Les banques s’unissent pour lutter contre les risques liés à l’IA grâce à des conseils en matière de cybersécurité

Un consortium de banques dédié à la cybersécurité a publié ce mois-ci une série de livres blancs décrivant les menaces, les risques et les cas d’utilisation responsable de l’intelligence artificielle au sein des services financiers.

Les six articles du Centre de partage et d’analyse d’informations sur les services financiers (FS-ISAC), à but non lucratif, abordent des sujets allant des risques de cybersécurité associés à l’IA à la manière dont les banques peuvent exploiter l’IA dans leurs cyberdéfenses et aux principes que les banques devraient prendre en compte lors de la création d’outils basés sur l’IA. et applications.

Les documents, que FS-ISAC qualifie ensemble de « cadre », sont conçus pour accompagner les ressources d’autres organisations à but non lucratif et de gouvernements qui abordent le même ensemble de problèmes, à savoir la gestion des risques et l’exploitation des pouvoirs de l’intelligence artificielle d’une manière éthique et manière sécurisée.

Le cadre de FS-ISAC rejoint une longue liste d’autres similaires, y compris un Cadre de gestion des risques liés à l’IA du National Institute of Standards and Technology (NIST), lignes directrices pour le développement de l’IA sécurisée développé par les agences de sécurité de plusieurs pays et un livre blanc sur principes de développement de l’IA générative de l’Association pour les machines informatiques.

Le cadre d’IA de FS-ISAC arrive à point nommé, selon Benjamin Dynkin, directeur exécutif de Wells Fargo et président du groupe de travail sur les risques d’IA de FS-ISAC (le groupe qui a créé les six livres blancs), car les banques sont confrontées à « une pression accrue pour capitaliser ». sur l’intégration de l’IA.

« Ces documents fournissent des conseils ponctuels sur l’utilisation sécurisée, responsable et efficace de l’IA, tout en proposant des mesures concrètes que le secteur peut prendre pour contrecarrer les risques croissants associés à l’IA », a déclaré Dynkin.

Le cadre de six documents joue un rôle essentiel dans la lutte des institutions financières contre les acteurs de la menace qui ont commencé à utiliser l’IA générative pour améliorer leurs attaques, selon Hiranmayi Palanki, ingénieur principal chez American Express et vice-président du groupe de travail sur les risques liés à l’IA du FS-ISAC.

« La nature multidimensionnelle de l’IA est à la fois convaincante et en constante évolution, et l’éducation du secteur des services financiers sur ces risques est impérative pour la sécurité de notre secteur », a déclaré Palanki.

Bien qu’une documentation abondante existe déjà, FS-ISAC affirme que ses livres blancs constituent le premier ensemble de normes et d’orientations spécialement conçues pour le secteur des services financiers. (Certains régulateurs ont publié des directives spécifiques à l’industrie, notamment Département des services financiers de New York.)

Alors que les six articles abordent un large éventail d’avantages de l’IA, le FS-ISAC a souligné quatre menaces « prioritaires » posées par l’IA auxquelles il a recommandé aux institutions financières d’accorder une attention particulière : les deepfakes, l’utilisation par les employés de l’IA générative, les nouvelles techniques de phishing et de compromission des e-mails professionnels et les pratiques inappropriées. utilisation des informations (c’est-à-dire informations exclusives, protégées par le droit d’auteur ou erronées).

FS-ISAC a abordé chacune de ces quatre menaces prioritaires dans « Combattre les menaces et réduire les risques posés par l’IA« , qui décrit les menaces liées à l’IA et les mesures d’atténuation que les banques peuvent utiliser pour les combattre. Outre ces quatre menaces prioritaires, le document couvre également les propres modèles GPT des cybercriminelsl’empoisonnement des données et plusieurs autres sujets.

Les cinq autres livres blancs abordent les points suivants :

« Cadres d’IA contradictoire : taxonomie, paysage des menaces et cadres de contrôle » se concentre sur les menaces associées à l’IA dans les services financiers, offrant une taxonomie de risques tels que les hallucinations et l’injection rapide, et est étroitement liée au cadre de gestion des risques liés à l’IA du NIST.

Contrairement à la description des menaces de l’IA, « Intégrer l’IA aux cyberdéfenses » offre un aperçu axé sur les solutions de la manière dont les équipes de cybersécurité des banques peuvent automatiser les processus, analyser les données et générer des rapports, entre autres capacités grâce à l’IA.

« Principes de l’IA responsable » décrit les principes fondamentaux qui sous-tendent le reste du cadre. Ces principes incluent la sûreté, la sécurité et la résilience des systèmes d’IA, l’explicabilité et l’interprétabilité des systèmes et les implications de leur utilisation sur la vie privée.

« Évaluation des fournisseurs d’IA générative et évaluation qualitative des risques, » qui est accompagné de un tableur, propose aux banques une rubrique pour évaluer et sélectionner les fournisseurs d’IA générative. FS-ISAC affirme que l’outil peut servir de point de départ pour les banques ayant un processus de diligence raisonnable complet et un faible appétit pour le risque, ou comme un processus complet pour les banques ayant un appétit pour le risque plus élevé.

« Cadre de politique d’utilisation acceptable pour l’IA générative externe » aide les institutions financières à développer une politique d’utilisation acceptable lors de l’intégration de l’IA générative externe dans les programmes de sécurité, en offrant des exemples de ce que des politiques permissives et strictes pourraient impliquer.

Accompagnant le cadre et l’outil du fournisseur, FS-ISAC a également publié un document intitulé « Services financiers et IA : exploiter les opportunités, gérer les risques« , qui fait office d’index pour les six livres blancs.

Parmi les institutions qui ont contribué au développement du cadre figurent Wells Fargo, Goldman Sachs, FirstBank, Bank of Hope, NBT Bancorp, MUFG Bank, Ally Financial et des banques non bancaires, dont Mastercard, American Express et Aflac.