Shadow AI : le nouveau défi des banques face à l’IA générative
Dans le secteur bancaire, la montée du Shadow AI représente un défi sans précédent, mettant en lumière les failles des systèmes de sécurité traditionnellement établis. Alors qu’une chargée de clientèle utilise facilement des outils d’IA pour reformuler des courriers, les mes de sécurité mises en place par les banques semblent obsolètes face à cette nouvelle réalité.
Depuis deux décennies, la cybersécurité dans les banques reposait sur l’idée que les données sensibles étaient protégées à l’intérieur de l’infrastructure, tandis que les menaces provenaient de l’extérieur. Cependant, avec l’émergence de l’IA générative, cette hypothèse est remise en question. Les flux de données ne se limitent plus à des fichiers attachés ; ils transitent désormais par des champs de saisie sur des services SaaS, souvent utilisés depuis des appareils personnels. De nombreuses banques ont déjà recensé des centaines d’outils d’IA générative, dont peu sont officiellement reconnus par les services informatiques.
Face à cette situation, la réponse initiale des banques a été de bloquer l’accès à ces outils via des proxies. Cependant, cette approche montre ses limites. Les outils d’IA sont souvent intégrés dans des applications déjà autorisées, rendant leur détection difficile. De plus, le blocage peut conduire à des contournements de sécurité, dégradant ainsi les relations entre les départements informatiques et les métiers.
Les banques doivent donc adopter une approche plus nuancée, en sensibilisant les employés à l’utilisation sécurisée de ces outils tout en établissant des règles différenciées selon les types de données et de fournisseurs. Par ailleurs, la majorité des outils de sécurité disponibles sur le marché sont d’origine américaine, ce qui pose un problème de souveraineté pour les institutions soumises à des régulations strictes comme le RGPD.
Le secteur financier européen, historiquement en avance en matière de cybersécurité, doit maintenant faire face à ces nouvelles réalités. La gestion de l’IA générative ne sera pas seulement une question de sécurité, mais deviendra également un enjeu stratégique majeur dans les années à venir. La capacité à gouverner ces technologies sera essentielle pour maintenir la confiance des clients et la conformité réglementaire.
Source : Etienne Delouvrier – COO – Avanoo.
