Le risque cyber n’est pas nouveau. L’automatisation non plus. Ce qui change, selon les régulateurs, c’est le tempo.
Le 8 mai 2026, l’ASIC — l’Australian Securities and Investments Commission, le régulateur australien des marchés et services financiers — a averti que l’IA de pointe intensifie l’environnement mondial du risque cyber. Elle a demandé aux titulaires de licences et aux participants de marché de renforcer d’urgence leur cyberrésilience .
Le problème immédiat n’est pas forcément une attaque jamais vue. C’est plutôt la vitesse à laquelle des failles connues ou latentes peuvent être repérées, testées puis exploitées. Des comptes rendus de l’analyse du FMI soulignent que l’IA réduit fortement le coût et le temps nécessaires aux pirates pour identifier et exploiter des vulnérabilités. L’ASIC, de son côté, prévient que le mauvais usage de modèles d’IA de pointe pourrait exposer des failles à une vitesse, une échelle et un niveau de sophistication sans précédent .
Concrètement, cela crée trois pressions pour les banques et les acteurs financiers :
Une fuite de données dans une entreprise est déjà grave. Mais une attaque majeure contre une infrastructure financière commune peut prendre une autre dimension.
Le FMI insiste sur la dépendance du système financier à des infrastructures numériques partagées : logiciels, services cloud, réseaux de paiement et autres réseaux de données . C’est cette interconnexion qui peut transformer un incident opérationnel en risque macrofinancier.
Selon l’analyse du FMI, des pertes extrêmes liées à un cyberincident pourraient entraîner des tensions de financement, soulever des préoccupations de solvabilité et perturber les marchés au sens large . Dans un chapitre de son Global Financial Stability Report consacré au risque cyber, le FMI indiquait aussi que le nombre de cyberattaques avait presque doublé depuis la période précédant la pandémie de COVID-19. La plupart des pertes directes déclarées restaient modestes, autour de 0,5 million de dollars, mais le risque de pertes extrêmes d’au moins 2,5 milliards de dollars avait augmenté
.
Cette différence est essentielle : la majorité des incidents ne deviennent pas des crises systémiques. Mais les incidents rares et très coûteux peuvent peser sur la confiance, la liquidité et le fonctionnement des marchés. Les travaux du FMI citent notamment des canaux comme les sorties de dépôts, les suspensions de négociation et la volatilité des prix d’actifs .
Les signaux convergent parce que les capacités d’IA progressent plus vite que les dispositifs de gouvernance et de résilience de certains acteurs financiers.
En Australie, l’APRA a averti que les banques ne suivaient pas le rythme des évolutions de l’industrie de l’IA et que de nombreuses pratiques de sécurité de l’information peinaient à s’adapter à cette cadence . Le régulateur a aussi signalé que l’adoption rapide de l’IA dans les institutions financières dépassait la gouvernance, la cyberrésilience et les contrôles de risque
.
L’ASIC a ensuite appelé, le 8 mai 2026, les prestataires de services financiers et les participants de marché à agir sans attendre, à renforcer leur cyberrésilience et à ne pas attendre de nouveaux outils d’IA avancée pour améliorer les fondamentaux de cybersécurité . À l’échelle mondiale, l’analyse publiée par le FMI le 7 mai 2026 présente les cyberattaques alimentées par l’IA comme un risque pour la stabilité financière, tandis que d’autres comptes rendus indiquent que l’institution appelle à une coopération internationale accrue face à ces menaces
.
La directrice générale du FMI, Kristalina Georgieva, a résumé l’urgence en des termes particulièrement directs : le monde ne dispose pas encore de la capacité nécessaire pour protéger le système monétaire international contre des cyberrisques massifs .
Le message des régulateurs ne se résume pas à acheter un nouvel outil de cybersécurité. Il s’agit de gouvernance, de responsabilité et de résilience opérationnelle.
Pour les banques et les entreprises financières, les priorités les plus claires sont les suivantes :
Les cyberattaques dopées à l’IA ne rendent pas une crise bancaire inévitable. Elles rendent un risque déjà connu plus rapide, plus extensible et plus susceptible de mettre sous tension des dépendances communes.
C’est pourquoi la moyenne des pertes peut rester relativement faible tandis que le risque extrême augmente. Et c’est précisément ce risque de queue — rare, mais potentiellement déstabilisateur — qui pousse le FMI, l’ASIC et l’APRA à demander aux banques de renforcer gouvernance, cyberrésilience et contrôles avant qu’un incident accéléré par l’IA ne mette réellement le système financier à l’épreuve .