IA et que plus de 40 % considèrent au moins un cas d’usage « très pertinent » pour l’entreprise. L’adoption est donc déjà répandue, alors que la capacité de défense n’est pas uniforme. La rentabilité élevée du secteur aujourd’hui, a noté Buch, donne aux banques la possibilité d’investir dans les systèmes informatiques, le personnel spécialisé et la résilience opérationnelle.
Londres et Washington choisissent une voie différente
La Banque d’Angleterre partage le diagnostic, mais pas la thérapie réglementaire. Dans ses remarques introductives au rapport sur la stabilité financière du 7 juillet 2026, Andrew Bailey a déclaré que les progrès de l’IA des frontières augmentent considérablement les risques pour la stabilité financière résultant des vulnérabilités cybernétiques et opérationnelles. Il a également ajouté que les entreprises doivent appliquer les directives publiées en mai avec la FCA et le Trésor britannique. Ce document commun parle d’un « changement radical » dans les cybercapacités des modèles frontières et souligne que les systèmes actuels dépassent déjà, en termes de vitesse, d’échelle et de coût, le travail d’un professionnel qualifié. Mais Londres continue de préférer une méthode de discussion continue avec le secteur, sans ultimatums publics.
Aux États-Unis, Michelle Bowman a choisi un lexique encore différent. Dans un discours publié le 1er mai 2026, le vice-président de la Fed chargé de la supervision a soutenu que l’IA peut accroître l’efficacité, la rapidité et la qualité des processus dans les banques de toutes tailles. Selon Bowman, la supervision doit évaluer les cas d’utilisation individuels, éviter d’entraver l’innovation et maintenir la flexibilité, en particulier pour les petites institutions. Même dans son témoignage devant le Congrès le 4 juin 2026, Bowman a évoqué une collaboration public-privé, une surveillance continue et un cadre réglementaire agile, sans proposer d’obligations standardisées comparables à celles fixées par la BCE. (Source : Réserve fédérale)
DORA est déjà en vigueur, mais pour la BCE ce n’est pas suffisant
Le durcissement européen s’appuie sur un système réglementaire déjà existant. La BCE fait ouvertement référence au Digital Operational Resilience Act, le règlement européen sur la résilience opérationnelle numérique, applicable à partir du 17 janvier 2025. DORA impose aux banques, compagnies d’assurance, entreprises d’investissement et autres entités financières des règles communes en matière de gestion des risques TIC, de déclaration d’incidents, de tests de résilience et de contrôle des fournisseurs de technologies critiques. Cependant, la BCE maintient que la nouvelle vague de risques liés aux modèles d’IA nécessite une nouvelle accélération dans ce cadre.
Le message est simple : être formellement conforme ne garantit pas que vous soyez prêt à faire un saut qualitatif face à la menace. C’est pourquoi Francfort insiste sur des sujets pratiques tels que la micro-segmentation, le Zero Trust, l’authentification multifacteur, l’inventaire des actifs, la surveillance des journaux, les capacités de récupération testées et la mise à jour des systèmes hors support. Ce sont des interventions coûteuses et souvent invisibles pour le client final, mais elles pèsent autant sur le profil de risque que sur le capital et la liquidité.
Quels changements pour les banques européennes
Pour les institutions de la zone euro, l’échéance du 31 octobre 2026 ouvre une phase de révision concrète des priorités de dépenses. La BCE demande aux conseils d’administration de résumer directement le contrôle des risques liés aux TIC, de revoir les tolérances et les budgets, de mesurer la dépendance à l’égard des logiciels et des fournisseurs externes et de préparer des scénarios de crise dans lesquels les attaques sont plus rapides, automatisées et simultanées. Cela implique davantage d’investissements dans les compétences techniques, une meilleure coordination entre sécurité, opérations et conformité, ainsi qu’une interprétation différente du risque d’externalisation.
La pression sera probablement la plus forte sur les banques dotées de systèmes existants, d’architectures à plusieurs niveaux et de chaînes d’approvisionnement complexes. La BCE ne fait pas seulement la distinction entre les grands et les petits groupes : elle fait la distinction entre ceux qui sont capables de mettre à jour rapidement leurs infrastructures et ceux qui sont obligés de vivre avec des technologies obsolètes, des processus de correctifs lents et une visibilité partielle sur les actifs exposés. Dans cette étape, la résilience opérationnelle devient également un enjeu concurrentiel. Celui qui effectue la mise à niveau en premier réduit les risques et protège les marges, la réputation et le coût de financement.
Quels sont les enjeux pour le marché
La BCE a choisi une approche plus sévère car elle considère l’IA avancée comme un multiplicateur de menaces existantes, et non comme un dossier distinct. La Banque d’Angleterre et la Fed partagent le diagnostic sous-jacent mais, du moins pour l’instant, laissent plus de place à une autorégulation guidée et à la proportionnalité. La différence est importante car elle intervient dans un secteur où les règles, les coûts technologiques et les modèles économiques sont déjà sous pression. Si la nouvelle saison de supervision européenne fonctionne, les banques disposeront d’infrastructures plus robustes et d’une cyber-discipline plus proche des exigences de fonds propres. Si toutefois l’adaptation reste formelle, le premier véritable test ne viendra pas d’une circulaire, mais du prochain incident à l’échelle systémique.
