L’IA change la donne en cybersécurité

Le secteur financier est confronté à une menace fondamentale découlant de modèles d’intelligence artificielle (IA) capables de détecter des faiblesses dans les défenses informatiques des entreprises plus rapidement que celles-ci ne peuvent les corriger, affirme Moody’s Ratings.

Dans un nouveau rapport, l’agence de notation indique qu’en 2025, le délai médian nécessaire aux banques pour corriger des vulnérabilités logicielles était de 69 jours, alors que les cybercriminels exploitaient ces failles en moyenne dans un délai de 44 jours.

Selon Moody’s, l’écart grandissant entre la capacité de puissants modèles d’IA, comme Mythos d’Anthropic, à découvrir des vulnérabilités informatiques et les délais requis par les entreprises pour corriger ces faiblesses « crée des risques structurels de crédit pour les banques, et non simplement des risques ponctuels ».

À titre d’exemple, lors de sa première diffusion limitée, le modèle Mythos a permis de découvrir des milliers de vulnérabilités jusque-là inconnues dans tous les principaux systèmes d’exploitation et navigateurs Web, ce qui, selon le rapport, « marque un changement fondamental dans le paysage des cybermenaces ».

Les institutions financières, notamment les banques, constituent des cibles privilégiées pour les cyberattaques en raison de leur rôle central dans l’économie, des actifs qu’elles contrôlent et des données qu’elles détiennent. Ces attaques peuvent entraîner des conséquences financières et réputationnelles importantes, souligne Moody’s.

« Une cyberattaque grave de type rançongiciel qui perturberait les services pendant une période prolongée pourrait rapidement devenir une menace pour la solvabilité d’une institution, en érodant potentiellement la confiance et la liquidité », indique le rapport.

Selon Moody’s, ces coûts pourraient être encore plus élevés dans le contexte actuel.

« Avec Mythos, l’ampleur et la sophistication des attaques devraient augmenter, ce qui pourrait accroître le coût total » des incidents, précise l’agence.

Par conséquent, à mesure que le paysage des menaces évolue avec l’arrivée de modèles d’IA toujours plus puissants, les entreprises du secteur financier subiront une pression croissante pour renforcer leurs capacités de défense et accélérer leur temps de réaction aux incidents de cybersécurité.

« Les architectures héritées constituent la principale faiblesse, souligne le rapport. Les systèmes internes désuets dont les logiciels n’ont pas été mis à jour depuis des années sont les plus vulnérables à l’exploitation par des cyberattaquants. »

Moody’s note également que, si les grandes institutions représentent des cibles plus attrayantes pour les attaquants, les plus petites entreprises sont souvent plus vulnérables puisqu’elles disposent de moins de ressources pour assurer leur cybersécurité.

Ainsi, alors que les institutions financières devront accroître leurs dépenses pour se protéger efficacement, l’impact sur la rentabilité risque d’être plus important pour les petites organisations et plus limité pour les grandes.

Du côté positif, les entreprises peuvent elles aussi utiliser les modèles d’IA les plus avancés pour repérer plus rapidement leurs propres vulnérabilités. Toutefois, ces outils ne fournissent pas de solution rapide pour corriger les problèmes détectés, laissant les organisations « gérer la complexité et le risque d’exécution liés à la mise en œuvre des correctifs sans perturber les systèmes informatiques interconnectés ».

« Les correctifs devraient être appliqués plus fréquemment et les systèmes internes devraient fonctionner selon un modèle de confiance zéro (“zero trust”) afin de limiter les déplacements des attaquants à l’intérieur de l’organisation en cas de brèche », conclut le rapport.