Mercredi, le Département du Trésor américain a publié un rapport sur l'IA et la cybersécurité, donnant un aperçu des risques de cybersécurité que l'IA fait peser sur les banques et des méthodes permettant de les gérer, et soulignant le fossé entre les grandes et les petites banques dans leur capacité à détecter la fraude.

Le rapport examine les insuffisances de la capacité des institutions financières à gérer les risques liés à l'IA – à savoir le fait de ne pas aborder spécifiquement les risques liés à l'IA dans leurs cadres de gestion des risques – et comment cette tendance a empêché les institutions financières d'adopter une utilisation généralisée des technologies émergentes en matière d'IA.

L'IA redéfinit la cybersécurité et la fraude dans le secteur des services financiers, selon Nellie Liang, sous-secrétaire aux finances intérieures, c'est pourquoi — sous la direction du président Joe Biden Décret d'octobre sur la sécurité de l’IA – Le Trésor est l’auteur du rapport.

« Le rapport du Trésor sur l'IA s'appuie sur notre succès partenariat public-privé pour adoption sécurisée du cloud et présente une vision claire de la manière dont les institutions financières peuvent définir en toute sécurité leurs secteurs d'activité et perturber l'évolution rapide de la fraude basée sur l'IA », a déclaré Liang dans un communiqué de presse (liens ajoutés).

Le rapport est basé sur 42 entretiens approfondis avec des représentants de banques de toutes tailles, d'associations professionnelles du secteur financier, de fournisseurs de services de cybersécurité et de lutte contre la fraude qui incluent des fonctionnalités d'IA dans leurs produits et services, entre autres.

Parmi les principales conclusions tirées du rapport, le Trésor a constaté que « de nombreux représentants d'institutions financières » estiment que leurs pratiques existantes s'alignent sur le cadre de gestion des risques liés à l'IA du National Institute of Standards and Technology (NIST), qui a été sorti en janvier 2023. Mais ces participants ont également rencontré des difficultés pour établir des politiques et des contrôles pratiques à l’échelle de l’entreprise pour les technologies émergentes telles que l’IA générative, en particulier les grands modèles de langage (LLM).

« Les participants à la discussion ont noté que même si leurs programmes de gestion des risques devraient cartographier et mesurer les risques distinctifs présentés par des technologies telles que les grands modèles de langage, ces technologies sont nouvelles et peuvent être difficiles à évaluer, à comparer et à évaluer en termes de cybersécurité », indique le rapport. lit.

C'est pourquoi le rapport suggère d'élargir le cadre de risque du NIST en matière d'IA « pour inclure des informations plus substantielles liées à la gouvernance de l'IA, en particulier en ce qui concerne le secteur financier ». C'est exactement ainsi que le NIST mis à niveau son cadre de gestion des risques de cybersécurité le mois dernier.

« Le Trésor aidera l'Institut américain de sécurité de l'IA du NIST à établir un groupe de travail spécifique au secteur financier dans le cadre du nouveau consortium d'IA dans le but d'étendre le cadre de gestion des risques de l'IA vers un profil spécifique au secteur financier », indique le rapport.

Concernant l'approche prudente des banques à l'égard des grands modèles de langage, les personnes interrogées dans le cadre du rapport ont déclaré que ces modèles « sont encore en développement, sont actuellement très coûteux à mettre en œuvre et très difficiles à valider pour les applications à haute assurance », raison pour laquelle la plupart des entreprises ont opté pour pour « des cas d'utilisation à faible risque et à haut rendement, tels que des outils d'assistance à la génération de code pour un déploiement imminent ».

Le rapport du Trésor indique que certaines petites institutions n'utilisent pas du tout de grands modèles de langage pour le moment et que les sociétés financières qui les utilisent n'utilisent pas d'API publiques pour les utiliser. Lorsque les banques utilisent ces modèles, c'est plutôt via une « solution d'entreprise déployée dans leur propre réseau cloud virtuel, locataire ou déploiements multi-tenant ».

En d’autres termes, dans la mesure du possible, les banques gardent leurs données confidentielles des sociétés d’IA.

Les banques investissent également dans des technologies qui peuvent susciter une plus grande confiance dans les résultats de leurs produits d’IA. Par exemple, le rapport aborde brièvement la méthode de génération augmentée par récupération (RAG), une approche avancée de l'utilisation de grands modèles de langage que plusieurs institutions ont déclaré utiliser.

RAG permet aux entreprises de rechercher et de générer du texte basé sur leurs propres documents d'une manière qui évite de manière fiable les hallucinations – c'est-à-dire une génération de texte totalement fabriquée et fausse – et minimise la mesure dans laquelle des données de formation obsolètes peuvent empoisonner les réponses LLM.

Le rapport couvre de nombreux autres sujets supplémentaires, notamment la nécessité pour les entreprises du secteur financier d'élaborer des stratégies standardisées pour gérer les risques liés à l'IA, la nécessité de disposer d'un personnel et d'une formation adéquats pour mettre en œuvre les technologies avancées d'IA, la nécessité d'une réglementation basée sur les risques sur le secteur financier et comment les banques peuvent contrecarrer l’IA adverse.

« Il est impératif que toutes les parties prenantes du secteur financier naviguent habilement sur ce terrain, armées d'une compréhension globale des capacités de l'IA et des risques inhérents, afin de protéger efficacement les institutions, leurs systèmes et leurs clients », conclut le rapport.

Tags:

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *