Les questions de sécurité à l'ère de l'IA : la logique de protection des données bancaires change

Le journaliste du journal China Jingji, Guo Jianhang, rapporte depuis Pékin

À mesure que l’ère de l’IA entraîne la collecte et l’utilisation de quantités massives de données, l’importance de la sécurité des données ressort davantage.

Le développement des technologies de l’IA progresse rapidement et l’intelligence artificielle va s’infiltrer dans les décisions opérationnelles et les activités de gestion des banques plus vite qu’on ne le pensait. Auparavant, plusieurs banques avaient annoncé publiquement qu’elles continueraient à faire avancer la construction de la transformation numérique, afin de faire évoluer les modes de travail vers un modèle guidé par la donnée. Parallèlement, le marché et la réglementation mettent aussi en question la capacité des banques à suivre de manière synchronisée l’évolution de leurs dispositifs de protection de la sécurité des données ; la protection de la sécurité des données des banques influencera directement le niveau d’exploitation conforme des banques.

Le journaliste du « China Business News » a constaté qu’au 26 mars, parmi les sanctions administratives déjà publiées par la Banque populaire de Chine et ses antennes, les cas portant clairement sur des violations de « la gestion de la sécurité des données » ou de « la gestion de la cybersécurité » ont dépassé les 30 occurrences.

Le directeur général du département de livraison des actifs de données de Shenzhou Information, Zhang Kun, a déclaré : « Dans l’ère de l’IA, la gestion de la sécurité des données des banques doit, sur la base de la gouvernance traditionnelle des données, innover et procéder à une mise à niveau en fonction des caractéristiques des applications d’IA. L’essentiel est d’établir un système de gestion de précision “dès l’instant où les données sont générées, en identifiant clairement l’usage, les droits et le cycle de vie”, grâce à une combinaison organique des moyens techniques et des contraintes institutionnelles ; ainsi, on garantit à la fois la sécurité des données et la conformité, tout en soutenant un développement sain des technologies d’IA. »

Plus de 30 cas de sanctions dès le début de l’année

À l’année de lancement du « 15e plan quinquennal », l’environnement de sécurité auquel le secteur bancaire fait face devient encore plus complexe. Du respect passif de la conformité à la défense active, de la gouvernance par points à une exploitation systémique ; et au cœur du bras de fer autour de la sécurité des données, il n’est pas difficile de voir le ton donné par les sanctions administratives publiées dès le début de l’année par le régulateur.

D’après les annonces de sanctions de la Banque populaire de Chine mentionnées ci-dessus pour violations liées à la sécurité des données et à la cybersécurité, des succursales dans certaines régions de grandes banques publiques, des banques par actions et des banques urbaines et rurales ont toutes reçu des avis d’amende.

D’après certains cas de sanctions, la banque rurale et commerciale Rifeng a été pénalisée de 3 168 000 yuans, ce qui est élevé parmi les montants de sanctions du premier trimestre 2026. Les informations relatives aux sanctions administratives publiées par la Banque populaire de Chine indiquent que la banque Rifeng a été sanctionnée pour plusieurs violations, notamment la non-conformité aux dispositions en matière de gestion des statistiques financières, de gestion des comptes, de la gestion de la sécurité des données et de la cybersécurité, ainsi que le fait de ne pas avoir mené, conformément aux règles, la diligence raisonnable à l’égard des clients et de ne pas avoir signalé des transactions de montants élevés, entre autres. Concernant cette amende, la banque Rifeng a déclaré au journaliste : « Cette sanction concerne des faits d’une période antérieure (les deux premières années). La rectification a déjà été menée à bien. Elle visait principalement des problèmes liés à un usage non conforme des données. Pour des problèmes plus fins, nous établirons, par la suite, des plans en tenant compte de la mise à niveau technique et des changements dans l’industrie, et investirons davantage dans la mise à niveau du système de protection de la sécurité. »

Par ailleurs, deux banques dans le Guizhou ont été sanctionnées pour « violation des dispositions relatives à la collecte, la fourniture, la consultation des informations de crédit et à la gestion connexe ». Ces deux banques ont indiqué qu’elles n’avaient pour l’instant aucune mesure de rectification publiable. Une personne de la direction d’une banque rurale et commerciale dans le Guizhou a indiqué au journaliste : « À l’heure actuelle, les banques rurales et commerciales, lorsqu’elles appliquent des règles opérationnelles telles que la sécurité des données et la cybersécurité, gèrent généralement la situation en se fondant sur les normes de conduite établies par la fédération des associations de crédit régional. Après avoir été sanctionnées pour non-conformité, les mesures concrètes de rectification à venir sont également définies par la fédération des associations de crédit régional. »

En examinant les motifs de sanction figurant sur les avis, on constate que la violation des dispositions relatives à la gestion de la cybersécurité et à la gestion de la sécurité des données apparaît le plus fréquemment ; viennent ensuite les violations des dispositions relatives à la collecte, la fourniture, la consultation des informations de crédit et à la gestion connexe. On trouve aussi des violations liées à l’absence de mesures techniques de prévention, telles que la lutte contre les virus informatiques et les attaques réseau, ou des actes entraînant des risques pour la cybersécurité, comme l’intrusion.

Derrière l’enchaînement des sanctions par le régulateur, se dessine rapidement la formation d’un système de supervision de la sécurité des données financières. Depuis 2024, la National Financial Regulatory Administration et la Banque populaire de Chine ont mis en place une structure de « supervision à double ligne ».

D’après des informations publiques, en décembre 2024, la National Financial Regulatory Administration a publié les « Mesures de gestion de la sécurité des données pour les institutions de banque et d’assurance », introduisant des « évaluations de sécurité des données » pour les institutions de banque et d’assurance. En mai 2025, la Banque populaire de Chine a publié les « Mesures de gestion de la sécurité des données dans le domaine des activités de la Banque populaire de Chine », précisant et clarifiant les exigences relatives à la ligne de conformité en matière de sécurité des données dans le domaine des activités de la Banque populaire de Chine, ainsi que le principe « qui gère les activités, gère les données des activités, gère la sécurité des données ».

À l’entrée en 2026, le calendrier de publication des politiques avance de manière stable. Le bureau de la National Financial Regulatory Administration a publié le « Avis relatif au lancement d’une action spéciale visant l’amélioration des capacités de gestion de la sécurité des données des institutions financières », qui a fixé l’exigence générale de « découvrir un lot, rectifier un lot, notifier un lot, sanctionner un lot ». En outre, le Cyberspace Administration of China a sollicité publiquement des avis sur les « Lignes directrices pour la classification et la hiérarchisation des données des services d’information financière », afin d’affiner davantage les règles de classification des données essentielles, des données importantes et des données sensibles ordinaires.

Des professionnels du secteur estiment que l’orientation centrale de la supervision consiste à pousser les banques à intégrer la sécurité des données et la cybersécurité dans la gouvernance d’entreprise et la gestion quotidienne, afin de passer d’une conformité par étapes et passive à une gouvernance de long terme et continue.

« Construire des murs » devient « gérer les flux »

Sous la contrainte exercée par les politiques de supervision, les maillons faibles de la construction de la sécurité des données dans le secteur bancaire sont aussi devenus de plus en plus évidents. À l’heure actuelle, quels sont les maillons faibles manifestes dans la construction de la sécurité des données des banques ?

Zhang Kun estime que le premier problème est l’insuffisance de la capacité à réaliser un inventaire complet des actifs de données. Beaucoup de banques ne connaissent pas entièrement le patrimoine de données dont elles disposent ; en particulier, elles manquent de gestion unifiée efficace des « données sombres » dispersées dans divers systèmes métiers, environnements de test, ordinateurs personnels et systèmes historiques hérité. Ne pas savoir où se trouvent les données empêche naturellement d’assurer une protection efficace. Le deuxième problème est l’insuffisance de la visibilité et des capacités de contrôle lors du transfert des flux de données. Un point sensible souvent évoqué dans l’industrie est : « les données sont visibles mais pas contrôlables » ; c’est-à-dire que les données sont sécurisées dans les systèmes centraux, mais dès qu’elles sont exportées via diverses méthodes vers Excel, des bases de test ou des systèmes tiers, elles entrent dans « la zone aveugle de la régulation ». Les systèmes traditionnels de prévention des fuites de données (DLP) se concentrent davantage sur le transfert des fichiers, mais pour les comportements d’accès aux données via des méthodes comme les appels d’API ou les requêtes de bases de données, leurs capacités de surveillance et de contrôle sont relativement faibles. Le troisième problème concerne la sensibilisation à la sécurité des données et la conformité opérationnelle des personnes internes. Même si les moyens techniques sont très avancés, si la sensibilisation à la sécurité du personnel ne suit pas, cela crée encore de très grandes lacunes de sécurité, notamment lorsque des départements métiers, pour améliorer l’efficacité de travail, contournent les procédures de sécurité ou commettent des opérations non conformes dans des scénarios de partage et de collaboration des données.

Zhang Kun estime que, dans le contexte de la promulgation des politiques et des réglementations, les banques se trouvent à une période charnière où la construction de la sécurité des données passe de « la conformité guidée par des exigences » à « la gestion des risques ». Mais dans l’environnement actuel de supervision, la mise en œuvre concrète de la sécurité des données des banques fait encore face à plusieurs défis. Par exemple, les banques établissent un système de classification et de hiérarchisation des données, mais dans la pratique, elles rencontrent des difficultés pour le mettre en œuvre. De plus, avec l’accélération de l’internationalisation des activités bancaires, les scénarios de données sortant du pays augmentent de plus en plus ; avec le resserrement des exigences de conformité pour le transfert transfrontalier de données, les banques doivent construire un mécanisme d’évaluation de la sécurité pour la sortie de données. À l’heure actuelle, le flux de données dépend de « nouveaux canaux de données » comme les interfaces API et la connexion directe aux bases de données, ce qui apporte aussi de nouveaux risques et problèmes de lacunes de sécurité.

En réalité, dans le contexte d’une application approfondie de nouvelles technologies, telles que l’intelligence artificielle (IA), la logique de protection de la sécurité des données dans le secteur financier a subi une transformation fondamentale.

Le responsable de la technologie de la société de gestion du cloud computing et d’exploitation de l’orchestration du calcul intelligent, Jia Jie Yunxing, a déclaré au journaliste : « L’impact le plus important de l’ère de l’IA sur la construction de la sécurité des données des banques est que les stratégies de sécurité doivent accompagner chaque appel et chaque chemin des données, avec un déploiement dynamique. Dans le chemin traditionnel d’accès aux données “utilisateur—système d’application—base de données”, les stratégies de sécurité sont principalement construites autour des frontières réseau et d’une application unique. À l’ère de l’IA, le chemin d’accès centré sur les agents d’IA devient hautement dynamique : les utilisateurs appellent divers outils et API via l’agent d’IA, accèdent aux ressources de données de l’entreprise à travers plusieurs systèmes, planifient eux-mêmes les chemins, et effectuent des transferts entre domaines ; ainsi, le contrôle d’accès traditionnel basé sur la frontière et l’application devient difficile à faire fonctionner efficacement. En outre, le risque de fuite de données passe d’un scénario unique à des flux multiples en parallèle. Par ailleurs, pour permettre aux agents d’accomplir des tâches, l’attribution de permissions très larges peut facilement entraîner des risques tels que l’accès non autorisé. Tous ces facteurs influencent la transformation des stratégies de protection des données à l’ère de l’IA. »

À l’ère de l’IA, comment la gestion de la sécurité des données des banques peut-elle couvrir l’ensemble du cycle de vie des données ? Zhang Kun estime que les banques doivent construire un cadre de gouvernance de l’IA centré sur les données, afin d’améliorer la capacité de gestion sur tout le cycle de vie des données selon plusieurs dimensions. Pendant la phase de collecte, il faut établir un mécanisme spécial d’évaluation de la collecte des données pour les applications d’IA. Pour les besoins en données d’un projet d’IA, il faut décrire, champ par champ, l’usage et la nécessité, et respecter le principe de « limitation de l’objectif + nécessité minimale ». En même temps, il convient d’introduire des outils automatisés de détection de conformité, d’effectuer une analyse de conformité à la confidentialité sur les données versées, et d’établir un mécanisme de traçabilité de la source des données, afin de garantir que les données d’entraînement sont « propres » et légales. Pendant la phase de stockage et d’utilisation, il convient d’appliquer largement des technologies d’amélioration de la confidentialité. En particulier, l’utilisation de la technologie de confidentialité différentielle : en ajoutant un bruit mathématique aux données, on empêche les attaquants de déduire les informations de confidentialité spécifiques d’individus à partir des sorties du modèle. Lors du partage, il faut mettre en place un mécanisme de gestion fine du partage des données fondé sur les scénarios : en tenant compte des caractéristiques des applications d’IA, préciser la portée du partage, les modalités de partage et les exigences de sécurité pour différents scénarios. On peut utiliser des technologies comme l’apprentissage fédéré, afin de partager la valeur des données tout en protégeant la confidentialité des données. Au stade de la destruction, il faut établir un mécanisme intelligent d’exploitation automatisée du cycle de vie : utiliser des outils automatisés pour marquer et gérer les données sur l’ensemble de la chaîne ; une fois que les données ont terminé la tâche d’entraînement de l’IA ou dépassé la période de conservation conforme, le système déclenche automatiquement le processus de destruction de sécurité et génère des preuves de destruction infalsifiables.

Actualités abondantes, interprétations précises : tout est sur l’application Sina Finance