Introduction

Le débat sur l'intelligence artificielle captive l'attention du public et des entreprises, mais un aspect crucial reste souvent dans l'ombre : son encadrement réglementaire en matière de cybersécurité. Alors que les projecteurs sont braqués sur les capacités de l'IA, les régulateurs préparent un cadre juridique robuste pour maîtriser ses risques inhérents. Cet article lève le voile sur trois aspects fondamentaux de la manière dont des autorités comme l'Autorité de Contrôle Prudentiel et de Résolution (ACPR) abordent ce défi.

Les 3 Révélations sur la Cybersécurité dans le Nouveau Règlement IA

L'analyse du règlement révèle trois exigences fondamentales en matière de cybersécurité que les acteurs du secteur doivent impérativement maîtriser.

Premier Point Clé : Pour l'IA à Haut Risque, la Cybersécurité n'est pas une Option, c'est une Obligation Fondamentale

Le Règlement IA impose la cybersécurité comme une exigence de base pour tous les systèmes classés à haut risque. L'obligation principale est sans équivoque : les développeurs doivent garantir la robustesse, l'exactitude et la cyber‑sécurité tout au long du cycle de vie du système.

Cette exigence représente un changement de paradigme majeur, imposé par la loi. Il ne s'agit plus d'une simple bonne pratique, mais d'une transition légalement contraignante d'une sécurité ajoutée après coup vers une approche de « sécurité dès la conception » (security by design). En réponse directe aux risques systémiques que l'IA peut faire peser sur la sécurité, la santé et les droits fondamentaux des citoyens, cette obligation élève considérablement les enjeux de conformité pour toute entité développant ou déployant des systèmes d'IA à haut risque.

Deuxième Point Clé : Même les IA "Généralistes" sont dans le Viseur

Les exigences de sécurité ne se limitent pas aux systèmes spécialisés ou critiques. Le règlement étend son périmètre aux modèles d'IA à usage général (IAUG), qui doivent également respecter des obligations de sûreté et de (cyber‑)sécurité.

Pour encadrer cette obligation, un Guide de bonnes pratiques est prévu, détaillant dans un chapitre dédié les attendus en matière de « Sûreté et sécurité ». Cette approche démontre une volonté claire de sécuriser l'ensemble de l'écosystème IA, y compris les modèles fondamentaux qui servent de base à de multiples applications. C'est un point contre‑intuitif pour beaucoup, illustrant l'intention du législateur de ne laisser aucun angle mort réglementaire.

Troisième Point Clé : Le régulateur financier anticipe activement sa mise en œuvre

Loin d'attendre l'application formelle du texte, l'Autorité de Contrôle Prudentiel et de Résolution (ACPR) a déjà fait de la cybersécurité une priorité dans sa préparation au Règlement IA. L'Autorité a organisé des ateliers méthodologiques avec le secteur financier, fondés sur des questions partagées pour la gouvernance et pour l'audit technique des systèmes d'IA, couvrant quatre domaines prioritaires :

• Performance et robustesse
• Explicabilité
• Équité
• Cyber‑sécurité et vie privée

Cette démarche proactive est ancrée dans sa structure même, avec la création de la Direction de l'Innovation, des Données et des Risques Technologiques (DIDRIT). Au sein de cette direction, le Service de surveillance des risques technologiques (SRT) est désormais explicitement chargé de la Résilience numérique (DORA…), un sujet intrinsèquement lié à la cybersécurité. Ces actions concrètes signalent au marché que la conformité sera activement surveillée dès le premier jour. La position de l'ACPR sert ainsi de modèle pour d'autres régulateurs nationaux et prouve que le règlement est déjà une réalité opérationnelle en préparation.

Conclusion

La cybersécurité n'est pas une simple annexe, mais bien un pilier central et non négociable du nouveau Règlement sur l'Intelligence Artificielle. De l'obligation de « sécurité dès la conception » imposée aux développeurs de systèmes à haut risque à la supervision proactive des régulateurs financiers, le message est clair : l'innovation ne se fera pas au détriment de la sécurité. Alors que l'IA s'intègre de plus en plus profondément dans nos services financiers, ces mesures seront‑elles suffisantes pour construire une véritable résilience numérique face aux menaces de demain ?