La conversation entre le Secrétaire du Trésor Scott Bessent et le Président de la Réserve fédérale Jerome Powell avec les hauts dirigeants de Wall Street le mois dernier n'était pas théorique. Lorsque des régulateurs financiers de haut rang se réunissent avec des cadres pour discuter des menaces liées à l'intelligence artificielle sur les comptes de dépôt, cela signale que le secteur bancaire fait face à une vulnérabilité nouvelle et potentiellement systémique—une vulnérabilité que les systèmes de détection des fraudes traditionnels n'ont pas été conçus pour anticiper ou arrêter.

L'avertissement ultérieur de Bessent concernant le piratage de comptes alimenté par l'IA reflète un consensus croissant parmi les décideurs politiques : la posture de cybersécurité du secteur financier entre dans une période de stress aigu. Contrairement aux cybercriminels conventionnels qui exploitent les vulnérabilités connues ou les erreurs humaines par le biais de campagnes de phishing, les attaques basées sur l'IA fonctionnent à une échelle et une vitesse différentes. Les systèmes d'apprentissage automatique peuvent synthétiser de vastes ensembles de données sur le comportement des clients, tester des millions de variantes d'authentification en parallèle, élaborer des campagnes d'ingénierie sociale persuasives adaptées à chaque titulaire de compte, et exécuter des prises de contrôle de compte avec une intervention humaine minimale. La menace n'est pas hypothétique. Elle est opérationnellement réalisable aujourd'hui.

L'émergence de modèles de langage de pointe sophistiqués—y compris les systèmes d'Anthropic et les plateformes concurrentes—a abaissé les barrières à l'entrée pour cette catégorie d'attaque. Ces outils, initialement conçus à des fins commerciales légitimes, peuvent être détournés pour automatiser les phases de reconnaissance, d'inférence de credentials et de manipulation sociale d'une compromission de compte. Un acteur malveillant ayant accès à ces systèmes n'a plus besoin d'expertise en piratage spécialisée. L'IA effectue le travail cognitif intensif. Ce qui nécessiterait à un ingénieur talentueux plusieurs semaines de travail manuel peut désormais être réalisé en quelques heures par une machine exécutant des cycles d'inférence à grande échelle.

L'infrastructure de réaction aux incidents du secteur bancaire a été construite pour un modèle de menace différent. La détection des fraudes repose sur des algorithmes de reconnaissance de motifs entraînés sur des données historiques de transactions, de biométrie comportementale et de notation d'anomalies basée sur des règles. Ces systèmes sont de nature réactive : ils signalent les activités suspectes après qu'elles se soient produites. Face aux prises de contrôle de compte basées sur l'IA qui imitent les modèles de comportement des clients légitimes en temps réel, reproduisant les habitudes de dépenses et les modèles géographiques avec une précision étrange, la détection traditionnelle devient un jeu d'archéologie médico-légale. Au moment où les analystes humains examinent les transactions signalées, les dégâts sont déjà consolidés.

Les mécanismes d'authentification présentent un autre point faible. L'authentification multifacteur, autrefois considérée comme une défense robuste, peut être contournée par des systèmes d'IA qui exploitent soit des vulnérabilités supplémentaires dans la chaîne d'authentification, soit—plus insidieusement—utilisent l'ingénierie sociale pour convaincre les clients de remettre volontairement les codes de deuxième facteur. L'élément humain reste le point faible du système, et les grands modèles de langage excellent à produire du texte qui déclenche la conformité humaine.

L'affirmation de Bessent selon laquelle les banques américaines « travaillent à la sauvegarde » contre ces menaces est correcte mais insuffisante. Le travail est en cours. Mais la chronologie est extrêmement importante. Si le contrôle de compte alimenté par l'IA est opérationnalisé par des syndicats criminels avant que le secteur financier ne déploie des défenses adéquates, les pertes pourraient se propager dans le système d'une manière que l'assurance-dépôts traditionnelle et les calculs de réserves en capital n'ont jamais été conçus pour absorber. Une seule attaque coordonnée sur des milliers de comptes dans plusieurs institutions pourrait déclencher un événement de perte de confiance des clients qu'aucun filet de sécurité réglementaire ne peut facilement réparer.

La réponse appropriée nécessite trois flux de travail concurrents. Premièrement, la Réserve fédérale, le Bureau du Contrôleur de la Monnaie et la FDIC doivent émettre des directives contraignantes mandatant que les banques déploient des systèmes de détection d'anomalies en temps réel et natifs de l'IA—des modèles entraînés spécifiquement pour reconnaître les signatures comportementales de la compromission de compte basée sur la machine, non simplement la fraude humaine. Deuxièmement, l'infrastructure d'authentification doit évoluer au-delà des facteurs de connaissance vers des systèmes biométriques et comportementaux vérifiables qui ne peuvent pas être contournés par l'ingénierie sociale. Troisièmement, le secteur financier et les entreprises d'IA doivent établir un partenariat formel de renseignements sur les menaces, avec déclaration obligatoire des attaques basées sur l'IA détectées et diffusion rapide des mesures de défense dans les institutions.

Le risque ne réside pas dans le fait que le piratage de compte alimenté par l'IA se produira. Le risque réside dans le fait que, lorsqu'il se produira—et les attaques à grande échelle le suggèrent—les défenses du système bancaire s'avéreront insuffisantes, et les régulateurs seront forcés de passer au contrôle des dégâts plutôt qu'à leur prévention. L'avertissement de Bessent n'est pas une cloche d'alarme ; c'est un coup de pistolet de départ. Ce qui se passe ensuite dépend de la sériosité avec laquelle l'industrie agit sur ce signal.

Rédigé par l'équipe éditoriale — journalisme indépendant alimenté par Codego Press.

Sources : PYMNTS · 4 mai 2026