ASIC pousse les courtiers à renforcer leurs défenses contre les risques liés à l'IA de pointe

La Commission australienne des valeurs mobilières et des investissements (ASIC) avertit les entreprises financières et les participants au marché de renforcer leurs protections en matière de cybersécurité alors que l’intelligence artificielle continue d’amplifier les menaces cybernétiques à l’échelle mondiale.

Elle a maintenu que, bien que les menaces cybernétiques aient toujours été une préoccupation, des outils d’IA sophistiqués comme Claude Mythos pourraient accélérer de manière spectaculaire la découverte et l’exploitation des vulnérabilités

Dans une lettre ouverte, le régulateur a conseillé aux entreprises de sécuriser leurs systèmes contre les risques accélérés par l’IA dès maintenant plutôt que de dépendre d’outils d’IA futurs. Principalement, il préconise une approche neutre en matière de technologie, axée sur des principes, pour les mises à niveau cybernétiques urgentes.

Que attend l’ASIC des titulaires de licence à travers le pays ?

Frontier AI a propulsé le risque cybernétique dans une « nouvelle ère », a averti la commissaire de l’ASIC Simone Constant. Elle a noté que, malgré les avantages potentiels des modèles d’IA avancés, ils peuvent encore exploiter des vulnérabilités beaucoup plus rapidement que la plupart ne l’anticipent.

Cela signifie que des lacunes isolées peuvent désormais provoquer un effondrement total du système, avec des attaquants moyens accédant à des techniques de piratage de haut niveau

Cette communication fait suite à des preuves de Connective selon lesquelles des courtiers intègrent des outils d’IA sans les cadres de défense nécessaires. Le PDG de Connective, Glenn Lees, a soutenu que l’industrie des courtiers est actuellement en effervescence avec l’IA mais manque de la structure nécessaire pour un déploiement sécurisé et stable.

Néanmoins, il a exhorté les courtiers à construire une base solide de stratégie, de systèmes et de gouvernance, affirmant que c’est probablement la seule façon de faire fonctionner l’adoption de l’IA

La lettre ouverte de l’ASIC a également demandé aux titulaires de licence de combler leurs lacunes en matière de sécurité dès maintenant, plutôt que d’attendre de voir comment les menaces liées à l’IA évolueront. Constant a expliqué qu’un plan de réponse prêt à l’emploi est essentiel, car les règles fondamentales de la cybersécurité ne changent pas simplement parce que la technologie évolue.

Elle a ajouté que la haute direction doit prendre la responsabilité, en veillant à ce que des tests rigoureux et une remédiation précoce aient lieu bien avant qu’une menace ne devienne une crise

Elle a également commenté : « L’horloge est à une minute de minuit – si vous n’êtes pas déjà à la hauteur de votre résilience cybernétique, le moment d’agir et de vous préparer, c’est maintenant. »

De plus, en dehors de l’ASIC, l’Autorité australienne de régulation prudentielle (APRA) a averti les banques que leurs mesures de gouvernance et de contrôle pour l’intelligence artificielle sont en retard par rapport à l’expansion rapide des outils d’IA

La membre d’APRA, Therese McCarthy Hockey, a déclaré : « La révolution de l’IA offre d’énormes opportunités pour les banques, les assureurs et les trustees de superannuation pour améliorer l’efficacité et renforcer les services aux clients. Mais nous ne pouvons pas être aveugles aux risques d’une technologie aussi puissante. »

L’ASIC a pris des mesures contre FIIG Securities

L’ASIC a récemment agi contre FIIG Securities Limited, spécialiste australien des revenus fixes, pour ne pas avoir mis en œuvre des mesures de cybersécurité appropriées pour sa vaste clientèle depuis des années. En conséquence, la société a été condamnée à payer des amendes pécuniaires totalisant 2,5 millions de dollars et environ 500 000 dollars pour les coûts de l’ASIC

Il a été rapporté que les faiblesses de sécurité de FIIG ont joué un rôle dans la portée d’une violation cybernétique de 2023 qui a exposé des données confidentielles, y compris des numéros de fichiers fiscaux, des détails de comptes bancaires et des documents d’identification. Environ 18 000 clients ont reçu un avis indiquant que leurs données personnelles sensibles pourraient avoir été divulguées.

À l’époque, FIIG a même reconnu que ses arrangements en matière de cybersécurité étaient inadéquats selon les exigences de sa licence de Services Financiers Australiens (AFS) et que de meilleures mesures de sécurité auraient pu réduire l’impact de la violation. Selon leurs propres aveux, la société n’a pas non plus suivi ses propres politiques conçues pour prévenir ce type de fuite de données

La Cour fédérale a également ordonné un audit indépendant pour améliorer sa résilience cybernétique à un niveau professionnel

Suite à l’issue de l’affaire, la vice-présidente de l’ASIC, Sarah Court, a même commenté : « L’ASIC attend des titulaires de licences de services financiers qu’ils soient proactifs chaque jour pour protéger leurs clients. FIIG ne l’a pas été – et ils ont mis des milliers de clients en danger. Dans ce cas, les conséquences ont largement dépassé ce que cela aurait coûté à FIIG de mettre en place des contrôles adéquats dès le départ. »

Si vous lisez ceci, vous êtes déjà en avance. Restez-y avec notre newsletter.