IA et Cloud Computing dans la finance : enjeux de cybersécurité

Actualité Cybersécurité

Le cloud et l’intelligence artificielle avancent ensemble : les modèles d’IA s’entraînent et s’exécutent sur des infrastructures cloud, qui intègrent en retour de plus en plus de fonctions d’IA. Pour les banques et les assurances, cette combinaison ouvre des usages concrets (détection de fraude, automatisation des contrôles) mais élargit aussi la surface d’attaque. Selon le rapport IBM Cost of a Data Breach 2025, une violation de données coûte en moyenne 5,56 millions de dollars à un établissement financier. Cet article détaille les usages du cloud IA, ses risques et les règles applicables en 2026 : DORA, NIS2, EUCS et IA Act.

Le rôle de l’IA dans le Cloud Computing

Qu'est-ce que l'Intelligence Artificielle (IA) ?

L’intelligence artificielle est la capacité des machines à exécuter des tâches qui demanderaient normalement une intelligence humaine, comme traiter de grands volumes de données ou détecter des anomalies. Les banques et les assureurs l’utilisent notamment pour le scoring de crédit et la détection de fraude.

Deux familles d’outils dominent. L’IA générative produit du contenu nouveau (du texte, du code, des images) ; l’IA prédictive anticipe des événements futurs, par exemple des cybermenaces. Dans les deux cas, la qualité des données conditionne la fiabilité des modèles.

Qu'est-ce que le Cloud Computing ?

Le Cloud Computing est la fourniture de services informatiques à la demande via Internet : serveurs, stockage, logiciels ou bases de données. Les établissements financiers y gagnent des coûts ajustés à l’usage et une puissance de calcul immédiate, sans investir dans leur propre infrastructure.

Cette externalisation a une contrepartie réglementaire. DORA encadre le recours aux prestataires cloud depuis janvier 2025, et le niveau de certification du fournisseur (SecNumCloud, EUCS) devient un critère de sélection à part entière.

La relation entre l'IA et le Cloud Computing

La relation entre intelligence artificielle et Cloud Computing est double. Les deux se complètent. D’une part, l’IA permet aux services du Cloud d’intégrer des fonctions de plus en plus sophistiquées. Elle permet d’améliorer l’automatisation, la prise de décision et l’évolutivité des services Cloud.

D’autre part, le Cloud fournit l’infrastructure et la puissance de calcul nécessaires au déploiement des technologies d’IA. Il permet aux entreprises de profiter des avancées rendues possibles par l’IA sans investissement majeur en temps et en technologies. En effet, sans le Cloud, certaines entreprises n’auraient jamais pu utiliser l’IA, surtout les PME et TPE. La création, la formation et le déploiement sécurisé de modèles d’intelligence artificielle sont des processus très complexes d’un point de vue technique, et très coûteux.

En quoi consiste la certification EUCS ?

Pourquoi utiliser l'IA dans le Cloud Computing ?

L’alliance de l’intelligence artificielle et du Cloud a de nombreux avantages pour les entreprises. Elle permet d’automatiser de nombreux processus complexes, pour un gain de temps et de productivité : l’analyse et la gestion de données, la gestion des utilisateurs et des clients, la sécurité des systèmes informatiques… 

Grâce aux technologies d’IA intégrées aux solutions Cloud, les équipes se déchargent des tâches à faible valeur ajoutée, qui sont répétitives et chronophages, comme par exemple la saisie manuelle des factures ou le classement des demandes clients. Les outils d’IA réalisent ces tâches de manière bien plus efficace que les humains, ce qui permet un gain de temps considérable. Pendant ce temps, les employés se concentrent sur des tâches à plus forte valeur ajoutée. 

L’utilisation de l’IA permet aussi de réduire le risque d’erreur. Pour reprendre l’exemple de la saisie manuelle des factures, cette tâche répétitive est sujette aux erreurs humaines. Le traitement automatique de l’IA ne risque pas d’engendrer d’erreur de saisie, ce qui améliore la fiabilité des processus.

L’IA dans les services Cloud peut aussi être utilisée par les managers pour les aider à la prise de décision. L’intelligence artificielle fournit des analyses efficaces et précises. Elle peut conseiller les employés en fonction des tendances dégagées de l’analyse des données de l’entreprise. Par exemple, elle pourra avertir le responsable de l’approvisionnement lorsqu’il est nécessaire de commander de nouvelles matières premières. Elle pourra aussi analyser des processus plus complexes, comme les comportements des clients, et conseiller l’entreprise en fonction des tendances qui en ressortent. 

Les risques cyber spécifiques au cloud IA

L’intégration de l’IA dans les infrastructures cloud ouvre de nouvelles surfaces d’attaque que les établissements bancaires et assurantiels doivent maîtriser. D’après le rapport IBM Cost of a Data Breach 2025, 13 % des organisations ont déjà subi une compromission de leurs modèles ou applications d’IA, et 97 % de celles-ci ne disposaient pas de contrôles d’accès adaptés.

Prompt injection

Les attaques par prompt injection manipulent les entrées d’un modèle IA pour exfiltrer des données clients ou contourner des contrôles de sécurité financiers.

Data leakage

Les modèles d’IA peuvent restituer involontairement des données sensibles, créant un risque de violation du RGPD dans le secteur financier.

Model poisoning

Des données malveillantes injectées lors de l’entraînement peuvent compromettre un modèle de détection de fraudes, laissant passer des transactions frauduleuses.

Shadow AI

L’utilisation non contrôlée d’outils d’IA par les collaborateurs expose des données confidentielles à des tiers non habilités. Une organisation sur cinq a subi une violation de données liée au shadow AI, avec un surcoût moyen de 670 000 dollars par incident (IBM, 2025).

Cadre réglementaire : DORA, NIS2, EUCS et cloud IA

Le secteur financier européen est encadré par des réglementations qui impactent directement l’usage du cloud IA.

DORA – Digital Operational Resilience Act

Applicable depuis janvier 2025, le règlement DORA impose : gestion des prestataires TIC, tests de résilience, reporting des incidents. Voir : DORA en pratique.

NIS2

La directive NIS2 élargit les obligations de cybersécurité aux banques et assurances pour tous leurs systèmes d’information cloud.

EUCS – EU Cybersecurity Certification Scheme

L’EUCS définit trois niveaux (Basic, Substantial, High). Le niveau High est recommandé pour les données financières sensibles. Lire : les limites de l’EUCS selon la CNIL.

IA Act européen

Les modèles IA utilisés pour le crédit scoring ou la détection de fraudes sont classés à haut risque par le règlement européen sur l’IA. Les obligations correspondantes (transparence, auditabilité, supervision humaine) s’appliquent à partir du 2 août 2026.

Les bonnes pratiques pour les banques et assurances

Pour bénéficier du cloud IA tout en maîtrisant les risques, les établissements financiers doivent adopter une approche structurée.

Gouvernance cloud IA

  • Définir une politique d’usage de l’IA avec inventaire des modèles
  • Nommer un AI Security Officer
  • Encadrer strictement les données transmissibles aux modèles cloud

Sécurisation technique

  • Principe du moindre privilège pour les APIs IA
  • Chiffrement des données en transit et au repos
  • Solutions Data Loss Prevention (DLP) anti-fuite vers LLM
  • Guardrails et filtres sur les sorties des modèles

Gestion des risques fournisseurs

Sensibilisation des équipes

  • Former aux risques Shadow AI et prompt injection
  • Exercices red team IA et simulations d’incident
  • Programme de sensibilisation cyber 2.0

Tableau comparatif des certifications cloud pour le secteur financier

Choisir la bonne certification cloud est crucial pour les établissements bancaires et assurantiels.

CertificationPérimètreNiveauFinance / IA
ISO 27001Sécurité de l’informationÉlevé✅ Base essentielle
HDSDonnées de santéTrès élevé⚠️ Partiel (assurance santé)
SecNumCloudCloud souverain ANSSITrès élevé✅ Cloud souverain
EUCS BasicCloud EU niveau basiqueBasique❌ Insuffisant finance
EUCS HighCloud EU niveau élevéTrès élevé✅ Données critiques
SOC 2 Type IISécurité, dispo, confidentialitéÉlevé✅ Fournisseurs internationaux

Note : SecNumCloud ou EUCS High recommandés pour les données critiques dans le cadre DORA.

Pour aller plus loin

Le Forum des Compétences vous propose d’autres ressources sur la sécurité cloud dans le secteur financier :

FAQ – Questions fréquentes sur l’IA, le Cloud et la Cybersécurité dans la finance

Les établissements bancaires font face à quatre risques majeurs :

  • Prompt injection : manipulation des entrées d’un modèle IA pour exfiltrer des données clients.
  • Data leakage : restitution involontaire de données d’entraînement sensibles.
  • Model poisoning : corruption d’un modèle de détection de fraudes par injection de données malveillantes.
  • Shadow AI : usage non contrôlé d’outils IA par les collaborateurs.

DORA (applicable depuis janvier 2025) impose :

  • Surveillance des prestataires TIC tiers (fournisseurs cloud IA)
  • Tests de résilience incluant les systèmes IA
  • Reporting obligatoire des incidents numériques majeurs
  • Contrôle des concentrations de risques sur les clouds

Voir : DORA en pratique.

  • ISO 27001 : base essentielle pour tout fournisseur cloud.
  • SecNumCloud (ANSSI) : très haut niveau, recommandé pour les systèmes sensibles.
  • EUCS High : niveau européen le plus élevé, idéal pour les données critiques dans le cadre DORA.
  • HDS : obligatoire pour les données de santé (assureurs santé).

Lire : les limites de l’EUCS selon la CNIL.

Mesures concrètes contre le Shadow AI :

  • Définir une politique d’usage de l’IA avec liste des cas d’usage autorisés
  • Déployer des solutions Data Loss Prevention (DLP)
  • Tenir un registre des modèles IA utilisés
  • Former les équipes via un programme de sensibilisation cyber

L’IA Act européen classe certains systèmes IA financiers à haut risque :

  • Systèmes de crédit scoring automatisé
  • Détection de fraudes basée sur l’IA
  • Systèmes d’aide à la décision d’assurance

Obligations : transparence, auditabilité, documentation renforcée et surveillance humaine obligatoire.

NOS ACTUALITÉS