L’intelligence artificielle :
pour le meilleur et pour le pire

Historiquement ciblé par les cybercriminels, le secteur financier a très tôt misé sur l’intelligence artificielle (IA) pour renforcer sa cybersécurité. Dès les années 2000, banques et opérateurs de paiement expérimentaient des algorithmes d’apprentissage automatique pour détecter fraudes et intrusions plus finement que ne le permettaient les systèmes à règles fixes. Aujourd’hui, avec l’essor des modèles de deep learning et des IA génératives comme GPT, ces établissements disposent d’outils d’une puissance sans précédent pour analyser des masses de données en temps réel et identifier le moindre signal faible indicateur d’une attaque.

Exemple avec les Security Operations Centers (SOC) bancaires. Ils font face quotidiennement à des dizaines de milliers d’alertes de sécurité, dont l’écrasante majorité s’avère être des faux positifs. Bref, des analyses erronées. L’IA est devenue indispensable pour trier le bon grain de l’ivraie. Filtrant et priorisant les alertes en continu, les modèles de machine learning déchargent les analystes humains des vérifications fastidieuses. Les bénéfices sont mesurables : près des deux tiers des entreprises ayant introduit l’IA dans leur SOC constatent une accélération de la détection des menaces d’au moins 5 %, selon Cap Gemini¹. Une organisation sur cinq rapporte même une réduction de plus de 15 % du coût et du temps de réponse aux incidents².

En automatisant les tâches répétitives, comme la lecture des journaux, la corrélation d’événements ou les premières mesures de confinement, l’IA permet d’endiguer plus vite les attaques, tout en contenant les coûts. Dans la pratique, des groupes français comme BNP Paribas ou Société Générale ont intégré des plateformes d’orchestration de la réponse aux incidents (SOAR, pour Security Orchestration, Automation and Response) dopées à l’IA afin de gagner en réactivité et de mieux mobiliser les experts sur les incidents critiques.

Autre front crucial, la lutte contre la fraude bénéficie pleinement de l’apport de l’IA. Désormais, chaque transaction bancaire peut être passée au crible par un modèle prédictif capable d’évaluer en quelques millisecondes son niveau de risque. Un virement inhabituel vers l’étranger, un panier d’achats en ligne nettement supérieur à la moyenne habituelle du client, une localisation incohérente ? Ce sont là autant de signaux détectés par l’IA qui déclenchent immédiatement une alerte, voire un blocage préventif.

Chez Crédit Agricole, la surveillance automatisée des paiements par IA a permis de dépasser 95 % de détection en temps réel des transactions frauduleuses, tout en divisant drastiquement le nombre de faux positifs. Les banques en ligne affichent également des résultats éloquents : la britannique Monzo revendique une réduction de 80 % des pertes liées aux arnaques grâce à son IA maison, capable de repérer « 95 % des activités frauduleuses en quelques secondes »³. Dans le même esprit, les néobanques comme Revolut ou N26 s’appuient sur des algorithmes de deep learning pour dépister des schémas de blanchiment d’argent ou de phishing industrialisé, en scrutant des modèles de données qu’aucun humain ne pourrait discerner à une telle échelle. L’IA offre ainsi une nouvelle approche indispensable pour contrer des fraudes de plus en plus automatisées.

Au-delà de la détection en temps réel, l’IA ouvre la voie à une cybersécurité prédictive. Les banques commencent à exploiter le machine learning pour anticiper les attaques avant qu’elles ne surviennent, en identifiant des signaux avant-coureurs dans les flux réseau ou le comportement des systèmes. En analysant les modes opératoires passés des hackers (patterns d’intrusion, cibles favorites, timings), les modèles prédictifs peuvent estimer la probabilité et la forme d’une attaque future. Certaines grandes institutions financières vont encore plus loin en développant des jumeaux numériques de leur système d’information : de véritables copies virtuelles où elles simulent, grâce à l’IA, des cyberattaques potentielles, afin d’éprouver leurs défenses dans un environnement contrôlé. L’IA y joue tous les rôles d’attaquant et de défenseur pour tester les scénarios du pire. L’approche se veut résolument proactive : il s’agit de colmater les brèches avant même qu’elles ne soient exploitées par un adversaire réel.

Dans le même temps, les cybercriminels adoptent à leur tour l’IA pour affiner leurs attaques. Sur les forums clandestins, on a vu apparaître des services proposant des malwares « à la carte » générés par IA, capables de muter en permanence pour échapper aux antivirus. Baptisés WormGPT ou FraudGPT, ces IA entraînées sur des bases de codes malveillants fournissent à des attaquants peu qualifiés le pouvoir de créer virus, chevaux de Troie et ransomwares via une simple requête.

Cette industrialisation du crime numérique fait craindre une augmentation du volume d’attaques et une baisse de la barrière à l’entrée de la cyberdélinquance. S’il est un domaine où l’IA malveillante excelle déjà, c’est bien le phishing. La rédaction d’e-mails frauduleux convaincants a toujours été un art pour les escrocs. Elle peut désormais être automatisée et industrialisée. En alimentant un modèle de langage avec des informations sur la victime, récupérées sur Linkedin par exemple, et en lui demandant de rédiger un message dans le style d’un interlocuteur de confiance, l’attaquant obtient un courrier pratiquement indétectable. Les taux de réussite explosent : d’après une étude de KnowBe4, 82 % des campagnes d’hameçonnage contiennent désormais au moins un élément généré par IA, rendant les attaques toujours plus polymorphes et difficiles à filtrer⁴. Les banques signalent une recrudescence de ces tentatives, où les e-mails frauduleux imitent à la perfection les communications de l’établissement ou d’un partenaire, jusque dans les détails de charte graphique et le ton employé.

Les autorités constatent déjà une hausse des incidents impliquant l’IA du côté des attaquants : selon IBM, 16 % des entreprises victimes d’une brèche en 2024 suspectent que des outils d’IA ont été utilisés par les hackers, notamment pour automatiser le phishing ou créer de faux contenus convaincants⁵. Face à cela, la parade passe par une vigilance accrue avec programmes de sensibilisation renforcée du personnel et des clients et par l’IA défensive : paradoxalement, ce sont d’autres modèles d’IA qui commencent à analyser les messages entrants pour y déceler des marqueurs subtils d’intentions malveillantes, comme des tournures de phrases inhabituelles ou des incohérences contextuelles. Objectif : bloquer les mails suspects avant qu’ils n’atteignent leur cible.

Un autre danger émerge : celui du déverrouillage des modèles grand public. « Jailbreak » dans le jargon anglo-saxon. Des individus parviennent à contourner les garde-fous éthiques de systèmes comme ChatGPT, Perplexity ou Gemini, afin de les faire dévier de leurs usages légitimes. En manipulant habilement les prompts, ils obtiennent de ces IA des instructions qu’elles ne devraient pas fournir par exemple des conseils pour mener une attaque informatique, concevoir une bombe artisanale ou orchestrer un braquage.

Bien que les concepteurs d’IA améliorent constamment les filtres de sécurité, le jeu du chat et de la souris est engagé : chaque nouvelle version voit apparaître de nouvelles méthodes de contournement. Pour le secteur financier, le risque est double. D’une part, ces détournements peuvent aider les criminels à planifier des attaques complexes. D’autre part, les clients eux-mêmes pourraient utiliser l’IA de manière non conforme, par exemple pour tenter de contourner des contrôles de sécurité dans les services en ligne bancaires. De la même façon, une mauvaise utilisation de l’Ia peut avoir des effets dévastateurs, notamment en matière de données (voir encadré). Cela oblige les banques à redoubler de prudence.

Enfin, l’essor des deepfakes vient ajouter une dimension inquiétante aux escroqueries financières. Les truquages vidéo et/ou audio par IA permettent d’usurper l’identité de personnes de haut rang (P-DG, directeurs financiers...) avec une fidélité telle que même leurs plus proches collaborateurs peuvent s’y tromper. L’exemple désormais classique est celui de ce P-DG d’une filiale britannique. En 2019, il a exécuté un ordre de virement de 220 000 euros par téléphone, croyant avoir son patron allemand en ligne alors qu’il s’agissait d’une voix de synthèse⁶. Depuis, les attaques type « fraude au président » par IA se sont multipliées. En 2023, aux Émirats arabes unis, des fraudeurs sont parvenus à dérober 35 millions de dollars en combinant de faux appels vocaux et des e-mails falsifiés, trompant plusieurs banques simultanément !

Les autorités rentrent aussi dans la partie. Via sa récente réglementation DORA sur la résilience numérique entrée en vigueur début 2025, la Banque Centrale Européenne exige des banques qu’elles contrôlent rigoureusement leurs outils numériques critiques. Et par extension, les modèles d’IA susceptibles de guider des décisions importantes⁷. En parallèle, l’IA Act européen, adopté en 2024 et dont l’entrée en vigueur progressive s’échelonne jusqu’en 2026, établit un cadre légal inédit pour l’utilisation des systèmes d’IA. Classant certaines applications comme « à haut risque » notamment les IA utilisées dans les services financiers pour la détection de fraude ou la gestion de la cybersécurité il impose des obligations strictes en matière de transparence, d’explicabilité, de gestion des biais et de contrôle humain.

Pour les banques, cela signifie qu’au-delà de la performance, il faut prouver que chaque modèle est auditable, que les données d’entraînement respectent le règlement général sur la protection des données (RGPD) et que des mesures d’atténuation des biais sont mises en place. Traçabilité, auditabilité, gouvernance : les établissements financiers doivent désormais prouver que l’IA déployée dans leurs processus pour la détection de fraude, l’octroi de crédit, la notation interne ou tout autre cas d’usage est fiable et maîtrisée. Le coût de la non-conformité est de plus en plus dissuasif : aux sanctions potentielles des autorités s’ajoutent le risque réputationnel et la défiance des clients en cas de défaillance spectaculaire liée à l’IA. Les banques doivent donc investir dans des dispositifs de suivi des modèles, monitoring des décisions, comités éthiques internes...

L’extrême complexité des modèles de deep learning souvent qualifiés de « boîtes noires » pose notamment un défi majeur aux établissements soumis à des obligations de transparence vis-à-vis des clients comme des régulateurs. Comment expliquer à un client que son virement a été bloqué par un algorithme si l’on est incapable de détailler la raison de ce blocage ? Face à ce problème, la recherche en IA explicable (XAI) tente de développer des méthodes pour éclaircir le fonctionnement interne des modèles. Dans la pratique, des solutions émergent, comme des plugins d’explication fournissant des indicateurs compréhensibles, par exemple le critère inhabituel ayant pesé dans la décision automatique.

Néanmoins, nous sommes encore loin d’une réelle transparence : même avec des outils d’XAI, traduire le raisonnement d’un réseau de neurones de plusieurs milliards de paramètres reste hasardeux. Les banques avancent donc en terrain miné, devant arbitrer entre des modèles très performants mais hermétiques, et des approches plus simples, moins efficaces mais plus explicables. À terme, la conformité réglementaire pourrait trancher en imposant une exigence d’auditabilité accrue des IA dans les services financiers critiques. Dans ce contexte, certaines banques commencent à expérimenter des outils d’IA explicable (XAI) déjà utilisés dans d’autres industries. Des méthodes comme LIME ou SHAP permettent de mettre en évidence les critères qui ont pesé dans une décision, même lorsqu’elle émane d’un réseau de neurones complexe.

BNP Paribas a ainsi testé des modules capables de générer en quelques secondes un rapport intelligible expliquant pourquoi une transaction a été classée comme suspecte, ce qui facilite les échanges avec les régulateurs. De leur côté, plusieurs fournisseurs de solutions de sécurité, comme Microsoft ou Palo Alto Networks, intègrent désormais des « plugins d’explicabilité » dans leurs plateformes SIEM et SOAR, offrant aux analystes des indicateurs clairs comme la rareté d’une adresse IP, la localisation atypique d’un terminal ou une anomalie horaire dans un virement. Ces avancées ne lèvent pas complètement le voile sur l’opacité des modèles, mais elles représentent une première étape pour concilier performance et exigences de transparence.

Quoi qu’il en soit, les modèles d’IA restent imparfaits et sujets à caution. Les IA génératives peuvent fournir avec aplomb des informations erronées, appelées hallucinations, susceptibles d’induire en erreur les analystes s’ils leur faisaient une confiance aveugle. Dans un contexte bancaire, une telle erreur peut conduire à manquer une attaque réelle ou à mobiliser des ressources sur une fausse alerte.

Plus insidieux encore, les biais présents dans les données d’entraînement de l’IA peuvent aboutir à des discriminations. L’affaire COMPAS aux États-Unis, où un algorithme d’aide à la décision judiciaire s’est révélé défavoriser systématiquement les prévenus afro-américains, est souvent citée en exemple des dangers du biais algorithmique⁸. Transposé à la cybersécurité bancaire, un modèle mal entraîné pourrait par exemple sous-évaluer la menace provenant de certaines régions du monde si les données historiques sont lacunaires ou biaisées ouvrant une brèche exploitable par les attaquants. Conscientes de ces enjeux, les banques s’attachent à valider leurs modèles d’IA avant déploiement par validation croisée, tests en sandbox ou appels à des auditeurs externes spécialisés. Mais garantir un risque zéro est illusoire, tant ces systèmes complexes peuvent développer des comportements inattendus une fois en production.

Loin de se résumer à un défi technologique, l’essor de l’IA au service des banques est aussi un défi de gouvernance. Pour que l’IA reste un atout et ne devienne pas un risque incontrôlé, les institutions financières doivent mettre en place des garde-fous internes. Cela passe par la création de comités dédiés à l’IA responsable, impliquant les directions métiers, éthiques et juridiques, afin d’évaluer l’impact des algorithmes déployés. Des politiques claires doivent encadrer l’usage de solutions tierces en cloud par les employés, pour éviter des fuites de données accidentelles. La formation continue des équipes IT et sécurité est également cruciale, pour qu’elles comprennent les limites de ces outils et ne les considèrent pas comme infaillibles.

Se pose également la question de la souveraineté technologique : les banques européennes, par exemple, pourront-elles s’appuyer durablement sur des IA conçues et hébergées hors d’Europe sans maîtriser la chaîne de valeur ? Le développement d’alternatives locales et de partenariats avec des acteurs de confiance est encouragé par les pouvoirs publics. Agence cyber de l’Union européenne, l’ENISA plaide dans son rapport 2023 pour une vigilance accrue face à la dépendance aux IA américaines ou chinoises dans des secteurs critiques. Elle incite aussi à investir dans la recherche régionale pour ne pas être à la traîne⁹. Dans le même temps, la coopération internationale reste essentielle face à des cybermenaces sans frontières : les échanges d’informations sur les attaques impliquant l’IA, le partage de bonnes pratiques de défense, contribuent à élever le niveau de sécurité de tout l’écosystème financier.

L’IA s’est imposée en quelques années comme un allié précieux des banques pour faire face à des menaces toujours plus agiles et furtives. Elle apporte des gains d’efficacité tangibles et ouvre des perspectives nouvelles, de la détection proactive à la réaction autonome. Néanmoins, il serait naïf d’y voir une solution magique dénuée de contreparties. Biais, erreurs et détournements d’usage font partie intégrante du paysage de l’IA et peuvent, s’ils sont ignorés, réduire à néant les bénéfices attendus ou créer de nouveaux points faibles. Le défi pour la cybersécurité bancaire n’est donc pas seulement d’adopter l’IA, mais de l’intégrer de manière contrôlée et responsable, dans le respect d’un cadre réglementaire désormais exigeant. Le RGPD a ouvert la voie, DORA impose la résilience, et l’IA Act fixe désormais la norme de confiance et de transparence. L’avenir de la sécurité bancaire se jouera à cette intersection entre innovation technologique et conformité légale, un équilibre que seules les institutions les plus proactives sauront maîtriser.