Le Conseil de supervision de la Banque centrale européenne (BCE) a adressé mardi 7 juillet 2026 une lettre aux 110 banques qu’il supervise directement, exigeant d’elles qu’elles présentent, avant le 31 octobre prochain, un plan détaillé pour renforcer leur résilience face aux risques cyber accrus par les avancées en intelligence artificielle. Selon Euronews FR, cette demande s’inscrit dans un contexte où les modèles d’IA, comme Mythos développé par Anthropic, permettent désormais de repérer avec une précision inédite les failles des systèmes informatiques, un outil aussi précieux pour les pirates que pour les défenseurs.
Ce qu’il faut retenir
- 110 banques de la zone euro doivent remettre un plan de cybersécurité renforcé à la BCE avant le 31 octobre 2026, sous peine de sanctions.
- Les modèles d’IA comme Mythos d’Anthropic accélèrent l’identification des vulnérabilités logicielles, réduisant le temps de réaction des banques face aux cyberattaques.
- Le Comité européen du risque systémique (CERS) a relevé le niveau de risque cyber au rang « sévère » en juin 2026, une première pour ce régulateur.
- Parmi les établissements concernés figurent Deutsche Bank, BNP Paribas et Santander, dont les plans devront être validés par la BCE d’ici fin octobre.
- La BCE a également repoussé à février 2027 son questionnaire annuel sur les risques informatiques, afin de laisser aux banques le temps de se concentrer sur ces nouvelles menaces.
Une menace systémique amplifiée par l’IA
Dans sa lettre, la BCE souligne que les progrès rapides de l’intelligence artificielle ne constituent pas une menace totalement inédite, mais « une évolution durable du paysage des menaces plutôt qu’un phénomène temporaire ». Claudia Buch, présidente du Conseil de supervision de la BCE, a précisé dans ce courrier que ces avancées « amplifient considérablement la vitesse et l’ampleur à laquelle ces risques se matérialisent ». Selon Euronews FR, les cybercriminels exploitent déjà ces outils pour cibler les failles logicielles avant même que les correctifs ne soient déployés, augmentant ainsi le risque d’attaques simultanées à l’échelle du secteur bancaire européen.
Les établissements financiers devront, dans leurs plans, prioriser plusieurs axes : une gestion accélérée des vulnérabilités et des correctifs, le déploiement de systèmes de surveillance et de détection assistés par IA, ainsi qu’un audit renforcé des fournisseurs tiers et des chaînes d’approvisionnement. La BCE insiste sur le fait que ces mesures doivent être pilotées par les plus hauts niveaux de direction des banques, afin d’assurer une réponse coordonnée et efficace.
Le CERS alerte sur un risque systémique « sévère »
Cette initiative de la BCE s’accompagne d’un avertissement formel du Comité européen du risque systémique (CERS), qui a officiellement relevé son évaluation du risque cybernétique systémique au niveau « sévère » en juin 2026, contre « élevé » en mars. Comme le rapporte Euronews FR, le CERS considère que les modèles d’IA de dernière génération représentent un « changement de paradigme » en matière de cybersécurité, transformant cette technologie en une source majeure de risque pour la stabilité financière de l’Union européenne.
Le régulateur met en garde contre l’utilisation croissante de l’IA par des acteurs malveillants pour automatiser et sophistiquer leurs attaques. Selon ses estimations, l’IA pourrait réduire drastiquement le délai dont disposent les banques pour corriger les vulnérabilités avant qu’elles ne soient exploitées, multipliant ainsi les risques d’incidents cyber simultanés. Le CERS souligne également la dépendance stratégique de l’UE envers les principaux développeurs d’IA, majoritairement basés en dehors de l’Union, ce qui expose le bloc à des risques géopolitiques supplémentaires.
Anthropic et l’équilibre entre innovation et sécurité
Parmi les acteurs cités dans le rapport, Anthropic, développeur du modèle Mythos, illustre les dilemmes posés par l’IA. L’entreprise avait initialement retenu la version complète de son outil, craignant qu’elle ne soit détournée pour identifier des failles logicielles au profit de cybercriminels. En juin 2026, elle a finalement publié une version publique dotée de garde-fous intégrés, une décision saluée par certains experts mais jugée insuffisante par d’autres, selon Euronews FR. Ce cas met en lumière les tensions entre innovation technologique et protection des infrastructures critiques, un enjeu que les régulateurs européens tentent désormais d’encadrer plus strictement.
La BCE, consciente de l’évolution rapide du paysage technologique, a indiqué qu’elle aborderait les risques liés à d’autres innovations majeures, comme l’informatique quantique, dans une prochaine lettre dédiée, sans préciser de calendrier. Ces technologies, encore émergentes, pourraient selon elle avoir un « impact significatif » sur la cybersécurité à moyen terme.
Le CERS, de son côté, pourrait renforcer ses recommandations ou proposer de nouvelles directives si la situation venait à s’aggraver. Pour les observateurs, la question n’est plus de savoir si l’IA transformera la cybersécurité, mais à quelle vitesse les institutions financières parviendront à s’adapter à cette nouvelle donne.