Le secteur financier est à la fois le plus avancé dans l’adoption de l’IA et le plus exposé à ses risques réglementaires. RGPD, AI Act, DORA, fraude deepfake : comment le DSI tient-il ce cap impossible ?
Le secteur financier : pionnier et cible
La banque et les assurances ont été parmi les premiers secteurs à industrialiser l’IA : scoring de crédit, détection de fraude en temps réel, chatbots de relation client, analyse prédictive des risques assurantiels. L’IA s’est progressivement imposer comme une infrastructure critique.
Mais cette avance crée une exposition unique. Les systèmes IA du secteur financier prennent ou informent des décisions qui engagent directement la vie des personnes : l’accès au crédit, la couverture assurantielle, la détection de comportements suspects. C’est précisément pourquoi le régulateur place ces systèmes au sommet de sa hiérarchie des risques.
À retenir : Le scoring de crédit automatisé et les systèmes d’évaluation des risques assurantiels sont explicitement classés « haut risque » par l’AI Act. Les obligations de documentation technique, de supervision humaine et de droit à l’explication s’appliquent dès août 2025.
Les grands défis liés à l’IA en banque et assurances
L’explicabilité : une exigence légale
Le RGPD (article 22) interdit les décisions entièrement automatisées ayant un impact significatif sur une personne sans possibilité d’explication ou de recours humain. L’AI Act européen renforce encore cette exigence de transparence. Résultat : les modèles « boîte noire » totalement non interprétables deviennent difficilement compatibles avec les usages sensibles.
La fraude deepfake : une menace désormais en temps réel
L’IA générative permet aujourd’hui de cloner une voix en quelques secondes, de produire de faux documents d’identité très crédibles ou encore de contourner des processus d’onboarding vidéo. Les pertes liées aux deepfakes explosent dans la finance et la cybersécurité, avec des impacts financiers majeurs pour les entreprises.
DORA : vos fournisseurs IA entrent dans le périmètre de conformité
Depuis janvier 2025, le règlement DORA impose que chaque prestataire ICT critique soit identifié, documenté, testé et encadré contractuellement. Cela concerne également les fournisseurs de modèles d’IA, de solutions de scoring ou d’outils de détection de fraude.
Le risque invisible : le modèle qui discrimine sans le savoir
Un algorithme entraîné sur des données historiques reproduit souvent les biais existants. Par exemple, un système de scoring peut défavoriser certains codes postaux ou profils socio-économiques, créant ainsi des discriminations indirectes, parfois sans que l’entreprise en ait conscience.
L’anatomie des risques SI spécifiques au secteur
La fraude de nouvelle génération
Les équipes de sécurité bancaire font face à une évolution qualitative des menaces. Les attaques par synthetic identity (création d’identités fictives à partir de données réelles agrégées) ont progressé de 89 % en 2024. Les deepfakes vocaux permettent de passer les systèmes d’authentification par voix. Les faux documents générés par IA trompent les systèmes de vérification automatisés.
Cas concret : En 2024, le groupe britannique Arup a perdu près de 25 millions de dollars après qu’un employé a validé plusieurs virements lors d’une visioconférence truquée par deepfake. Les fraudeurs avaient cloné l’apparence et la voix de dirigeants de l’entreprise pour simuler une réunion crédible. L’affaire a mis en lumière l’absence de procédures de vérification hors-bande pour les transactions inhabituelles (Financial Times).
La chaîne de décision IA : qui est responsable ?
Quand un modèle de scoring refuse un crédit, qui est juridiquement responsable ? L’éditeur du modèle ? La banque qui l’utilise ? Le data scientist qui l’a entraîné ? L’AI Act répond clairement : le déployeur, c’est-à-dire la banque, est responsable de la conformité du système. Pas l’éditeur.
Cela implique que votre DSI doit pouvoir documenter, expliquer et auditer chaque décision automatisée significative. Ce qui est impossible avec un modèle dont vous n’avez pas accès à la documentation technique.
Les 10 bonnes pratiques pour le secteur financier
1. Inventorier et classifier tous les systèmes IA selon le risque AI Act
Établissez un registre de vos systèmes IA avec leur classification (inacceptable, haut risque, risque limité, risque minimal). Pour chaque système à haut risque, déclenchez immédiatement la procédure de conformité AI Act.
2. Exiger l’explicabilité de tous les modèles décisionnels
Aucun modèle boîte noire pour des décisions affectant des clients. Imposez contractuellement la fourniture de scores d’explicabilité (SHAP, LIME) ainsi que la documentation des variables utilisées.
3. Intégrer chaque fournisseur IA dans votre dispositif DORA
Tenez un registre des tiers ICT, évaluez les risques de concentration, réalisez des tests de résilience et imposez les clauses contractuelles obligatoires. Chaque fournisseur IA critique doit être intégré à votre programme DORA.
4. Déployer des contre-mesures anti-deepfake sur les processus sensibles
Renforcez l’authentification multi-facteur pour les onboardings digitaux, mettez en place des procédures de vérification hors bande pour les opérations inhabituelles et déployez des solutions de liveness detection sur les KYC vidéo.
5. Auditer régulièrement les modèles pour détecter les biais
Testez systématiquement vos modèles de scoring afin d’identifier les discriminations indirectes liées au code postal, au nom ou à l’âge. Les audits d’équité algorithmique doivent être documentés et archivés.
6. Sécuriser les flux vers les LLM avec une politique de DLP stricte
Interdisez formellement l’introduction de données clients, contrats ou informations de marché dans des LLM publics. Déployez une solution DLP capable d’intercepter ces flux et journalisez l’ensemble des usages.
7. Maintenir la supervision humaine sur toutes les décisions significatives
Aucune décision de crédit, de couverture ou de blocage de compte ne doit être entièrement automatisée. Le RGPD, notamment l’article 22, l’interdit et l’AI Act renforce cette exigence. Documentez systématiquement le processus de revue humaine.
8. Créer un comité IA intégrant Risk & Compliance
Dans le secteur financier, le comité IA doit impérativement inclure les directions Risk et Compliance. Ce sont elles qui portent la responsabilité réglementaire et doivent valider chaque déploiement.
9. Tester la résilience de vos systèmes IA critiques
DORA impose des tests de résilience opérationnelle. Incluez vos composants IA dans les scénarios de crise : que se passe-t-il si votre modèle de détection de fraude devient indisponible ? Quel est le mode dégradé prévu ?
10. Former vos équipes aux vecteurs d’attaque IA spécifiques au secteur
Prompt injection sur les chatbots clients, manipulation des modèles de scoring, fraude par synthetic identity : vos équipes sécurité doivent être formées à ces nouvelles menaces propres à l’IA.
