Deloitte banche europee rischio cyber AI

Deloitte : Banques européennes, IA et cyber-risque : le fossé défensif se creuse

ParSteven de Simseo

Pour les banques européennes, le problème n’est plus seulement la quantité de menaces, mais la rapidité avec laquelle elles deviennent opérationnelles. L’intelligence artificielle a considérablement réduit le temps nécessaire pour détecter les failles logicielles, les analyser et les transformer en vecteurs d’attaque. Deloitte, dans une analyse publiée en mai 2026 sur le secteur bancaire et dans une perspective dédiée au cyber-risque à « vitesse machine », décrit un scénario dans lequel la découverte des vulnérabilités va désormais plus vite que la capacité organisationnelle à les évaluer et à les corriger. Le goulot d’étranglement, écrit l’entreprise, passe de la recherche de failles à la réponse opérationnelle.

Le point pèse avant tout sur le secteur financier européen. Les banques opèrent sur des infrastructures complexes, superposées au fil des années, et s’appuient fortement sur des composants open source, des plateformes tierces, des services cloud et des systèmes centraux réglementés. Dans ce contexte, une vulnérabilité ne reste pas confinée au sein d’une seule organisation : elle peut traverser les fournisseurs, les bibliothèques partagées et les environnements applicatifs communs, devenant ainsi un risque systémique.

C’est le type de fragilité que DORA, le règlement européen sur la résilience opérationnelle numérique applicable à partir du 17 janvier 2025, tente de répondre avec des obligations en matière de gestion des risques TIC, de reporting des incidents, de tests de résilience et de contrôle des fournisseurs critiques.

Le temps est devenu le bien le plus rare

La photographie la plus claire vient de l’époque. Basé sur le rapport Deloitte «Cyber-risque lié à la vitesse des machines »aujourd’hui, un processus qui nécessitait jusqu’à il y a quelques années des mois de travail manuel peut se dérouler en moins de 24 heures ; Il faut en moyenne aux organisations environ 40 jours pour corriger une vulnérabilité, tandis qu’un attaquant peut la transformer en une arme opérationnelle en 15 minutes environ. L’écart entre le rythme offensif et celui de la défense n’est plus une figure de style : c’est un écart opérationnel.

Deloitte, dans son analyse du secteur bancaire de mai 2026, se concentre non seulement sur les chiffres mais aussi sur les conséquences. Les modèles frontières, écrit-il, sont capables de découvrir des vulnérabilités zero-day à une vitesse et à une échelle que les infrastructures de sécurité traditionnelles n’ont pas été conçues pour absorber. Pour de nombreuses banques, la question n’est pas d’identifier un problème, mais de décider par quoi s’attaquer en premier, avec quelles ressources et avec quel niveau de risque résiduel acceptable. Autrement dit : l’abondance des signaux risque de paralyser les processus au lieu de les rendre plus efficaces.

Ce changement de rythme met à mal une culture de sécurité fondée sur l’hypothèse selon laquelle l’exposition évolue « au rythme humain ». Deloitte l’écrit explicitement : la croyance selon laquelle il était temps d’établir des priorités, de planifier et de réagir n’est plus valable à l’ère des attaques assistées par l’IA. La découverte des failles s’effectue de manière continue, exhaustive et automatique ; Les décisions des entreprises restent cependant liées aux procédures, à la propriété distribuée, aux fenêtres de maintenance et aux contraintes réglementaires.

Le nœud open source et le risque de propagation

Il existe un deuxième élément qui rend le problème plus grave pour le système bancaire : la concentration technologique. Environ 60 % des vulnérabilités des applications proviennent de composants et de dépendances open source. Il ne s’agit pas seulement d’un problème technique. Si la même bibliothèque est utilisée par des dizaines de banques, des sous-traitants communs ou des plateformes partagées, une seule faiblesse peut générer une exposition simultanée à grande échelle.

Deloitte, dans l’article consacré aux banques, insiste sur le caractère « mosaïque » de l’infrastructure technologique financière : composants open source, plateformes tierces, cloud et systèmes transactionnels hautement réglementés. Cette fragmentation élargit la surface d’attaque et rend extrêmement difficile une réponse coordonnée et rapide. En substance, la vulnérabilité n’est pas seulement une faille de code. C’est un problème d’interdépendance.

Pour les banques européennes, cela signifie que la gestion des cyber-risques doit ressembler moins à une activité périodique qu’à une fonction de surveillance continue de la chaîne d’approvisionnement en logiciels. La logique traditionnelle du recensement annuel, de l’évaluation aléatoire ou du patch planifié par trimestre peine à tenir dans un environnement où de nouvelles expositions émergent chaque jour et peuvent être exploitées en quelques heures.

C’est également pour cette raison que DORA consacre une partie centrale de son système à la gestion du risque tiers TIC et à la supervision contractuelle des fournisseurs critiques.

Patchs lents, attaques rapides

Les principes de base de la cybersécurité ne changent pas : contrôle d’accès, segmentation des réseaux, surveillance continue, gestion des vulnérabilités, plans de réponse aux incidents. Ce qui change, c’est le rythme nécessaire pour que tout cela fonctionne. Également basé sur l’analyse de Deloitte, les cycles traditionnels d’application de correctifs et de remédiation peuvent prendre de 45 à 90 jours, alors que les attaques modernes sont capables de se développer en 48 à 72 heures.

Ici, la contradiction la plus concrète apparaît pour les institutions financières. Les banques ne sont pas des startups qui peuvent mettre à jour en production sans contraintes : elles travaillent sur des systèmes critiques, elles doivent garantir la continuité de service, l’intégrité des données, les pistes d’audit, la conformité réglementaire. Toute modification de l’infrastructure de base peut nécessiter des tests, des approbations, une coordination avec les fournisseurs et des fenêtres opérationnelles étroites. Ce qui, pour un attaquant, représente un avantage de quelques minutes, peut se traduire pour un institut par des semaines de travail.

Pour Deloitte, la réponse n’est pas simplement de « mettre à jour les correctifs plus rapidement », mais de changer la façon dont nous prenons des décisions. La priorité doit être déplacée vers les services véritablement critiques, vers les vulnérabilités réellement exploitables et vers les actions d’atténuation capables de réduire immédiatement l’exposition avant même la correction définitive.

Luigi Mastrangelo, responsable du secteur des services financiers chez Deloitte, déclare que les institutions capables d’identifier les services critiques, de comprendre quelles failles sont réellement exploitables et d’utiliser l’IA pour accélérer la détection et la correction dans un cadre de gouvernance clair gagneront.

DORA élève le seuil de résilience

En Europe la référence réglementaire est désormais définie. DORA est entrée en vigueur le 16 janvier 2023 et s’applique à partir du 17 janvier 2025. L’objectif, rappelle l’ESMA, est de renforcer la sécurité informatique des entités financières et de garantir que le secteur reste résilient même en cas de graves perturbations opérationnelles numériques. Le règlement harmonise les règles pour un large éventail d’entités financières et se concentre sur cinq blocs : gestion des risques TIC, risque tiers, tests de résilience opérationnelle numérique, incidents TIC et partage d’informations.

Mais le fait est que DORA est née dans un contexte déjà exigeant et doit désormais faire face à une nouvelle accélération apportée par l’IA. Si la fenêtre entre divulgatione et l’exploitation est compressée, alors les attentes sur les processus internes changent également : visibilité sur les actifs, classification de criticité, escalade, pouvoirs de décision distribués, qualité de l’inventaire logiciel, discipline dans la gestion des fournisseurs. La conformité seule ne suffit pas. Nous avons besoin d’une machine décisionnelle capable de gérer un rythme plus rapide.

C’est pourquoi la résilience opérationnelle numérique ne coïncide plus avec la seule supervision technique. Cela devient une question d’organisation : qui décide qu’une atténuation temporaire est suffisante ; qui autorise un blocage de candidature ; qui rassemble la sécurité, les opérations informatiques, la gestion des risques et la continuité des activités. Dans un environnement fonctionnant à la vitesse des machines, l’inertie procédurale peut devenir elle-même une vulnérabilité.

L’IA ne fait pas que renforcer les attaquants

Le tableau n’est pas à sens unique. L’IA qui accélère les attaques peut également améliorer la défense. Deloitte l’écrit à la fois dans sa perspective générale et dans son analyse pour le secteur bancaire : la même technologie peut aider à identifier, prioriser et atténuer les vulnérabilités en temps réel, à condition qu’elle soit insérée dans des processus gouvernés et contrôlés.

Le National Cyber ​​​​Security Centre britannique avait d’ailleurs anticipé ce double mouvement dès janvier 2024. Dans son évaluation sur le «impact à court terme de l’IA sur la cybermenace« , le centre a déclaré que l’IA augmenterait presque certainement le volume et l’impact des cyberattaques au cours des deux prochaines années, abaissant le seuil d’entrée pour les criminels moins sophistiqués et rendant plus efficaces la reconnaissance, le phishing et l’analyse des données exfiltrées. Dans le même document, cependant, le Centre national de cybersécurité a noté que l’effet sur le risque peut être compensé, au moins en partie, par l’utilisation de l’IA dans la cyber-résilience, la détection et la sécurité dès la conception.

Pour une banque européenne, l’avantage concurrentiel ne réside donc pas dans l’adoption de l’IA sans discernement, mais dans le fait de le faire avant que ces mêmes capacités ne deviennent également des produits pour les attaquants. Cela implique des investissements dans le tri automatique, la corrélation des alertes, l’analyse des dépendances logicielles, la simulation d’impact et l’aide à la décision en matière de remédiation. L’automatisation utile n’est pas celle qui remplace le jugement humain, mais celle qui lui redonne du temps.

Le facteur géopolitique entre en jeu dans la sécurité bancaire

Ces derniers jours, au risque technique s’ajoute un élément géopolitique. Le 9 juin 2026, Anthropic a annoncé Claude Fable 5, présenté comme un modèle « classe Mythos » sécurisé pour un usage général, et Claude Mythos 5, avec un accès restreint via le projet Glasswing pour certains partenaires de cybersécurité et d’infrastructure. La même société a expliqué que Mythos 5 toucherait dans un premier temps un petit réseau de cyberdéfenseurs, avec une expansion progressive du programme d’accès de confiance.

Trois jours plus tard, le 12 juin 2026, Anthropic publiait une note officielle indiquant avoir reçu une directive de contrôle des exportations du gouvernement américain exigeant la suspension de l’accès à Fable 5 et Mythos 5 pour tout citoyen étranger, à l’intérieur ou à l’extérieur des États-Unis. L’effet pratique, écrit l’entreprise, a été la désactivation des deux modèles pour tous les clients, en attendant une éventuelle restauration. La page de lancement de Fable 5 elle-même a été mise à jour avec la note « accès indisponible ».

Pour les institutions financières européennes, cela signifie que l’accès aux outils d’IA les plus avancés, même lorsqu’ils sont conçus pour la défense, ne dépend pas uniquement du budget, des compétences ou de la conformité interne. Cela dépend également des décisions de politique industrielle et de sécurité nationale prises ailleurs. La cybersécurité bancaire, dans ce cadre, n’est plus seulement une question de gouvernance technologique. Cela touche directement à la souveraineté numérique.

Parce que la fenêtre se rétrécit

Deloitte note que les restrictions peuvent temporairement ralentir la diffusion de certaines capacités, mais ne modifient pas la trajectoire globale. Les modèles formés avec des techniques similaires auront tendance à atteindre des niveaux comparables, peut-être avec des garanties moindres ou un accès moins réglementé. C’est également une thèse cohérente avec l’évaluation du NCSC, qui mettait en garde en mai 2025 contre le risque d’une « fracture numérique » entre les organisations capables de suivre le rythme des menaces basées sur l’IA et les organisations en retard.

Pour les banques européennes, la conséquence est double. D’une part, ils doivent accroître leur maturité interne : inventaires logiciels fiables, analyse continue des dépendances, pouvoirs de décision clairs, playbooks de réponses mis à jour, tests fréquents. D’un autre côté, ils doivent faire face à un marché de l’IA avancé dans lequel la disponibilité, les limites d’utilisation et l’accès international peuvent changer en quelques jours.

La question, en fin de compte, n’est pas seulement de savoir combien d’attaques vont avoir lieu. Il s’agit de savoir qui sera capable de le remarquer en premier, de distinguer le bruit du risque réel et d’agir sans attendre le prochain cycle de patch. C’est sur cette base que se mesurera la résilience des banques européennes : non pas dans la promesse de systèmes invulnérables, mais dans leur capacité à se défendre lorsque la vulnérabilité se propage plus vite que les procédures.

Steven de Simseo
Steven de Simseo

Steven, rédacteur en chef et moteur de Simseo, fusionne une expertise en intelligence artificielle avec une vision futuriste. Pionnier dans son domaine, il guide son équipe avec passion, transformant les complexités de l'IA en récits captivants et accessibles pour le grand public.