Retour à l'accueil

La BCE a averti les banques des cyberattaques par le modèle d'IA Mythos

La Banque centrale européenne a averti les banques de la zone euro de la nécessité urgente de se préparer aux cyberattaques utilisant le modèle d'IA avancé Mythos d'Anthropic, malgré l'absence d'accès des institutions européennes. La déclaration reflète la faiblesse structurelle du régulateur et l'asymétrie croissante dans la cybersécurité mondiale, où les banques américaines et japonaises gagnent un avantage. L'article analyse les facteurs cachés, l'économie des attaques par IA et fournit une prévision pour les mois à venir.

BCE : les banques européennes sans défense face aux cyberattaques du modèle d'IA Mythos
Advertisement 728x90

La BCE met en garde les banques contre les cybermenaces alimentées par l'IA

La Banque centrale européenne a émis un avertissement officiel à toutes les banques de la zone euro, les exhortant à renforcer leurs défenses contre les cyberattaques générées par des modèles d'intelligence artificielle avancés.


Le mythe « Mythos » : comment le manque d'accès à l'IA est devenu le principal risque systémique pour le secteur bancaire européen

Frank Elderson, vice-président du Conseil de surveillance de la Banque centrale européenne, a émis le 13 mai 2026 un avertissement qui aurait fait la une dans tout autre contexte médiatique : les banques européennes doivent immédiatement, « dès maintenant », se préparer aux cyberattaques utilisant le modèle d'IA Mythos d'Anthropic, bien qu'elles n'aient pas et n'auront pas accès à ce modèle. La déclaration a été faite dans une interview pour le bulletin interne de la BCE sur la supervision – et c'est précisément ce format presque invisible qui révèle la véritable nature de ce qui se passe. Le régulateur ne se contente pas d'informer le marché ; il documente sa position pour de futures procédures.

L'essentiel : ce qui se passe vraiment

Officiellement, la BCE avertit les banques d'une nouvelle classe de cybermenaces. Frank Elderson, membre du directoire, a déclaré textuellement : « L'absence d'accès [à Mythos] ne justifie pas l'inaction. Au contraire, elle rend d'autant plus crucial que les banques intensifient leurs efforts et agissent dès maintenant. » Le régulateur note que les grandes banques américaines ayant eu un accès anticipé à Mythos corrigent déjà les vulnérabilités de leurs centres de données identifiées par le modèle d'IA. Le Japon devrait obtenir un accès pour ses trois plus grandes banques dans les deux semaines. L'Europe reste à l'écart.

Google AdInline article slot

Mais l'essence réelle de la déclaration d'Elderson ne concerne pas la cybersécurité en soi. C'est un acte d'externalisation réglementaire de la responsabilité. La BCE ne peut pas protéger les banques européennes contre une menace qu'elle ne peut même pas évaluer. Elle transfère donc la charge aux banques elles-mêmes : préparez-vous à ce que vous ne pouvez pas voir, et si quelque chose arrive – nous vous avions prévenus.

Ce schéma est familier à quiconque a suivi la supervision bancaire européenne lors des moments de crise. Lorsque le régulateur manque d'outils directs, il crée une piste documentaire. Mai 2026 est un tel moment : Mythos peut identifier et exploiter de manière autonome des vulnérabilités à une vitesse inatteignable par les outils existants, et rétro-concevoir des correctifs logiciels en exploits beaucoup plus rapidement qu'auparavant. Les banques européennes, privées d'accès à cet outil, regardent leurs concurrents américains colmater les brèches – et ne peuvent que deviner à quel point elles sont elles-mêmes vulnérables.

Chronologie et contexte

La chaîne d'événements ayant conduit à la déclaration d'Elderson s'est déroulée rapidement. En avril 2026, Reuters rapportait que l'autorité de surveillance de la BCE avait l'intention de demander aux banques des informations sur leur préparation à une nouvelle source de risque : les cyberattaques renforcées par l'IA. Le même mois, des données ont révélé que les grandes banques américaines ayant un accès anticipé à Mythos corrigeaient d'urgence des dizaines de vulnérabilités dans leurs systèmes de données. Anthropic n'a accordé l'accès qu'à quelques organisations américaines – Amazon Web Services, Microsoft, Nvidia, Linux Foundation et JP Morgan – dans le cadre de l'initiative Project Glasswing.

Google AdInline article slot

Début mai, la situation s'est aggravée. La présidente de la BCE, Christine Lagarde, a déclaré que la banque centrale étudiait les mécanismes de défense contre les attaques pilotées par Mythos, mais qu'elle était désavantagée par le manque d'accès au modèle. Le 12 mai, des informations ont indiqué que les trois plus grandes banques japonaises obtiendraient probablement un accès à Mythos dans les deux semaines. L'Europe reste le seul grand bloc financier privé de cet outil.

Puis, le 13 mai, l'interview d'Elderson a été publiée. Il décrit Mythos comme un « tournant dans la cybersécurité » – un outil capable de combiner des vulnérabilités apparemment mineures en vecteurs d'attaque sérieux. Et en même temps, il reconnaît que les banques européennes ne peuvent non seulement pas utiliser Mythos pour se défendre, mais même évaluer l'ampleur de leur propre vulnérabilité face à lui.

Qui gagne et qui perd

Les banques américaines gagnent – mais pas comme on pourrait le penser à première vue. JP Morgan et les autres participants à Project Glasswing obtiennent non seulement un outil de défense, mais aussi un avantage informationnel asymétrique. Elles connaissent leurs vulnérabilités, savent comment Mythos les trouve et peuvent modéliser les vecteurs d'attaque. Les banques européennes manquent de ces informations, ce qui les rend plus vulnérables aux attaques d'adversaires qui – soulignons-le – peuvent utiliser Mythos ou des modèles similaires, que les banques y aient accès ou non.

Google AdInline article slot

Les banques européennes perdent – structurellement et peut-être irréversiblement. Il ne s'agit pas seulement du manque d'accès à un modèle spécifique. Les données de Binance Research montrent que les attaques renforcées par l'IA rapportent 4,5 fois plus de fonds par attaque et génèrent 9 fois plus d'activité transactionnelle que les méthodes traditionnelles. En 2025, le nombre de cas d'usurpation d'identité a augmenté de 1 400 % sur un an, 88 % de toutes les fraudes par deepfake étant liées aux crypto-actifs. Bien qu'il s'agisse de données du secteur des cryptomonnaies, la méthodologie d'attaque est universelle – et les banques européennes restent sans outil pour les détecter.

Le régulateur européen perd en tant qu'institution. La déclaration d'Elderson est un aveu de faiblesse structurelle. La BCE ne peut pas forcer Anthropic à fournir un accès. Elle ne peut pas mener ses propres tests. Elle ne peut pas évaluer l'ampleur de la menace. Tout ce qu'elle peut faire, c'est dire aux banques « préparez-vous ». Ce n'est pas de la régulation ; c'est de l'exhortation.

Ce que les médias ne disent pas

Le premier et le plus crucial des non-dits : l'avertissement de la BCE est intervenu trois mois après une fuite massive de données bancaires en France via un registre d'État – 1,2 million de comptes ont été compromis par le vol d'identifiants d'un employé gouvernemental. Il ne s'agissait pas d'un piratage renforcé par l'IA, mais d'une attaque classique utilisant l'ingénierie sociale et des identifiants compromis. Si le système bancaire européen n'a pas pu se défendre contre une attaque de ce niveau, comment se préparera-t-il à Mythos, qui peut « identifier et exploiter de manière autonome des vulnérabilités à une vitesse et une échelle dépassant les outils existants » ?

Le deuxième facteur caché : le problème ne concerne pas seulement, ni même principalement, les banques elles-mêmes, mais leurs prestataires. Elderson a souligné que les infrastructures critiques et les fournisseurs de services externes utilisés par les banques sont en danger. Cela signifie que le périmètre de vulnérabilité est bien plus large que les bilans des banques elles-mêmes. Les sociétés de traitement, les fournisseurs de cloud, les systèmes de passerelle SWIFT, les centres de données – tout peut être compromis par des vulnérabilités qu'une IA de type Mythos trouvera plus rapidement que les humains ne pourront les combler. Et pendant que les homologues américains sont testés via Mythos, les européens restent « aveugles ».

Le troisième aspect sous-estimé : l'économie des attaques par IA rend la défense fondamentalement plus coûteuse que l'attaque. Binance Research note que les exploits renforcés par l'IA coûtent actuellement environ 1,22 $ par contrat, et ce coût devrait baisser de 22 % tous les deux mois. C'est une économie radicalement asymétrique. Avec un coût d'attaque de 1,22 $, une banque doit dépenser des millions pour se défendre. Avec la baisse des coûts d'attaque, cet écart ne fera que se creuser. Et tandis que les banques américaines, en testant Mythos, savent au moins quelles vulnérabilités corriger en priorité, les banques européennes sont contraintes de se défendre contre tout à la fois – ce qui est impossible.

Prévisions : 30 et 90 prochains jours

30 jours (d'ici mi-juin 2026) :

Le déclencheur sera l'accès des banques japonaises à Mythos – attendu dans les deux prochaines semaines. Lorsque Mitsubishi UFJ, Sumitomo Mitsui et Mizuho commenceront les tests, le premier véritable indicateur apparaîtra : combien de vulnérabilités Mythos trouvera dans les grandes banques asiatiques. Cette information restera probablement confidentielle, mais le marché en connaîtra l'ampleur par des signes indirects – mises à jour d'urgence des systèmes, audits non planifiés, hausse des dépenses en cybersécurité.

La BCE, comme prévu en avril, commencera à collecter formellement des informations auprès des banques supervisées sur leur préparation aux attaques par IA. Je m'attends à ce que les résultats de l'enquête soient alarmants, et le régulateur pourrait émettre des directives supplémentaires. Il est également probable que la BCE intensifie ses efforts diplomatiques pour obtenir un accès à Mythos pour les banques européennes – mais cela ne se fera pas rapidement.

90 jours (d'ici mi-août 2026) :

D'ici la fin de l'été, l'inégalité structurelle qui n'en est qu'à ses débuts deviendra évidente. Les banques ayant accès à des outils d'IA avancés (américaines et probablement japonaises) auront un profil de risque cyber fondamentalement différent de celui des banques européennes. Les agences de notation pourraient commencer à intégrer ce facteur dans les notations de crédit – surtout si au moins un incident très médiatisé impliquant une attaque renforcée par l'IA contre une banque européenne se produit.

Le rapport 2026 de Quorum Cyber note déjà que les demandes de rançon moyennes dans le secteur des services financiers ont augmenté de 179 %, et le nombre de nouveaux groupes de ransomware a augmenté de 30 %. Un acteur étatique a démontré sa capacité à automatiser jusqu'à 90 % du processus d'intrusion à l'aide de l'IA. Si ces tendances se poursuivent, d'ici août, une banque européenne deviendra presque inévitablement une victime – et alors la question que la BCE tente aujourd'hui de prévenir avec son avertissement se posera : pourquoi la banque ne s'est-elle pas préparée à une menace dont le régulateur l'avait avertie dès mai ?

Conclusion d'initié : la déclaration d'Elderson du 13 mai n'est pas tant une recommandation que la création d'un alibi réglementaire. Lorsque (et non si) une banque européenne subira une attaque réussie utilisant des outils d'IA de classe Mythos, la BCE pourra dire : nous vous avions prévenus, la banque aurait dû se préparer. Mais le problème sous-jacent reste non résolu : le système bancaire européen a été privé d'un outil de défense clé à un moment où l'économie des cyberattaques a radicalement basculé en faveur des attaquants. Ce n'est pas un fossé technologique – c'est une vulnérabilité structurelle inscrite dans l'architecture de la régulation financière mondiale.

— Editorial Team

Advertisement 728x90

Lire ensuite

Actualités partenaires