Tu veux les meilleurs outils IA avant les autres ?
On teste et on décrypte les nouveaux outils IA chaque soir, en 5 min. Gratuit.
Inclus dès l'inscription : notre sélection des meilleurs guides & comparatifs IA.
Choisis ton rythme
Gratuit · Pas de spam · Désabonnement en 1 clic
L'alerte de l'APRA sur la gouvernance des agents IA
L'Australian Prudential Regulation Authority (APRA) a récemment mis en garde les entreprises financières australiennes sur les insuffisances dans la gouvernance et l'assurance des agents IA. Cette alerte survient alors que l'utilisation de l'intelligence artificielle se généralise dans les opérations internes et orientées vers les clients des banques et des fiduciaires de superannuation.
En 2025, l'APRA a mené un examen ciblé auprès de grandes entités réglementées pour évaluer l'adoption de l'IA et les risques associés. Bien que l'IA soit présente dans toutes les entités examinées, l'APRA a noté une variabilité dans la gestion des risques et la résilience opérationnelle. Les conseils d'administration montrent un intérêt marqué pour l'IA, notamment en termes de productivité et d'expérience client, mais beaucoup peinent encore à mettre en place une gestion efficace des risques liés à l'IA.
Les défis de la gestion des risques IA
L'APRA a exprimé des préoccupations concernant la dépendance excessive des conseils d'administration aux présentations des fournisseurs, sans une prise en compte suffisante des risques tels que le comportement imprévisible des modèles IA et l'impact potentiel des défaillances sur les opérations critiques.
L'agence a souligné l'importance pour les conseils d'administration de développer une compréhension approfondie de l'IA afin de définir des stratégies et une supervision cohérentes. Ces stratégies doivent s'aligner sur l'appétit au risque de l'institution et inclure des procédures pour gérer les erreurs.
Les entités testent ou introduisent l'IA dans divers domaines, notamment l'ingénierie logicielle, le tri des demandes d'indemnisation, le traitement des prêts, la lutte contre la fraude et l'interaction client. Cependant, traiter le risque IA comme celui d'autres technologies ne prend pas en compte les comportements et biais spécifiques des modèles IA.
L'APRA a identifié des lacunes dans la surveillance du comportement des modèles, la gestion des changements et le déclassement. Il a déclaré qu'il était nécessaire d'établir des inventaires des outils IA et de désigner des responsables pour chaque instance d'IA. L'APRA a également précisé que l'IA pouvait être présente dans des dépendances en amont dont les entités n'étaient pas conscientes.
L'APRA a souligné la nécessité d'une implication humaine dans les décisions à haut risque, afin de garantir que les actions critiques ne reposent pas uniquement sur des systèmes automatisés.
Cybersécurité et gestion des identités
La cybersécurité est un autre domaine de préoccupation. L'APRA a noté que l'adoption de l'IA modifie l'environnement des menaces, ajoutant des voies d'attaque comme l'injection de commandes et les intégrations non sécurisées. Les pratiques de gestion des identités et des accès ne sont pas toujours adaptées aux agents IA.
L'APRA recommande des contrôles stricts sur les flux de travail autonomes, y compris la gestion des accès privilégiés et la sécurité du code généré par l'IA. La dépendance à un seul fournisseur pour de nombreuses instances d'IA est également préoccupante, peu d'entités ayant un plan de sortie ou de substitution.
Le volume de développement logiciel assisté par l'IA exerce une pression sur les contrôles de changement et de publication, ce qui nécessite une attention particulière pour maintenir la sécurité et l'efficacité des systèmes.
Initiatives de la FIDO Alliance
Parallèlement, la FIDO Alliance travaille sur de nouvelles normes pour les contrôles d'identité et de permission, formant un Agentic Authentication Technical Working Group. Ce groupe élabore des spécifications pour le commerce initié par des agents.
FIDO souligne que les modèles d'authentification actuels sont conçus pour l'interaction humaine, nécessitant des adaptations pour les actions déléguées par des logiciels. Des solutions comme le Google’s Agent Payments Protocol et le Mastercard’s Verifiable Intent framework sont examinées pour répondre à ces besoins.
Le Centre for Internet Security a publié des guides sur la sécurité de l'IA, abordant les problèmes de prompt et de données sensibles, et se concentrant sur l'accès sécurisé par des outils logiciels et des identités non humaines.

