L'ASIC exhorte les courtiers à renforcer d'urgence leurs cyberdéfenses face à la multiplication des menaces liées à l'intelligence artificielle de pointe

La Commission australienne des valeurs mobilières et des investissements (ASIC) met en garde les entreprises financières et les acteurs du marché contre le risque de voir leurs mesures de cybersécurité renforcées, l'intelligence artificielle continuant d'amplifier les cybermenaces à l'échelle mondiale.

Elle a soutenu que, même si les cybermenaces ont toujours été une préoccupation, des outils d'IA sophistiqués comme Claude Mythos pourraientmaticla découverte et l'exploitation des vulnérabilités. 

Dans une lettre ouverte, l'autorité de régulation a conseillé aux entreprises de sécuriser dès maintenant leurs systèmes contre les risques liés à l'IA, plutôt que de compter sur de futurs outils d'IA. Elle a notamment préconisé une approche technologiquement neutre et fondée sur des principes pour les mises à niveau de cybersécurité urgentes.

Qu’attend l’ASIC des titulaires de licence à travers le pays ?

L’intelligence artificielle de pointe a fait entrer les cyber-risques dans une « nouvelle ère », a averti Simone Constant, commissaire de l’ASIC. Elle a souligné que, malgré les avantages potentiels des modèles d’IA avancés, ces derniers peuvent exploiter les vulnérabilités beaucoup plus rapidement que prévu.

Cela signifie que des failles isolées peuvent désormais provoquer un effondrement total du système, des attaquants moyens ayant accès à des techniques de piratage de haut niveau. 

Cette communication fait suite aux révélations de Connective selon lesquelles les courtiers intègrent des outils d'IA sans les cadres de protection nécessaires. Glenn Lees, PDG de Connective, a affirmé que le secteur du courtage est actuellement en pleine effervescence autour de l'IA, mais manque de la structure indispensable à un déploiement sécurisé et durable.

Il a néanmoins exhorté les courtiers à mettre en place une base solide en matière de stratégie, de systèmes et de gouvernance, affirmant que c'est probablement la seule façon de faire fonctionner l'adoption de l'IA. 

Dans sa lettre ouverte, l'ASIC a également exhorté les titulaires de licences à combler leurs lacunes en matière de sécurité dès maintenant, plutôt que d'attendre l'évolution des menaces liées à l'IA. Constant a expliqué qu'un plan d'intervention immédiatement opérationnel est essentiel, car les règles fondamentales de la cybersécurité restent les mêmes, même avec l'évolution technologique.

Elle a ajouté que la haute direction devait prendre ses responsabilités, en veillant à ce que des tests rigoureux et des mesures correctives précoces soient mis en œuvre bien avant qu'une menace ne se transforme en crise. 

Elle a ajouté : « Il est minuit moins une – si vous n'avez pas encore optimisé votre cybersécurité, il est temps d'agir et de vous préparer. »

Par ailleurs, outre l’ASIC, l’Autorité australiennedent(APRA) a averti les banques que leurs mesures de gouvernance et de contrôle de l’intelligence artificielle sont à la traîne par rapport à l’expansion rapide des outils d’IA. 

Therese McCarthy Hockey, membre de l'APRA, a déclaré : « La révolution de l'IA offre d'immenses opportunités aux banques, aux assureurs et aux gestionnaires de fonds de pension pour améliorer leur efficacité et leurs services à la clientèle. Mais nous ne pouvons ignorer les risques liés à une technologie aussi puissante. »

L'ASIC a intenté une action contre FIIG Securities

L'ASIC a récemment pris des mesures contre FIIG Securities Limited (FIIG), société australienne spécialisée dans les titres à revenu fixe, pour avoir omis pendant des années de mettre en œuvre des mesures de cybersécurité adéquates pour sa clientèle importante. En conséquence, la société a été condamnée à payer des amendes d'un montant total de 2,5 millions de dollars et environ 500 000 dollars pour couvrir les frais de l'ASIC. 

Selon certaines informations, les failles de sécurité de FIIG ont contribué à l'ampleur de la cyberattaque survenue en 2023, qui a exposé des donnéesdent, notamment des numéros d'identification fiscale, des coordonnées bancaires et des piècesdent. Environ 18 000 clients ont été avertis que leurs données personnelles sensibles avaient potentiellement été divulguées.

À l'époque, la FIIG avait même reconnu que son dispositif de cybersécurité était insuffisant au regard des exigences de sa de services financiers australienne (AFS) et que des mesures de protection renforcées auraient pu atténuer l'impact de la violation. De son propre aveu, l'entreprise avait également manqué à ses propres règles, conçues précisément pour prévenir ce type de fuite de données. 

La Cour fédérale a également exigé un auditdent afin de mettre sa cyber-résilience au niveau des normes professionnelles. 

Suite à l'issue de l'affaire, la vice-présidente de l'ASIC, Sarah Court, a déclaré : « L'ASIC attend des titulaires de licences de services financiers qu'ils prennent les devants au quotidien pour protéger leurs clients. FIIG ne l'a pas fait, et a ainsi mis en danger des milliers de clients. Dans ce cas précis, les conséquences ont largement dépassé le coût qu'aurait engendré pour FIIG la mise en place de contrôles adéquats dès le départ. »