Lacunes en matière de gouvernance et de contrôle réglementaire des agents IA : ce qu’il faut savoir en 2026

L'autorité de régulation financière australienne a publié un avertissement critique aux institutions financières concernant des pratiques de gouvernance et d'assurance inadéquates autour de Déploiement d'agents d'IACette alerte survient alors que les banques et les administrateurs de fonds de pension intègrent de plus en plus l'intelligence artificielle dans leurs opérations internes et leurs services destinés aux clients.

📊 Conclusions de l'examen ciblé de l'APRA

Le Autorité australienne de réglementation prudentielle (APRA) Nous avons mené fin 2025 un examen ciblé et approfondi d'un échantillon de grandes entités réglementées afin d'évaluer les tendances d'adoption de l'IA et les risques prudentiels associés. L'enquête a révélé que, bien que la technologie de l'IA soit utilisée dans toutes les entités examinées, il existait… variation significative du niveau de maturité en matière de gestion des risques et des capacités de résilience opérationnelle.

L’APRA a constaté que les conseils d’administration manifestaient un vif enthousiasme quant au potentiel de l’IA pour améliorer la productivité et l’expérience client. Toutefois, de nombreuses organisations n’en étaient qu’aux prémices de l’élaboration de cadres complets de gestion des risques liés à l’IA.

⚠️ Principaux problèmes de gouvernance

L'organisme de réglementation a identifié plusieurs lacunes critiques en matière de gouvernance, notamment en ce qui concerne :

• Dépendance excessive aux présentations des fournisseurs et des résumés analytiques sans examen indépendant suffisant
• Évaluation inadéquate du comportement imprévisible du modèle et les conséquences potentielles d'une défaillance de l'IA sur les opérations critiques
• Compréhension insuffisante des technologies d'IA au niveau du conseil d'administration pour une supervision stratégique efficace

L'APRA a souligné que les conseils d'administration doivent développer une compréhension plus approfondie de l'IA L’autorité de régulation a souligné l’importance d’établir une stratégie cohérente et des mécanismes de contrôle efficaces. Elle a insisté sur le fait que la stratégie en matière d’IA devait être alignée sur l’appétit pour le risque de l’institution et intégrer des protocoles de surveillance rigoureux ainsi que des procédures de gestion des erreurs clairement définies.

💼 Paysage actuel de la mise en œuvre de l'IA

L’APRA a constaté que les entités réglementées testent ou déploient activement l’IA dans de multiples domaines opérationnels, notamment :

• génie logiciel et l'accélération du développement
• triage des réclamations et optimisation du traitement
• Traitement des demandes de prêt et la souscription
• Perturbation des fraudes et des escroqueries systèmes
• Amélioration de l'interaction client et du service

Un constat préoccupant a été que certaines entités traitaient Les risques liés à l'IA sont équivalents aux risques technologiques traditionnels., une approche qui ne tient pas compte des défis uniques tels que l'imprévisibilité du comportement du modèle et les biais algorithmiques.

🔍 Lacunes identifiées en matière de gestion des risques

L'examen a identifié lacunes opérationnelles importantes dans plusieurs domaines critiques :

L'APRA a particulièrement insisté sur le condition essentielle à l'implication humaine dans les processus décisionnels à haut risque impliquant des systèmes d'IA.

🔐 Défis en matière de cybersécurité et de gestion des accès

La cybersécurité est apparue comme une un domaine majeur de préoccupation réglementaireL’APRA a constaté que l’adoption de l’IA transforme fondamentalement le paysage des menaces en introduisant de nouveaux vecteurs d’attaque, notamment :

• Attaques par injection rapide ciblage des entrées du modèle d'IA
• Intégrations non sécurisées entre les systèmes d'IA et l'infrastructure existante
• Vulnérabilités dans le code généré par l'IA

Un constat particulièrement préoccupant a été que pratiques de gestion des identités et des accès Les systèmes existants ne s'étaient pas suffisamment adaptés pour intégrer des éléments non humains tels que les agents d'IA. De plus, la prolifération des développements logiciels assistés par l'IA exerçait une pression sans précédent sur les mécanismes de contrôle des changements et des mises en production.

L'APRA a exigé que les entités mettent en œuvre des contrôles rigoureux sur les flux de travail automatisés et autonomes, notamment la gestion des accès privilégiés, la supervision de la configuration et des protocoles de mise à jour systématiques. Les tests de sécurité du code généré par l'IA ont également été jugés essentiels.

🔗 Risques liés à la dépendance vis-à-vis des fournisseurs

L'examen a révélé concernant les niveaux de concentration des fournisseursCertaines institutions deviennent dépendantes d'un fournisseur unique pour plusieurs instances d'IA. De façon alarmante, seul un petit nombre d'entités ont pu démontrer des plans de sortie viables ou des stratégies de substitution pour leurs fournisseurs d'IA.

L'APRA a souligné que L'IA peut être intégrée aux dépendances en amont., potentiellement à l'insu de l'entité, créant ainsi des risques opérationnels et stratégiques cachés.

🌐 Réponse de l'industrie : Nouvelles normes d'authentification

L'accent mis sur le contrôle d'identité et d'autorisation est pris en compte par le biais du développement de nouvelles normes par le Alliance FIDOL'organisation a mis en place un Groupe de travail technique sur l'authentification par agent Élaborer des spécifications pour le commerce initié par un agent.

FIDO a constaté que les modèles d'authentification et d'autorisation existants étaient conçus principalement pour l'interaction humaine, et non pour actions déléguées effectuées par un logiciel autonomeLes prestataires de services ont besoin de nouvelles méthodologies pour vérifier qui ou quoi autorise les actions et dans quelles conditions.

📘 Développement de cadres de sécurité

Le Centre pour la sécurité Internet, une organisation à but non lucratif financée en grande partie par le Département de la Sécurité intérieure, a publié Guides d'accompagnement en matière de sécurité de l'IA qui associent les contrôles CIS v8.1 à de grands modèles de langage, des agents d'IA et des environnements de protocole de contexte de modèle.

Ces guides complets abordent les points suivants :

• Guide du LLM : Couvre les vulnérabilités d'injection rapide et les problèmes de protection des données sensibles
• Guide MCP : Se concentre sur l'accès sécurisé par des outils logiciels, des identités non humaines et des interactions réseau.

(Photo de Julien Tromeur)

📚 Opportunités d'apprentissage supplémentaires

Pour les professionnels souhaitant approfondir leurs connaissances en IA et en big data auprès des leaders du secteur, Salon de l'IA et du Big Data offre des perspectives complètes. Cet événement se déroule à Amsterdam, en Californie et à Londres, et fait partie de TechEx, organisé conjointement avec d'autres conférences technologiques de premier plan, notamment Salon de la cybersécurité et du cloudCliquez ici pour plus d'informations.

AI News est alimenté par TechForge MediaDécouvrez d'autres événements et webinaires à venir sur les technologies d'entreprise. ici.