Connexion
Cybersécurité : la BCE s’inquiète de Mythos et convoque les banques européennes
Les pirates n'attendront pas l'autorisation de Bruxelles
La Banque centrale européenne, qui supervise les 111 plus grandes banques de la zone euro, veut discuter cybersécurité. Une réunion est prévue ce mardi 26 mai avec les établissements bancaires pour évoquer les risques liés aux derniers modèles d’IA, dont Mythos qui se fait toujours attendre en Europe.
Les ailes du projet Glasswing n’ont pas encore permis à Mythos d’atteindre les rives européennes. Cet aperçu du modèle le plus ambitieux d’Anthropic est déployé au compte-gouttes auprès d’organisations et d’entreprises triées sur le volet, quasi-exclusivement américaines. Il est utilisé pour détecter les vulnérabilités dans le code et au vu des premiers retours, notamment chez Mozilla, le modèle semble faire preuve d’une certaine efficacité.
Les banques de la zone euro ne sont pas dans les petits papiers d’Anthropic, mais qu’à cela ne tienne : « Le fait que vous n’ayez pas accès à ce modèle n’est pas une excuse pour rester inactif », affirme Frank Elderson, vice-président du conseil de surveillance prudentielle de la Banque centrale européenne (BCE), en parlant des établissements financiers européens. « Des acteurs malveillants pourraient bientôt avoir accès à cette technologie », prévient-il au Financial Times.
C’est pourquoi l’institution organise une réunion au sommet demain, mardi 26 mai, pour discuter des risques pour la sécurité informatique que font peser ces modèles IA. La BCE discute régulièrement avec les banques de la zone euro, mais des réunions dédiées à un thème spécifique sont plus rares.
Les banques US appelées au secours des banques européennes
La Banque centrale entend souligner la gravité des menaces représentées par Mythos et des autres modèles IA pour le système financier européen. Et elle voudrait bien aussi que les banques américaines opérant sur le vieux continent et qui utilisent ces technologies partagent des retours d’expérience avec leurs homologues européennes. « Nous voulons écouter les évaluations des banques, créer les conditions pour qu’elles puissent partager leurs expériences, et souligner l’importance du sujet », souligne Frank Elderson.
Le vice-président de la BCE estime que les banques doivent appliquer les correctifs logiciels bien plus rapidement qu’aujourd’hui. Le fait est que les pirates peuvent analyser une mise à jour de sécurité pour comprendre précisément quelle faille elle corrige. Ce travail de rétro-ingénierie pouvait prendre plusieurs jours ou plusieurs semaines, mais désormais avec des outils IA, l’opération peut être réalisée « en peut-être 30 minutes », s’alarme-t-il.
La Commission européenne travaille Anthropic au corps pour obtenir l’aperçu de Mythos, mais les choses prennent beaucoup de temps.
Anthropic a par ailleurs publié un premier bilan de Mythos, en annonçant que les 50 partenaires du projet Glasswing avaient trouvé « plus de 10 000 vulnérabilités » de gravité élevée ou critique dans leurs logiciels. Dans le secteur bancaire, Mythos a détecté et empêché un virement frauduleux d’1,5 million de dollars après qu’un acteur malveillant a compromis une adresse e-mail d’un client. Nul doute que les banques européennes aimeraient disposer d’un tel outil dans leur arsenal.
Comme pour donner raison à la BCE, la startup précise que « le principal frein réside dans la vitesse à laquelle nous pouvons vérifier, divulguer et corriger les très nombreuses vulnérabilités détectées par l’IA ». Si trouver des failles devient relativement facile, les opérations de triage, les rapports, le développement et le déploiement des correctifs représentent un « enjeu majeur pour la cybersécurité ».
L’entreprise prévoit l’expansion du projet Glasswing à « des partenaires supplémentaires », sans plus de précision. Et à l’avenir, Anthropic veut proposer des modèles grand public basés sur Mythos, mais en les encadrant de garde-fous suffisamment forts pour empêcher des dérives.
