IA « frontière » : l'ESRB déclare le risque cyber systémique sévère, EBA-EIOPA-ESMA emboîtent le pas
L'ESRB, le régulateur macroprudentiel de l'Union européenne, vient de franchir une étape rare : un avertissement formel sur les risques cyber liés à l'intelligence artificielle « frontière ». En trois mois, l'évaluation du risque est passée d'« élevé » à « sévère ». Le même jour, les trois autorités de supervision financière européennes (EBA, EIOPA, ESMA) ont publiquement soutenu ce constat, avec des conséquences concrètes pour tout organisme soumis à DORA — et un signal utile pour tous les DPO et RSSI, bien au-delà du secteur financier.
Ce qui s'est passé
Le 7 juillet 2026, l'European Systemic Risk Board (ESRB) a publié un avertissement — un instrument macroprudentiel qu'il réserve aux risques jugés significatifs pour la stabilité financière — sur les risques cyber systémiques posés par les modèles d'IA dits « frontière ». Ces modèles, capables d'affecter matériellement les opérations cyber offensives ou défensives, permettent selon l'ESRB à des attaquants de découvrir et d'exploiter des vulnérabilités critiques avec une rapidité, une échelle et une sophistication inédites à court et moyen terme. L'ESRB pointe aussi un risque de dépendance stratégique : les principaux fournisseurs de ces modèles sont situés hors de l'Union européenne.
Le même jour, l'EBA, l'EIOPA et l'ESMA — les « ESAs » — ont publié une déclaration conjointe soutenant l'avertissement de l'ESRB. Elles rappellent que le cadre réglementaire européen, notamment DORA et l'AI Act, offre une base solide, mais que la vitesse et l'échelle de ces outils font craindre que des cyberattaques assistées par IA ne fragilisent la résilience opérationnelle des entités financières. Les ESAs, qui supervisent également les prestataires critiques de services TIC au titre de DORA, indiquent échanger directement avec ces fournisseurs sur les mesures d'adaptation à mettre en œuvre.
Ce texte est distinct de la lettre envoyée le même jour par la supervision bancaire de la BCE aux dirigeants des 110 banques significatives de la zone euro : là où la BCE cible un périmètre bancaire précis sous sa supervision directe, l'avertissement de l'ESRB et la déclaration des ESAs couvrent l'ensemble des entités financières soumises à DORA, banques, assurances et marchés confondus.
Pourquoi c'est important pour les DPO et RSSI
Cet avertissement s'inscrit dans une convergence de doctrine que Leto observe depuis plusieurs mois : après les agences Five Eyes et l'analyse du cas Claude Mythos, c'est au tour des autorités financières européennes de reconnaître que l'IA offensive change la donne pour l'évaluation des risques cyber. Ce constat rejoint directement la logique de l'article 32 du RGPD : les mesures de sécurité doivent être adaptées à l'état de l'art, et cet état de l'art se déplace désormais du côté des attaquants au moins aussi vite que du côté des défenseurs.
Le sujet touche aussi directement la chaîne de sous-traitance. Les ESAs interviennent en tant qu'Overseers des prestataires critiques de services TIC — cloud, hébergement, SaaS — au titre de DORA. Cette dimension fait écho à l'alerte du Future of Privacy Forum sur la gouvernance cyber des intégrations tierces : DPO et RSSI doivent cartographier leurs dépendances réelles et durcir les exigences de sécurité imposées à leurs propres sous-traitants.
Ce que ça change concrètement
Pour les organismes du secteur financier, l'avertissement de l'ESRB doit être traité comme un signal fort en amont des prochains contrôles DORA : documenter une réévaluation de l'analyse de risque intégrant l'hypothèse d'un attaquant équipé d'IA, revoir les délais de correction des vulnérabilités critiques, et vérifier que les clauses de sécurité avec les prestataires cloud et SaaS reflètent ce niveau de menace. Pour les organismes hors secteur financier, la leçon se généralise : quand un régulateur macroprudentiel européen qualifie un risque IA-cyber de « sévère », c'est un argument de poids à intégrer dans la documentation d'analyse de risque au titre de l'article 32, y compris pour des structures qui ne sont pas directement soumises à DORA.
Ce que Leto pense de cette décision
Ce qui compte ici n'est pas tant le contenu de l'avertissement — largement anticipé — que la forme qu'il prend. Un avertissement ESRB reste un instrument rarement mobilisé ; son association avec une déclaration conjointe des trois autorités de supervision financière montre que le risque cyber lié à l'IA n'est plus traité comme un sujet ponctuel mais comme un risque structurel, suivi trimestriellement. Pour les DPO et RSSI, y compris hors secteur financier, c'est un rappel utile : la prochaine AIPD ou la prochaine revue de sécurité qui ignore l'hypothèse d'un attaquant assisté par IA sera de plus en plus difficile à défendre face à un contrôle.
Sources : European Systemic Risk Board, European Banking Authority

