Les institutions financières détiennent les clés de l'économie mondiale, et les cybercriminels le savent bien. Avec 65 % des entreprises financières touchées par des ransomwares en 2024, soit le taux le plus élevé jamais enregistré selon Sophos, et des coûts moyens de 6,08 millions de dollars par incident, les équipes de sécurité sont confrontées à une pression sans précédent pour se défendre contre des attaques de plus en plus sophistiquées. Ce guide présente aux professionnels de la sécurité le paysage actuel des menaces, les exigences réglementaires et les stratégies de détection nécessaires pour protéger le secteur le plus ciblé au monde.
La cybersécurité des services financiers consiste à protéger les banques, les coopératives de crédit, les compagnies d'assurance, les sociétés d'investissement et les organisations fintech contre les cybermenaces grâce à des contrôles de sécurité spécialisés, des mesures de conformité réglementaire et une détection continue des menaces dans cloud sur site et cloud qui traitent des données financières sensibles et permettent le traitement des transactions critiques.
Cette discipline englobe bien plus que la sécurité informatique traditionnelle. Les institutions financières opèrent sous des contraintes uniques qui influencent toutes leurs décisions en matière de sécurité : des exigences de transactions en temps réel qui limitent les frictions acceptables, des systèmes interconnectés couvrant des dizaines de fournisseurs tiers et un paysage réglementaire qui varie d'une juridiction à l'autre. Le secteur des services financiers, tel que désigné par la CISA, représente une infrastructure critique essentielle à la stabilité économique nationale.
Le champ d'application s'étend à divers types d'institutions. Les banques commerciales traitent quotidiennement des milliers de milliards de transactions. Les compagnies d'assurance détiennent de vastes bases de données personnelles sur la santé et les finances. Les sociétés d'investissement gèrent des portefeuilles où tout accès non autorisé pourrait permettre une manipulation du marché. Les start-ups Fintech, qui évoluent souvent plus rapidement que leurs programmes de sécurité ne mûrissent, introduisent de nouvelles surfaces d'attaque grâce à des systèmes de paiement innovants et des plateformes bancaires numériques.
Le profil de risque du secteur financier découle de quatre facteurs convergents qui amplifient chaque défi en matière de sécurité.
La concentration de données à forte valeur ajoutée crée des cibles irrésistibles. Une seule institution financière détient des informations personnelles identifiables (PII), des identifiants de compte, des historiques de transactions et des données de cartes de paiement, qui atteignent tous des prix élevés sur les marchés clandestins. Selon le rapport FS-ISAC Navigating Cyber 2025, les services financiers restent le deuxième secteur le plus attaqué au monde, juste derrière les soins de santé.
Les systèmes interconnectés et les dépendances vis-à-vis de tiers élargissent les surfaces d'attaque au-delà des frontières institutionnelles. Les plateformes bancaires centrales s'intègrent aux processeurs de paiement, aux agences d'évaluation du crédit, aux systèmes de négociation et aux outils de reporting réglementaire. Chaque connexion crée une exposition potentielle. Cette réalité architecturale signifie que la protection de vos propres systèmes est nécessaire, mais insuffisante.
Les exigences en matière de traitement en temps réel limitent les contrôles de sécurité. Lorsque les clients attendent des transferts instantanés et que les traders exigent une exécution en quelques millisecondes, les équipes de sécurité ne peuvent pas mettre en œuvre des contrôles qui ajoutent une latence notable. Cette tension entre sécurité et performance exige des approches sophistiquées en matière de détection des menaces, qui identifient les activités malveillantes sans perturber les opérations légitimes.
La complexité réglementaire aggrave les défis opérationnels. Une banque multinationale peut être amenée à se conformer simultanément aux mesures de protection prévues par la loi GLBA, aux exigences du NYDFS, aux dispositions de la loi DORA, aux normes PCI DSS et aux règles de cybersécurité de la SEC, chacune avec des délais de déclaration, des exigences techniques et des structures de sanctions distincts.
Les arguments économiques en faveur de la cybersécurité des services financiers vont au-delà de la prévention des violations. Les défaillances en matière de sécurité ont des répercussions en cascade sur les organisations, nuisant simultanément à leurs finances, à leur réputation, à leur situation réglementaire et à leur position concurrentielle.
L'impact financier atteint des niveaux existentiels. Le rapport IBM Cost of a Data Breach Report 2025 a révélé que les coûts liés aux violations de données dans le secteur des services financiers s'élevaient en moyenne à 5,56 à 6,08 millions de dollars, soit l'un des montants les plus élevés de tous les secteurs. Ces chiffres reflètent les coûts directs, notamment les enquêtes judiciaires, la notification des clients, les frais juridiques et les sanctions réglementaires. Ils ne reflètent pas entièrement l'impact à long terme sur les revenus lié à la perte de clientèle.
La confiance des clients s'érode rapidement après un incident. Les relations financières reposent sur la confiance dans la capacité des institutions à protéger les actifs et les données. Une étude menée par American Banker indique que 88 % des dirigeants bancaires estiment qu'une cyberattaque réussie entraînerait des retraits de fonds par les clients et une panique chez les investisseurs. Une fois la confiance rompue, il faut des années pour la rétablir.
Les sanctions réglementaires entraînent une responsabilité matérielle. Le NYDFS peut infliger des sanctions pouvant atteindre 250 000 dollars par jour en cas de non-conformité persistante. En octobre 2025, huit compagnies d'assurance automobile ont reçu des sanctions cumulées de 19 millions de dollars pour avoir enfreint la réglementation en matière de cybersécurité. Les sanctions prévues par la DORA peuvent atteindre 1 % du chiffre d'affaires quotidien moyen mondial des entités financières européennes non conformes.
Le risque systémique menace la stabilité générale. L'attaque de 2024 contre C-Edge Technologies en Inde a contraint près de 300 banques à fermer temporairement leurs portes, démontrant ainsi comment le risque de concentration chez les fournisseurs de services partagés peut se répercuter en cascade sur l'ensemble du système financier. Les régulateurs considèrent de plus en plus la cybersécurité comme un risque systémique et non plus comme une simple préoccupation institutionnelle.
Les responsables de la sécurité bénéficient d'un avantage concurrentiel. Les institutions dotées de programmes de sécurité matures remportent des contrats réglementés que leurs concurrents ne peuvent pas obtenir. Une sécurité solide réduit les coûts d'assurance, accélère l'intégration des partenaires et offre une protection difficile à reproduire avant plusieurs années.
Les institutions financières sont confrontées à un environnement menaçant caractérisé par une fréquence croissante des attaques, une accélération de leur vitesse et une extension de leur portée. Comprendre les modèles de menaces actuels permet de hiérarchiser les mesures défensives.
Selon Palo Alto Networks Unit 42, 36 % des incidents liés aux services financiers entre mai 2024 et mai 2025 ont commencé par des attaques d'ingénierie sociale. Cette constatation souligne la primauté continue de l'élément humain dans l'accès initial, malgré les milliards investis dans les contrôles techniques. La même étude révèle que le délai entre la compromission et l'exfiltration des données a été multiplié par 100 par rapport à il y a quatre ans, les attaques agentiques basées sur l'IA réduisant la durée totale des campagnes de ransomware à environ 25 minutes.
Les équipes de sécurité tirent profit de la cartographie des menaces pesant sur le secteur financier dans le cadre du MITRE ATT&CK pour l'ingénierie de détection et la recherche de menaces. Les techniques clés comprennent :
Tableau : MITRE ATT&CK les plus pertinentes pour la détection des menaces dans le secteur des services financiers. Les identifiants des techniques renvoient à la documentation officielle de MITRE.
Cybercriminels cybercriminels font preuve d'un intérêt soutenu pour les cibles du secteur financier :
Le groupe de ransomware Akira a attaqué 34 organisations financières entre avril 2024 et avril 2025. Le groupe exploite les identifiants compromis, les vulnérabilités VPN et RDP pour obtenir un accès initial avant de déployer des tactiques de double extorsion.
Le groupe Lazarus, acteur malveillant avancé et persistant soutenu par l'État nord-coréen, continue de cibler à la fois les plateformes d'échange de cryptomonnaies et les infrastructures bancaires traditionnelles. Ce groupe a été impliqué dans la violation de Bybit en février 2025, qui a causé une perte de 1,4 milliard de dollars, démontrant ainsi une ampleur opérationnelle qui représente un défi même pour les institutions disposant de ressources importantes.
Noname057(16), un collectif de hacktivistes pro-russes, a lancé des attaques DDoS contre La Banque Postale en France en décembre 2025, démontrant ainsi comment les tensions géopolitiques se traduisent directement par des attaques visant le secteur financier.
Les incidents réels révèlent des schémas que les discussions abstraites sur les menaces occultent. Ces études de cas montrent comment les attaques se déroulent et ce que les organisations peuvent apprendre des expériences des autres.
L'incident LoanDepot a touché 17 millions de clients, ce qui en fait l'une des plus importantes violations enregistrées dans le secteur hypothécaire. Les pirates ont exfiltré les numéros de sécurité sociale, les coordonnées bancaires et les dates de naissance avant de déployer le chiffrement.
Leçon clé : la segmentation du réseau aurait pu limiter les mouvements latéraux après la compromission initiale. Le chiffrement au repos aurait réduit la valeur des données exfiltrées pour les attaquants.
La violation d'Evolve a compromis 7,6 millions de personnes via un seul point d'entrée : un employé qui a cliqué sur un lien malveillant dans un phishing .
Leçon clé : les contrôles techniques ne peuvent pas compenser entièrement la vulnérabilité humaine. Une formation continue à la sensibilisation à la sécurité, associée à des contrôles de sécurité des e-mails qui réduisent la transmission de messages malveillants, reste essentielle.
Le groupe de ransomware LockBit a compromis Infosys McCamish, un fournisseur de services tiers, exposant les informations personnelles identifiables d'environ 57 000 clients de Bank of America. Il est à noter que les clients concernés n'ont été informés qu'en février 2024, soit trois mois après la violation initiale.
Leçon clé : la gestion des risques liés aux tiers doit inclure des exigences contractuelles en matière de notification des incidents et une surveillance continue de la posture de sécurité des fournisseurs. Les organisations ne peuvent pas externaliser la responsabilité de la protection des données des clients.
Une attaque par ransomware contre C-Edge Technologies, un fournisseur de services partagés, a contraint près de 300 banques indiennes à suspendre temporairement leurs activités. Cet incident a démontré à quel point la concentration des infrastructures partagées crée une vulnérabilité systémique.
Leçon clé : les évaluations des risques liés à la concentration doivent évaluer non seulement les fournisseurs directs, mais aussi les dépendances liées aux infrastructures partagées. La planification de la continuité des activités doit tenir compte des scénarios dans lesquels des services partagés essentiels deviennent indisponibles.
Tableau : Incidents récents liés à la cybersécurité dans le secteur des services financiers, accompagnés des enseignements tirés.
Ces incidents mettent en évidence une tendance constante : les risques liés aux tiers, la vulnérabilité des employés et la détection tardive favorisent la réussite des attaques. Les organisations qui s'attaquent à ces trois vecteurs grâce à une réponse efficace aux incidents réduisent considérablement la probabilité de violation.
Une sécurité efficace des services financiers combine des contrôles préventifs et des capacités de détection qui partent du principe que les mesures préventives finiront par échouer — la philosophie du « compromis présumé » qui guide les programmes de sécurité matures.
Zero Trust est passée d'un cadre conceptuel à une priorité de mise en œuvre dans l'ensemble des services financiers. De grandes institutions telles que JPMorgan Chase et Goldman Sachs ont adopté Zero Trust , et la norme PCI DSS 4.0 a été explicitement conçue dans une Zero Trust .
La mise en œuvre suit généralement une approche par étapes :
Les équipes de sécurité doivent donner la priorité aux contrôles fondamentaux suivants :
Les statistiques indiquant que 97 % des violations sont le fait de tiers exigent que les institutions financières traitent la sécurité des fournisseurs comme une préoccupation prioritaire. Les directives d'octobre 2025 du NYDFS sur la surveillance des tiers établissent des attentes réglementaires que la plupart des institutions ne satisfont pas encore pleinement.
Une gestion efficace des risques liés aux tiers (TPRM) suit un cycle de vie structuré :
La cybersécurité des services financiers évolue dans un environnement réglementaire de plus en plus complexe. La compréhension des principaux cadres réglementaires permet de réaliser des investissements en matière de sécurité axés sur la conformité qui répondent simultanément à de multiples exigences.
La loi GLBA (Gramm-Leach-Bliley Act) s'applique à toutes les institutions financières américaines. La règle de sécurité exige la mise en œuvre de programmes de sécurité de l'information comprenant des mesures de protection administratives, techniques et physiques. Les sanctions peuvent atteindre 100 000 dollars par infraction, avec une responsabilité individuelle pouvant aller jusqu'à 10 000 dollars.
La norme NYDFS 23 NYCRR 500 s'applique aux entités réglementées par le DFS et est devenue une norme nationale de facto en raison de sa spécificité. Les principales exigences comprennent la nomination d'un RSSI, l'évaluation des risques, le chiffrement, l'authentification multifactorielle (obligatoire depuis novembre 2025) et le signalement des incidents dans les 72 heures. Les sanctions peuvent atteindre 250 000 dollars par jour en cas de violations persistantes.
La norme PCI DSS 4.0 régit la protection des données des cartes de paiement à l'échelle mondiale. La date limite de transition fixée à mars 2024 est désormais dépassée, et des exigences supplémentaires deviendront obligatoires en mars 2025. Le cadre intègre explicitement Zero Trust et propose une approche personnalisée pour les organisations matures.
Le FFIEC CAT prendra fin le 31 août 2025. Le Federal Financial Institutions Examination Council recommande de passer au NIST CSF 2.0 ou au profil CRI, qui correspond au MITRE ATT&CK .1 avec plus de 2 100 correspondances techniques.
La loi DORA (Digital Operational Resilience Act) est entrée en vigueur le 17 janvier 2025 et s'applique aux entités financières de l'UE et à leurs fournisseurs tiers de TIC. Les exigences comprennent des cadres de gestion des risques liés aux TIC, la notification des incidents majeurs dans un délai de 4 heures, des tests de résilience annuels et la surveillance des fournisseurs tiers. Les sanctions peuvent atteindre 1 % du chiffre d'affaires quotidien moyen mondial.
La directive NIS2 a fixé à octobre 2024 la date limite de transposition pour les États membres. Les entités financières soumises à la DORA se conforment à cette dernière en tant que lex specialis, mais la NIS2 s'applique dans les domaines non couverts par la DORA. Les sanctions peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial.
Tableau : Comparaison des principales réglementations en matière de cybersécurité des services financiers. Les organisations doivent évaluer leur applicabilité en fonction de la juridiction, du type d'entité et des activités.
La prolifération des réglementations a entraîné une consolidation des cadres. Le NIST CSF 2.0 fournit la base sur laquelle s'appuient désormais la plupart des institutions financières américaines, avec ses six fonctions (gouverner, identifier, protéger, détecter, réagir, récupérer) qui correspondent aux exigences réglementaires de toutes les juridictions.
Le profil CRI, développé par plus de 300 experts issus de plus de 150 institutions, fournit des contrôles spécifiques au secteur financier, alignés sur le NIST CSF. Son intégration avec MITRE ATT&CK .1 permet une traduction directe des exigences de conformité en ingénierie de détection.
Les technologies et méthodologies émergentes transforment la manière dont les institutions financières se défendent contre les cybermenaces, avec la sécurité IA à l'avant-garde de cette évolution.
L'adoption de l'IA dans le domaine de la sécurité des services financiers a atteint un seuil critique. Selon une étude menée par American Banker, 91 % des banques américaines utilisent désormais l'IA pour détecter les fraudes, et les organisations rapportent une amélioration de 25 % des taux de détection et une réduction pouvant atteindre 80 % des faux positifs.
Le rapport IBM Cost of a Data Breach Report 2025 a révélé que les organisations utilisant largement l'IA dans le domaine de la sécurité ont économisé 1,9 million de dollars par violation par rapport à celles qui ne l'utilisent pas. Le retour sur investissement atteint 3,5 fois en 18 mois, avec des réductions des coûts opérationnels de 10 % ou plus pour un tiers des institutions.
Les capacités d'IA désormais essentielles pour la sécurité des services financiers comprennent :
Cependant, la gouvernance de l'IA reste dangereusement immature. Le rapport Global Cybersecurity Outlook 2026 du Forum économique mondial indique que 94 % des organisations identifient l'IA comme le principal moteur du changement en matière de cybersécurité. Pourtant, IBM a constaté que 97 % des organisations victimes d'incidents de sécurité liés à l'IA ne disposaient pas de contrôles d'accès adéquats. Seules 11 % des banques sécurisent efficacement leurs systèmes d'IA.
L'impératif en matière de gouvernance est clair : pour bénéficier des avantages de la sécurité de l'IA, il est nécessaire de mettre en place des contrôles fondamentaux, notamment la gestion des accès, la surveillance des modèles et la protection des données avant le déploiement. Les organisations qui se précipitent pour adopter l'IA sans cadre de gouvernance créent de nouvelles surfaces d'attaque plus rapidement qu'elles ne comblent celles qui existent déjà.
Vectra AI la cybersécurité des services financiers grâce à Attack Signal Intelligence détecte les comportements des attaquants sur les surfaces d'attaque cloud, des identités et des réseaux plutôt que de se contenter de suivre les alertes individuelles. Cette méthodologie répond au besoin de détection en temps réel du secteur, compte tenu des délais d'attaque de 25 minutes désormais possibles avec les menaces basées sur l'IA, tout en réduisant de 80 % le nombre de faux positifs qui submergent les outils de sécurité traditionnels.
Pour les organismes de services financiers, cette approche signifie que les équipes de sécurité peuvent identifier les menaces qui contournent les contrôles préventifs, corréler les activités suspectes sur l'ensemble des surfaces d'attaque et hiérarchiser les réponses en fonction du risque réel plutôt que du volume d'alertes. L'objectif est de transformer les SOC débordés en chasseurs de menaces proactifs, capables de détecter les attaques que d'autres ne voient pas.
La cybersécurité des services financiers en 2026 exige un changement fondamental, passant d'une défense réactive à une détection proactive des menaces. Avec un taux d'attaque par ransomware de 65 %, des délais d'attaque de 25 minutes et une exposition aux violations par des tiers de 97 %, il n'y a pas de place pour la complaisance. Les organisations qui prospéreront combineront la conformité réglementaire avec des capacités de détection qui supposent une compromission et trouvent les attaquants déjà présents dans le réseau.
La voie à suivre nécessite trois priorités : renforcer la gestion des risques liés aux tiers, étant donné qu'il est clairement démontré que la sécurité des fournisseurs est synonyme de sécurité institutionnelle ; mettre en œuvre des systèmes de détection basés sur l'IA tout en élaborant les cadres de gouvernance dont 97 % des organisations sont actuellement dépourvues ; et se rallier au NIST CSF 2.0 comme fondement de la conformité multi-réglementaire.
Les équipes de sécurité prêtes à transformer leur approche peuvent découvrir comment les solutions de services financiers Vectra AIfournissent Attack Signal Intelligence pour détecter les menaces qui contournent les mesures de prévention et trouver les attaquants avant qu'ils n'atteignent leurs objectifs.
La cybersécurité des services financiers consiste à protéger les banques, les coopératives de crédit, les compagnies d'assurance, les sociétés d'investissement et les organisations fintech contre les cybermenaces. Cette discipline englobe la protection des données, la détection des menaces, la conformité réglementaire et la réponse aux incidents, tant dans cloud sur site que cloud . Ce domaine doit relever des défis uniques, notamment la concentration de données de grande valeur, les exigences en matière de transactions en temps réel, les dépendances complexes vis-à-vis de tiers et le chevauchement des obligations réglementaires. La cybersécurité des services financiers nécessite des approches spécialisées, car les attaquants privilégient ce secteur en raison de la combinaison de données précieuses, de systèmes interconnectés et du potentiel de vol financier direct.
La cybersécurité des services financiers est importante car ce secteur est confronté à des risques particuliers pouvant avoir de graves conséquences. Selon IBM, le coût moyen des violations de données atteindra entre 5,56 et 6,08 millions de dollars en 2025, ce qui est l'un des plus élevés de tous les secteurs. Au-delà des coûts directs, les violations de données nuisent à la confiance des clients, qui met des années à se reconstruire : 88 % des dirigeants bancaires estiment que des attaques réussies entraîneraient des retraits de fonds par les clients. Les sanctions réglementaires aggravent l'impact financier, le NYDFS pouvant infliger jusqu'à 250 000 dollars par jour pour les violations continues. En outre, les compromissions du secteur financier créent un risque systémique qui affecte la stabilité économique au sens large, comme l'a démontré la fermeture de près de 300 banques indiennes après une violation chez un fournisseur de services partagés en 2024.
Les principales menaces qui pèsent sur les institutions financières comprennent les ransomwares (taux d'atteinte de 65 % en 2024), l'ingénierie sociale et phishing 36 % des accès initiaux), les violations par des tiers (touchant 97 % des grandes banques américaines), les attaques DDoS, individu et les vulnérabilités des API. La vitesse des attaques a été multipliée par 100 en quatre ans, les campagnes basées sur l'IA réduisant désormais la durée des attaques par ransomware à environ 25 minutes entre l'accès initial et l'exfiltration des données. Parmi cybercriminels particulièrement au secteur financier, on peut citer le groupe de ransomware Akira (34 organisations financières attaquées entre avril 2024 et avril 2025), le groupe Lazarus qui cible à la fois les cryptomonnaies et les banques traditionnelles, et des groupes motivés par des considérations géopolitiques comme Noname057(16).
Les banques mettent en œuvre des défenses multicouches combinant Zero Trust , la détection des menaces basée sur l'IA, l'authentification multifactorielle, le chiffrement (norme AES-256), la segmentation du réseau, la formation continue des employés et la surveillance de la sécurité 24 heures sur 24, 7 jours sur 7. De grandes institutions telles que JPMorgan Chase et Goldman Sachs ont adopté Zero Trust , et la norme PCI DSS 4.0 intègre explicitement Zero Trust . Une protection efficace nécessite de partir du principe que les contrôles préventifs finiront par échouer et de mettre en œuvre des capacités de détection qui identifient les menaces sur la base de modèles de comportement plutôt que sur la seule base de signatures. Le NIST CSF 2.0 fournit le cadre suivi par la plupart des institutions financières américaines, avec ses six fonctions couvrant la gouvernance, l'identification, la protection, la détection, la réponse et la récupération.
Les principales réglementations comprennent la GLBA et la NYDFS 23 NYCRR 500 (États-Unis), la DORA et la NIS2 (UE) et la PCI DSS 4.0 (mondiale pour le traitement des cartes de paiement). La DORA est entrée en vigueur le 17 janvier 2025 avec des exigences comprenant la notification des incidents dans les 4 heures et des tests de résilience obligatoires. La NYDFS exige une authentification multifactorielle (MFA) universelle depuis novembre 2025, avec des pénalités pouvant atteindre 250 000 dollars par jour. La norme FFIEC CAT prendra fin le 31 août 2025, le secteur passant à la norme NIST CSF 2.0 ou au profil CRI. Les organisations opérant dans plusieurs juridictions doivent composer avec des exigences qui se recoupent tout en mettant en place des programmes de sécurité qui satisfont efficacement à plusieurs cadres réglementaires.
Selon le rapport IBM Cost of a Data Breach Report, le coût moyen des violations de données dans le secteur des services financiers a atteint entre 5,56 et 6,08 millions de dollars en 2025. Ce chiffre comprend les coûts directs, notamment les enquêtes judiciaires, la notification des clients, les frais juridiques et les sanctions réglementaires. Les organisations qui utilisent largement l'IA dans leurs opérations de sécurité ont économisé 1,9 million de dollars par incident par rapport à celles qui ne l'utilisent pas, ce qui démontre un retour sur investissement mesurable dans les technologies de sécurité. Les coûts varient considérablement en fonction de l'ampleur de la violation, du délai de détection et de la juridiction réglementaire. Les incidents donnant lieu à des sanctions DORA, NYDFS ou GLBA peuvent dépasser largement les chiffres moyens.
L'IA transforme la sécurité des services financiers grâce à la détection des anomalies en temps réel, à la réduction des faux positifs (jusqu'à 80 %), à l'évaluation prédictive des risques et aux capacités de réponse automatisées. Selon une étude, 91 % des banques américaines déploient l'IA pour la détection des fraudes, ce qui leur permet d'améliorer de 25 % leurs taux de détection. Les organisations font état d'un retour sur investissement 3,5 fois supérieur en 18 mois et d'une réduction des coûts opérationnels de 10 % ou plus. Cependant, les avantages de l'IA nécessitent des bases de gouvernance : 97 % des organisations ayant connu des incidents de sécurité liés à l'IA ne disposaient pas de contrôles d'accès appropriés, et seulement 11 % des banques sécurisent leurs systèmes d'IA de manière robuste. Une adoption réussie de l'IA combine le déploiement de capacités avec la gestion des accès, la surveillance des modèles et les cadres de protection des données.