Les régulateurs signalent des lacunes dans le contrôle des agents autonomes
L'autorité australienne de régulation prudentielle (APRA) a tiré la sonnette d'alarme fin 2025 après un audit ciblé des grandes institutions financières du pays : banques et fonds de retraite adoptent massivement l'intelligence artificielle, mais leur gouvernance des risques associés reste insuffisante. L'examen, conduit auprès d'un échantillon représentatif d'entités régulées, a révélé que l'IA est désormais présente dans la totalité des organisations auditées, notamment pour l'ingénierie logicielle, le traitement des demandes de prêts, le tri des sinistres, la détection de fraudes et les interactions clients. Pourtant, les conseils d'administration se reposent encore trop souvent sur les présentations des fournisseurs plutôt que sur une analyse rigoureuse des risques, notamment ceux liés aux comportements imprévisibles des modèles ou aux conséquences d'une défaillance sur des opérations critiques. L'APRA a également identifié des lacunes concrètes : absence d'inventaires complets des outils d'IA déployés, manque de responsables désignés pour chaque instance, déficiences dans la surveillance des comportements des modèles et dans les procédures de mise hors service.
Ces manquements ont des implications directes pour la stabilité du secteur financier australien, qui gère plusieurs milliers de milliards de dollars d'actifs. Lorsque les institutions traitent le risque IA comme un simple risque technologique classique, elles passent à côté des spécificités des modèles : biais, dérive comportementale, opacité des décisions. L'APRA exige désormais que la stratégie IA de chaque établissement soit alignée sur son appétit au risque, assortie de procédures claires en cas d'erreur et d'une supervision humaine obligatoire pour les décisions à fort enjeu. Sur le plan cybersécuritaire, l'adoption de l'IA élargit la surface d'attaque, notamment via l'injection de prompts et les intégrations non sécurisées. Les contrôles d'identité et d'accès, pensés pour des utilisateurs humains, n'ont pas été adaptés aux agents autonomes, et la dépendance à un fournisseur unique pour de nombreuses instances constitue un risque systémique supplémentaire, peu d'établissements étant capables de présenter un plan de sortie crédible.
Cette mise en garde australienne s'inscrit dans une tendance mondiale. L'alliance FIDO, standard incontournable de l'authentification en ligne, vient de créer un groupe de travail spécialisé sur l'authentification agentique, en réponse aux modèles existants qui ont été conçus pour des humains et non pour des logiciels agissant en leur nom. Google (Agent Payments Protocol) et Mastercard (Verifiable Intent) ont déjà soumis leurs solutions à l'examen du groupe. Parallèlement, le Centre for Internet Security, financé en grande partie par le département américain de la Sécurité intérieure, vient de publier des guides de sécurité spécifiques aux LLM, aux agents IA et aux environnements Model Context Protocol, couvrant la gestion des accès non humains et les risques liés aux données sensibles. La gouvernance des agents autonomes devient ainsi l'un des chantiers réglementaires prioritaires de 2026, à mesure que leur déploiement s'accélère dans des secteurs à risques systémiques.
Les institutions financières européennes font face aux mêmes lacunes de gouvernance des agents IA, un enjeu que l'AI Act et les régulateurs sectoriels (BCE, EBA) devront préciser dans leurs exigences de conformité.
Dans nos dossiers
Vu une erreur factuelle dans cet article ? Signalez-la. Toutes les corrections valides sont publiées sur /corrections.
