Intelligence artificielle de pointe: incidences sur la technologie, la cybersécurité et la résilience opérationnelle
Date : Avril 2026
Introduction
Les progrès récents en matière d'intelligence artificielle (IA) de pointeNote de bas de page 1 réduisent considérablement les délais de réaction face aux risques. Par exemple, Claude Mythos d'Anthropic, un modèle d'IA de pointe, est capable de repérer, de chaînerNote de bas de page 2 et de générer des exploits ciblant des vulnérabilités du jour zéro à la vitesse des machines. Dans ce contexte, l'IA de pointe remet en question l'efficacité de pratiques de gestion des risques existantes, telles que la gestion des correctifs et la réponse aux incidents, qui n'ont pas nécessairement été conçues pour fonctionner à cette échelle.
Du point de vue de la surveillance, l'IA de pointe transforme l'environnement des menaces. Elle ne constitue ni un événement ponctuel ni un phénomène limité dans le temps et nous oblige à revoir les hypothèses traditionnelles en matière de gestion des risques. La gouvernance, l'agilité opérationnelle et les contrôles axés sur la résilience gagnent ainsi en importance.
Ce bulletin vise à sensibiliser les institutions aux risques découlant de l'IA de pointe et met en évidence des pratiques judicieuses s'appuyant nos lignes, soit la ligne directrice B‑13 – Gestion du risque lié aux technologies et du cyberrisque, la ligne directrice E‑21 – Gestion du risque opérationnel et résilience opérationnelle, et la ligne directrice B‑10 – Gestion de risque lié aux tiers.
Renforcer la gouvernance et la responsabilisation
L'IA de pointe pose des défis en matière de gouvernance et des responsabilités, en particulier lorsque des systèmes fonctionnent à la vitesse des machines avec une supervision humaine limitée. Le rythme d'évolution des menaces facilité par l'IA peut dépasser les capacités des structures de gouvernance existantes, réduisant leur aptitude à assurer une surveillance efficace des décisions prises par l'IA et à gérer les risques découlant de la dépendance envers les tiers et de la chaîne d'approvisionnement.
Conformément aux principes 1 et 2 de la ligne directrice B‑13 et au principe 1 de la ligne directrice E‑21, nous nous attendons à ce que les institutions s'assurent que les institutions s'assurent que leurs cadres de gouvernance tiennent compte des risques liés aux menaces et aux technologies émergentes.
Les institutions peuvent envisager les contrôles et mesures d'atténuation suivantes :
- Fournir en temps opportun aux conseils d'administration et à la haute direction de l'information concrète et utile sur la façon dont l'accélération des menaces peut influencer les capacités de prévention, de détection, d'intervention et de rétablissement ;
- Intégrer l'évaluation des risques liés à l'IA dans les cadres et politiques existants de gestion des risques de l'entreprise, notamment ceux liés aux risques technologiques, à la cybersécurité, aux tiers et aux modèles ;
- Établir des responsabilités claires et des attentes entourant l'utilisation de l'IA, y compris des contrôles d'accès et des limites quant aux actions autonomes permises dans les environnements internes et ceux des tiers.
Identifier et défendre dans des délais resserrés
Les modèles d'IA de pointe peuvent permettre l'exploitation rapide de vulnérabilités du jour zéro ainsi que leur enchaînement à travers des environnements complexes. Cela accroît la probabilité d'attaques quasi simultanées contre des institutions qui s'appuient sur des approches traditionnelles de gestion des vulnérabilités, telles que les analyses périodiques et les cycles de correctifs fixes.
Les institutions doivent examiner si leurs contrôles clés continuent de fonctionner efficacement et à un rythme suffisant. Les principes 5, 9, 14 et 15 de la ligne directrice B-13 fournissent des précisions à cet égard.
Les institutions peuvent envisager les contrôles et mesures d'atténuation suivantes :
- Accélérer la gestion des correctifs en permettant la mise à l'essai et le déploiement rapides des correctifs des fournisseurs, à une fréquence et à une échelle accrues ;
- Maintenir un inventaire à jour des actifs technologiques appuyant les activités essentielles soutenu par un processus efficace de gestion de l'obsolescence technologique ;
- Mettre en œuvre une authentification multifactorielle résistante à l'hameçonnage et des mécanismes de vérification cryptographique des communications internes afin de réduire l'efficacité des attaques par piratage psychologique appuyées par l'IA ;
- Déployer des contrôles compensatoires, y compris des stratégies de segmentation fondées sur une architecture zéro confiance et des restrictions d'accès, afin de limiter les répercussions d'une compromission lorsque l'application immédiate de correctifs n'est pas possible.
Détecter et intervenir avec urgence
À mesure que les acteurs malveillants adoptent l'IA de pointe, les institutions qui n'intègrent pas l'IA pour se défendre peuvent se trouver confrontées à un écart de capacités croissant. Cet écart peut nuire à leur capacité de détecter, de prioriser et d'intervenir face aux les menaces à la vitesse et à l'échelle observées dans les attaques appuyées par l'IA.
Les institutions doivent évaluer leurs principaux contrôles afin de déterminer s'ils demeurent efficaces et s'ils offrent une visibilité et une agilité adéquates. Les principes 16 et 17 de la ligne directrice B‑13 précisent les attentes en matière de détection et d'intervention.
Les institutions peuvent envisager les contrôles et mesures d'atténuation suivantes :
- Utiliser des solutions de sécurité appuyées par l'IA pour accroître les capacités de détection et d'intervention, notamment la détection par analyse comportementale, l'identification des anomalies, la priorisation des alertes, le triage, l'automatisation des réponses et la surveillance avancée des menaces ;
- Intégrer l'IA aux opérations et aux environnements de sécurité existants, tels que les systèmes de gestion des informations et des événements de sécurité, afin d'améliorer la visibilité et les délais d'intervention ;
- Mettre à l'essai les contrôles face aux techniques d'attaque appuyées par l'IA au moyen d'exercices d'équipe rouge propres à l'IA, de tests d'intrusion et de simulations adverses ciblées ;
- Maintenir une gouvernance adéquate de l'IA et une supervision humaine appropriée pour les décisions à fort impact, ainsi que des mécanismes robustes de validation et de surveillance ;
- Renforcer l'état de préparation en matière d'intervention en cas d'incident afin de répondre à des incidents cybernétiques plus rapides et plus perturbateurs, y compris ceux faisant appel à une IA malveillante.
Accroître la résilience dans un contexte de changement continu
L'IA de pointe exerce une pression soutenue sur les systèmes et les opérations en raison de la découverte et de la correction continues de vulnérabilités. La fréquence accrue des correctifs et des mises à jour peut augmenter les risques de pannes et d'instabilité opérationnelle. Par ailleurs, les cyberattaques rapides et coordonnées accroissent la probabilité de perturbations des activités essentielles, ce qui souligne l'importance du principe 6 de la ligne directrice E-21 et des attentes qui s'y rattachent.
Les fournisseurs tiers peuvent éprouver des difficultés à maintenir leurs services dans un contexte de pression opérationnelle continue. Compte tenu des dépendances à l'égard de fournisseurs technologiques communs, l'exploitation de vulnérabilités facilitée par l'IA de pointe accentue les risques liés aux tiers et aux chaînes d'approvisionnement. Cela souligne l'importance de comprendre et de gérer la capacité opérationnelle des tiers en situation de perturbation, conformément au principe 9 de la ligne directrice B-10.
Pour réduire les risques d'impacts opérationnels et de perturbations des services fournis par des tiers, les institutions peuvent envisager les contrôles et mesures d'atténuation suivantes :
- Simplifier les pratiques de gestion des changements et de mise à l'essai afin de soutenir des mises à jour fréquentes ;
- Adopter une approche de type zéro confiance qui vérifie systématiquement les demandes d'accès et maintien des contrôles cohérents dans des environnements en évolution constante ;
- Mettre en œuvre des stratégies de segmentation et de confinement pour limiter les effets des défaillances ou des compromissions ;
- Assurer des capacités robustes de sauvegarde, de reprise et de continuité des activités, mise à l'éssai dans des scénarios réalistes ;
- Surveiller la résilience des fournisseurs tiers face aux exigences accrues en matière de correction et de remédiation.
Conclusion
L'IA de pointe accélère les risques existants, non seulement pour les institutions, mais aussi pour l'ensemble du système financier. Les pratiques judicieuses présentées dans ce bulletin complètent les attentes existantes en matière de gestion des risques technologiques et du cyberrisque prévues par la ligne directrice B-13, de résilience opérationnelle prévue par la ligne directrice E-21, et de gestion des risques liés aux tiers prévue par la ligne directrice B-10.
En maintenant une base de sécurité solide, en renforçant la gestion des risques liés aux tiers et en intégrant des contrôles axés sur la résilience opérationnelle appuyés par l'automatisation, les institutions peuvent accroître leur capacité à gérer les menaces facilitées par l'IA plus rapidement et à plus grande échelle. La collaboration entre les secteurs public et privé peut également appuyer ces efforts en favorisant une sensibilisation commune et une préparation collective, contribuant ainsi à un système financier plus résilient.
Le BSIF suit attentivement l'évolution des modèles d'IA de pointe. Il entretient des échanges réguliers avec des partenaires nationaux et internationaux à mesure que ces modèles évoluent. Des renseignements supplémentaires seront communiqués lorsqu'ils seront disponibles.
Liens utiles
- Centre canadien pour la cybersécurité (CCCS), L'intelligence artificielle de pointe – ITSAP.10.050 (Avril 2026)
- Financial Services Information Sharing and Analysis Center, Sector Risk Advisory: Preparing the Enterprise for AI-Enabled Vulnerability Discovery (en anglais seulement) (Avril 2026)
- AI Security Institute, Our evaluation of Claude Mythos Preview's cyber capabilities (en anglais seulement) (Avril 2026)
- CCCS, Les 10 mesures de sécurité en matière d'intelligence artificielle – ITSAP.10.049 (Mars 2026)
- G7 Cyber Expert Group, Statement on Artificial Intelligence and Cybersecurity (PDF) (en anglais seulement) (Octobre 2025)
- Department of Finance, Global Risk Institute, OSFI, FIFAI II: Summary Report: A Collaborative Approach to AI Threats, Opportunities, and Best Practices: Security and Cybersecurity (en anglais seulement) (Juillet 2025)
- Cybersecurity and Infrastructure Security Agency et al., Joint Guidelines for Secure AI System Development (PDF) (en anglais seulement) (Novembre 2023)
- National Institute of Standards and Technology, AI Risk Management Framework (AI RMF 1.0) (en anglais seulement) (Janvier 2023)
- BSIF, Ligne directrice E-21 - Gestion du risque opérationnel et résilience opérationnelle (Août 2024)
- BSIF, Ligne directrice B-10 - Gestion du risque lié aux tiers (Septembre 2023)
- BSIF, Ligne directrice B-10 - Gestion du risque lié aux technologies et du cyberrisque (Juillet 2022)