Les banques ont besoin d’un accès rapide à Claude Mythos pour se préparer à une nouvelle menace de l’IA, déclare l’APRA.
Les modèles Frontier AI inspirés de Claude Mythos d’Anthropic pourraient doter les attaquants de capacités avancées que le secteur bancaire est mal équipé pour faire face, a averti le régulateur financier australien, l’Australian Prudential Regulatory Authority (APRA).
Dans une lettre adressée cette semaine au secteur financier du pays, l’organisme explique comment l’arrivée de Claude Mythos a bouleversé des hypothèses vieilles de plusieurs décennies sur le risque de cybersécurité associé aux services financiers réglementés.
L’APRA soulève de multiples préoccupations. Le plus grave est simplement que l’industrie s’est retrouvée prise sous les projecteurs d’un facteur de risque inconnu provoqué par un modèle, Claude Mythos, qu’elle n’a pas encore pu examiner par elle-même.
À mesure que la technologie se répand, les auteurs de menaces utiliseront des modèles similaires pour découvrir les failles plus rapidement et plus facilement, ce qui pourrait accélérer la rapidité avec laquelle celles-ci peuvent être corrigées par les programmes de correctifs et de remédiation actuels.
La gouvernance ne suit pas le rythme
Avant de tirer ses conclusions, l’APRA s’est engagée auprès de l’industrie, constatant que la gouvernance ne parvenait pas à suivre l’évolution des risques signalée par l’IA. Au cours de cette recherche, la lettre indiquait : « L’APRA a observé une tendance à traiter le risque de l’IA comme « juste une autre technologie ». Cela passe à côté de différences clés telles que les caractéristiques distinctes des systèmes prédictifs, le comportement adaptatif dans les modèles, les considérations éthiques telles que les biais inhérents et les risques liés à la vie privée et aux données. «
L’organisme identifie plusieurs axes d’amélioration. Le plus important est le besoin urgent d’identifier et de corriger plus rapidement les vulnérabilités, ce qui nécessiterait une refonte majeure des processus actuels. Les organisations avaient également besoin de « tests de sécurité robustes sur le code, les composants logiciels et les bibliothèques générés par l’IA », associés à une évaluation plus approfondie des principales plates-formes et services d’IA.
« L’IA peut raccourcir le cycle d’attaque et augmenter la vitesse, la coordination et l’impact. Dans le même temps, les entités utilisent l’IA pour améliorer la chasse aux menaces et l’identification des vulnérabilités, le défi étant d’y remédier à la vitesse à laquelle les vulnérabilités sont identifiées », a déclaré l’APRA.
Accéder au mythe
Cela fait à peine trois semaines qu’Anthropic a rendu public Claude Mythos, le 7 avril, et il est difficile de se souvenir d’une évolution qui a suscité autant d’inquiétudes en matière de cybersécurité en si peu de temps.
Plus tôt cette semaine, Michael Theurer, le superviseur en chef de la Bundesbank, le régulateur financier allemand, a fait écho aux préoccupations de l’APRA, déclarant à Reuters que les banques européennes avaient besoin d’accéder à Claude Mythos pour se défendre contre le type de cyberattaques que ce type de modèle pourrait rendre possible.
« Je considère qu’il est nécessaire que la Commission européenne et les gouvernements européens contactent désormais également l’entreprise, ou plutôt les États-Unis, pour demander que la technologie soit partagée. Il doit y avoir une demande officielle pour que nous, en Europe, puissions également bénéficier des connaissances », a déclaré Theurer.
Anthropic aurait indiqué en privé qu’elle donnerait bientôt accès à Claude Mythos aux banques situées en dehors des États-Unis. Cependant, la référence aux États-Unis dans les remarques de Theurer fait allusion à la possibilité que le calendrier de cet accès puisse être affecté par la relation politique entre l’UE et l’administration Trump.
Compte tenu de l’interdépendance des banques mondiales, il semble peu probable que l’administration américaine retarde un accès plus large à Claude Mythos, alors même qu’elle négocie pour résoudre sa récente dispute publique avec Anthropic au sujet de la désignation de l’entreprise comme représentant un risque pour la chaîne d’approvisionnement. Cependant, étant donné les récentes plaintes selon lesquelles seules les entreprises technologiques américaines ont jusqu’à présent eu accès via le programme industriel de Claude Mythos, Project Glasswing, il est clair qu’il existe un certain malaise.
Le ciblage va « monter en flèche »
La préoccupation sous-jacente, bien entendu, est l’interdépendance institutionnelle ; une attaque contre une institution financière pourrait facilement se transformer en un problème systémique plus vaste si la faille est suffisamment grave.
Selon Joe Brinkley de la société de tests d’intrusion Cobalt, « la barrière à l’entrée pour les cybercapacités au niveau de l’État a désormais été réduite au coût d’une clé API ». Et étant donné que les banques mettent actuellement des semaines à corriger les vulnérabilités les plus graves, cela souligne la nécessité d’un changement, a-t-il souligné.
« Les organisations qui continuent de traiter la sécurité offensive comme un exercice périodique de cases à cocher plutôt que comme une fonction continue intégrée à l’IA attendent en réalité l’inévitable », a déclaré Brinkley. « Si le secteur bancaire n’automatise pas sa défense pour s’adapter à la rapidité de l’attaque, le ciblage des services financiers montera en flèche à mesure que les victoires faciles deviendront entièrement automatisées. »
De plus, selon Steve Tait, CTO de la société de sécurité cloud Skyhigh Security, les modèles d’IA tels que Claude Mythos représentent à la fois une opportunité et une menace.
« La cybersécurité a toujours été une course aux armements, et associer l’expertise en sécurité à des solutions avancées d’IA aidera les équipes à combattre l’IA par l’IA », a-t-il déclaré. « Si l’attaquant et le défenseur ont accès aux mêmes modèles, alors le terrain de jeu sera le même qu’aujourd’hui : globalement égal mais évoluant à des milliers de kilomètres à l’heure. »
