EXCLUSIF-Un e-mail révèle que l'autorité de régulation canadienne a cité Claude Mythos, d'Anthropic, dans un avertissement adressé aux banques concernant les risques cybernétiques
information fournie par Reuters 14/07/2026 à 04:44

((Traduction automatisée par Reuters à l'aide de l'apprentissage automatique et de l'IA générative, veuillez vous référer à l'avertissement suivant: https://bit.ly/rtrsauto)) (Rectifier le titre de Bruce Ross au paragraphe 17: « Responsable du groupe IA » et non « directeur technique »)

* L'autorité de régulation a déclaré que l'IA avancée pourrait réduire le temps nécessaire pour identifier, atténuer et répondre aux vulnérabilités

* L’autorité de régulation a publié lundi des orientations plus générales sur l’IA générative et l’IA agentique

* Le BSIF emboîte le pas aux régulateurs mondiaux pour traiter les risques liés à Mythos

par Nivedita Balu

L'autorité fédérale canadienne de régulation bancaire a mis en garde les plus grandes institutions financières du pays contre les risques liés à « Claude Mythos » d’Anthropic et à d’autres modèles d’IA avancés, affirmant que cette nouvelle technologie pourrait accroître les cybermenaces et réduire le temps dont disposent les institutions pour identifier et corriger les vulnérabilités, selon un e-mail envoyé en avril. L’autorité de régulation, le Bureau du surintendant des institutions financières (BSIF), a adressé ce courriel aux directeurs techniques, aux responsables de la sécurité de l’information et aux directeurs des risques de l’ensemble du secteur financier, y compris les grandes banques et les assureurs, selon des documents obtenus par Reuters à la suite d’une demande d’accès à l’information. Partout dans le monde, les régulateurs s’efforcent d’évaluer les risques liés à la cybersécurité, notamment ceux posés par « Mythos », le modèle d’IA de pointe développé par Anthropic. Les experts en cybersécurité affirment que « Mythos », un modèle d’IA décrit comme extrêmement performant pour détecter et exploiter les failles de cybersécurité, pose des défis considérables au secteur bancaire et à ses systèmes technologiques hérités.

« Les modèles avancés d’intelligence artificielle, tels que Mythos d’Anthropic, réduisent considérablement le délai nécessaire à une atténuation efficace des risques », a déclaré le BSIF dans son e-mail.

« En conséquence, ce bulletin s’appuie sur nos recommandations existantes et présente les bonnes pratiques que les établissements peuvent adopter pour améliorer la rapidité et l’efficacité de l’identification, de l’atténuation et de la réponse aux risques. » D'autres parties du courriel ont été caviardées en vertu de certaines dispositions de la Loi sur l’accès à l’information. Le fait que le BSIF reconnaisse les risques liés à Mythos pourrait inciter les banques, les assureurs et les autres institutions réglementées canadiennes à investir dans des technologies visant à protéger leurs clients contre les cyberrisques.

Après que Reuters eut adressé des questions au BSIF la semaine dernière, l’autorité de régulation a publié lundi en ligne un bulletin public sur l’intelligence artificielle générative et agentique.

« Le BSIF adopte une approche technologiquement neutre et axée sur les risques vis-à-vis des technologies émergentes, y compris les modèles avancés d’intelligence artificielle tels que Mythos. Notre attention ne porte pas sur la technologie en soi, mais sur la manière dont les institutions financières sous réglementation fédérale gouvernent et gèrent les risques associés à son utilisation », a déclaré l’organisme de réglementation dans une réponse envoyée par e-mail aux questions de Reuters. Début avril, des dirigeants de banques canadiennes ont rencontré les autorités de régulation pour discuter des risques posés par Mythos, peu après que le secrétaire au Trésor américain Scott Bessent et le président de la Réserve fédérale de l’époque, Jerome Powell, eurent convoqué une réunion d’urgence avec les directeurs généraux des banques afin de les mettre en garde contre les cyberrisques posés par le dernier modèle d’intelligence artificielle d’Anthropic.

L’OSFI a envoyé ce courriel aux dirigeants de l’entreprise le 29 avril.

UN CONTEXTE EN ÉVOLUTION RAPIDE

Le BSIF est chargé de réglementer et de maintenir la stabilité du secteur financier canadien, des banques aux fonds de pension, ainsi que d’identifier les risques découlant de l’ingérence étrangère, de la géopolitique et des nouvelles technologies. Les capacités cybernétiques de certains systèmes d’IA de pointe sont jugées si puissantes que leur accès a été restreint, les banques de la zone euro étant actuellement exclues de Mythos. Anthropic a également entretenu des relations tumultueuses avec le gouvernement américain. Un juge a bloqué sa mise sur liste noire initiale par le Pentagone en mars , et le conflit s’est apaisé suite à la sortie en privé de Mythos d’Anthropic. Trois des six grandes banques canadiennes — la Banque Royale du Canada RY.TO , la Banque TD TD.TO et BMO BMO.TO — ont présenté un plan visant à générer des millions grâce à leurs investissements dans l’IA, alors que les banques sont passées de projets expérimentaux d’IA à leur application dans des chatbots, à la création d’outils internes et à la réduction de leur dépendance vis-à-vis des outils tiers.

La Banque de Nouvelle-Écosse BNS.TO , la CIBC CM.TO et la Banque Nationale NA.TO ont également dévoilé plusieurs initiatives en matière d’IA. Le gouvernement canadien a déclaré avoir accès au projet Glasswing d’Anthropic, qui permet aux entreprises d’accéder à Mythos. On ignore toutefois quelles banques canadiennes, le cas échéant, l’utilisent. Certaines banques ont renvoyé toute question à l’Association des banquiers canadiens, qui a indiqué que les banques avaient investi massivement pour protéger le système financier et qu’elles se conformaient aux exigences strictes de l’OSFI en matière de gestion des risques cybernétiques et de signalement des incidents.

Dans une interview accordée en juin, Bruce Ross, responsable du groupe IA chez RBC, a déclaré que Mythos mettait en évidence une évolution du paysage des cyberattaques, rendant impérative une réaction rapide des organisations, car de nouvelles méthodes d’attaque peuvent apparaître dès que de nouvelles vulnérabilités sont identifiées.

« La manière dont nous (l'industrie) y faisons face consiste à mettre en place nos propres défenses basées sur l’IA… et nous continuerons de le faire », a déclaré Ross.