La Banque Centrale Européenne s’inquiète des risques soulevés par les modèles d’IA comme Mythos.
La banque a convoqué 300 participants issus des secteurs bancaire et public et d'associations représentatives afin d’accélérer le renforcement des systèmes informatiques face à des menaces jugées de plus en plus critiques pour la stabilité financière. Cette réunion avait aussi pour but de partager leurs expériences, échanger des informations disponibles et discuter de défis communs.
L’inquiétude est surtout lié à l’irruption contrôlée de Mythos, un modèle capable de découvrir et exploiter de manière autonome des vulnérabilités à une vitesse et à une échelle inédites avec sa capacité à combiner de petites failles pour créer des attaques complexes auparavant réservées à des experts, et transformer des correctifs en vulnérabilités exploitables en quelques heures.
Le modèle est pour l’instant en accès restreint pour quelques organisations aux USA et les institutions européennes n’y ont pas accès.
Darren Guccione, CEO et cofondateur de Keeper Security indique dans une tribune : « Les recherches de Keeper confirment l'ampleur du problème. Selon l'étude mondiale de Keeper, 43 % des personnes interrogées ont identifié la gestion et la sécurité des NHI liées à l'IA comme l'une des principales lacunes en matière de gouvernance de l'IA. Parmi les professionnels de la sécurité du secteur financier, 75 % ont déclaré trouver la gestion d'un nombre croissant d'identités — humaines et non humaines — au moins modérément difficile. Cela soulève une question urgente : si les institutions financières ne parviennent pas à gouverner efficacement les identités déjà présentes dans leur environnement, comment pourront-elles gérer efficacement l'ajout de l'automatisation pilotée par l'IA à l'échelle actuelle de déploiement ? L'exposition du secteur financier aux menaces liées à l'IA est réelle et croissante. Les contrôles nécessaires pour la gérer sont bien compris ; ce qui a fait défaut, c'est la discipline nécessaire pour les appliquer à l'échelle requise. La réglementation peut renforcer la concentration sur cet aspect, mais les institutions qui parviendront à transformer la pression réglementaire en véritable résilience seront celles qui intégreront une gouvernance continue dans leur gestion des accès. Cela nécessite d'appliquer le principe du « privilège minimal » à tous les agents IA et processus automatisés, d'étendre la gestion des accès privilégiés pour couvrir les identifiants et secrets des machines, et de traiter la gouvernance des NHI comme une priorité opérationnelle plutôt que comme une simple réponse à un audit. »
