Comment l’IA fait de le contournement des sanctions un nouveau cauchemar pour la gouvernance informatique

Les gouvernements et les entreprises doivent faire évoluer rapidement leurs systèmes de défense

L’IA transforme la manière dont les crimes financiers sont perpétrés. La dernière étude du Royal United Services Institute, intitulée « Algorithms of Evasion : The Rise of AI-Enabled Proliferation Financing », souligne que des acteurs étatiques tels que la Corée du Nord et l’Iran utilisent déjà l’IA pour contourner les sanctions et dissimuler des flux financiers illicites. L’IA ne se contente plus d’assister les opérateurs humains : elle devient le moteur des réseaux de fraude. Elle est capable de créer à grande échelle de faux documents convaincants, de gérer des réseaux entiers de sociétés écrans et de reprogrammer en temps réel les schémas de transactions en cryptomonnaies afin de dissimuler les mouvements d’argent.

Pour les pouvoirs publics et les entreprises, cette évolution rend rendre obsolètes les systèmes de défense traditionnels. Les audits classiques et les systèmes de vérification pilotés par l’homme ne peuvent rivaliser avec les techniques de leurre automatisées qui apprennent et s’améliorent à chaque itération. Le délai pour renforcer les capacités de détection et d’atténuation s’amenuise rapidement. Les cadres de sécurité et de conformité doivent passer d’une approche réactive à une approche anticipative. La détection basée sur l’IA ne doit pas se contenter d’identifier les anomalies ; elle doit prédire les intentions et s’adapter dynamiquement aux nouveaux schémas de risque.

L’avenir de la conformité dépendra de l’intégration d’analyses avancées et d’une surveillance en temps réel au sein des écosystèmes financiers, numériques et d’identité. Les dirigeants doivent veiller à ce que les structures de gouvernance soient à jour et suffisamment souples pour s’adapter à l’évolution de l’IA malveillante. Il ne s’agit plus d’une simple formalité réglementaire, mais d’une nécessité stratégique pour préserver la sécurité au niveau national et au sein des entreprises.

Les entreprises sont aujourd’hui confrontées à des risques de sécurité sans précédent

La plupart des dispositifs de défense des entreprises reposent sur l’hypothèse selon laquelle les menaces sont d’origine humaine. Cette hypothèse n’est plus valable. Le Dr Aaron Arnold, chercheur associé senior au Centre pour la finance et la sécurité du RUSI, souligne que les adversaires ont déjà commencé à utiliser l’IA pour contourner la surveillance humaine. Le phishing, la falsification d’identité et l’infiltration de systèmes assistés par l’IA opèrent à des vitesses et à des échelles qui submergent les processus de contrôle traditionnels. Ils contournent les contrôles en exploitant des schémas comportementaux et en ciblant des failles systémiques que les humains négligent souvent.

Pour les entreprises, les implications sont directes et immédiates. Les formations à la sécurité et les grilles de conformité existantes sont insuffisantes. Il est temps d’intégrer une IA défensive et des analyses comportementales capables de détecter en temps réel des schémas subtils et anormaux. Les activités à haut risque au sein des API ou des communications de machine à machine doivent être surveillées à l’aide de « coupe-circuits » automatisés. Les processus de vérification d’identité, notamment dans le cadre du recrutement à distance ou de l’intégration des fournisseurs, doivent devenir plus rigoureux et être intégrés à des systèmes adaptatifs de détection des fraudes.

Les dirigeants de haut niveau devraient y voir une opportunité. L’IA que les criminels utilisent peut également renforcer la défense des entreprises, en automatisant la détection, en accélérant la prise de décision et en renforçant l’intégrité des systèmes sans ralentir les opérations. La clé réside dans un investissement proactif et un changement de mentalité : considérer l’IA comme un outil de productivité et comme une ligne de défense essentielle. Les entreprises qui agiront rapidement pour intégrer l’IA dans leur infrastructure de sécurité établiront la norme en matière de résilience dans un environnement de menaces en constante évolution.

Distinction entre la fraude assistée par l’IA et la fraude rendue possible par l’IA

L’IA modifie la structure des menaces financières et de cybersécurité d’une manière qui va bien au-delà de la simple automatisation. Sanchit Vir Gogia, analyste en chef chez Greyhound Research, souligne la différence fondamentale entre une IA qui assiste et une IA qui facilite. Les outils assistés par l’IA gèrent des tâches spécifiques et cloisonnées, comme la rédaction d’e-mails convaincants, la falsification de documents d’identité crédibles ou la préparation de demandes frauduleuses. Les systèmes « habilités par l’IA », en revanche, coordonnent des réseaux entiers de tromperie. Ils relient les identités numériques, les circuits de paiement, les structures de propriété et même le calendrier d’exécution, transformant ainsi des actes isolés en écosystèmes de fraude entièrement synchronisés.

Pour les décideurs, il est essentiel de bien comprendre cette distinction. Aujourd’hui, la plupart des contrôles d’entreprise sont optimisés pour traiter des signaux d’alerte isolés. Ils ne sont pas conçus pour détecter des anomalies orchestrées qui se produisent simultanément sur plusieurs systèmes. Les dirigeants chargés de la sécurité, de la conformité et des technologies doivent s’assurer que leurs organisations sont en mesure de détecter les tentatives de tromperie au niveau du réseau et d’y répondre. Cela implique une collaboration interfonctionnelle entre les équipes financières, informatiques et de conformité, soutenue par des outils intégrés d’analyse des données capables de mettre en corrélation les activités entre les services et les zones géographiques en temps réel.

Les menaces basées sur l’IA sont conçues pour être dynamiques. Elles évoluent plus rapidement que ne le permettent la plupart des politiques d’entreprise. Les dirigeants doivent donc considérer cela comme un processus d’adaptation continu. Les mesures de défense doivent viser à réagir aux activités suspectes et à anticiper les comportements coordonnés alimentés par l’apprentissage automatique. Sur le plan structurel, cela nécessite un partage continu des données entre les systèmes, des protocoles de réponse adaptatifs et un réajustement permanent des modèles d’IA d’entreprise afin de refléter les schémas d’attaque avant qu’ils ne se généralisent.

Il existe une asymétrie importante entre les capacités de l’IA offensive et celles de l’IA défensive

L’équilibre entre attaquants et défenseurs penche de plus en plus en faveur de ceux qui utilisent l’IA offensive. Sanchit Vir Gogia, de Greyhound Research, décrit ce phénomène comme une asymétrie structurelle : l’IA offensive apprend sur des réseaux ouverts, en absorbant de nouvelles données, en analysant des enregistrements divulgués et en exploitant les informations issues de systèmes mondiaux. L’IA défensive, en revanche, fonctionne dans des environnements contrôlés, soumis à des contraintes en matière de confidentialité, de juridiction et d’organisation. Elle apprend à partir d’ensembles de données fragmentés, souvent cloisonnés de par leur conception, ce qui limite sa capacité d’adaptation.

Cette inégalité en matière de capacité d’apprentissage confère aux adversaires un avantage considérable. Ils peuvent itérer en continu, en menant des expériences sur des systèmes réels, tandis que les défenseurs sont soumis à des règles de conformité, à des cycles de révision plus lents et à des normes de responsabilité plus strictes. Pour les dirigeants, ce déséquilibre impose une refonte stratégique des défenses de l’entreprise. L’objectif devrait être de combler le fossé en matière d’information et d’apprentissage en intégrant des environnements de données plus unifiés et préservant la vie privée, conçus pour une collaboration sécurisée et un partage des renseignements.

Les dirigeants doivent également reconnaître que la technologie à elle seule ne suffira pas à remédier à cette asymétrie. Cela nécessite une harmonisation organisationnelle, une approche holistique qui relie la conformité réglementaire, les opérations de cybersécurité et la gouvernance des données au sein d’un cadre de renseignement partagé. En favorisant l’interopérabilité entre les systèmes et en investissant dans des modèles d’IA explicables, les entreprises peuvent commencer à réduire le fossé en matière d’innovation entre les systèmes offensifs et défensifs. Les organisations qui réussiront seront celles qui considéreront l’IA non seulement comme un outil défensif, mais aussi comme un système en constante évolution, capable d’apprendre, de s’adapter et d’évoluer au même rythme que leurs adversaires.

La fragmentation des cadres réglementaires mondiaux fait obstacle à une réponse unifiée

Le cadre réglementaire actuel ne suit pas le rythme de la transformation induite par l’IA. Diverses initiatives, telles que la loi européenne sur l’IA, les lignes directrices du NIST et les recommandations du Groupe d’action financière (GAFI), se concentrent tous sur des aspects spécifiques de la gouvernance, des risques, de la transparence ou de la responsabilité. Chacun remplit une fonction essentielle, mais fonctionne de manière indépendante, laissant ainsi des failles que des adversaires sophistiqués exploitent. Les réseaux criminels ne se soucient guère des frontières juridictionnelles ni des délais réglementaires, ce qui signifie qu’une surveillance fragmentée leur permet d’innover plus rapidement et de se coordonner entre les systèmes sans être détectés de manière cohérente.

Pour les dirigeants, cela signifie que la conformité à elle seule ne garantit pas la sécurité. Se fier uniquement aux cadres de conformité réglementaire peut créer un faux sentiment de sécurité. Les différences entre les normes d’application d’une région à l’autre peuvent entraîner des niveaux de protection inégaux, même au sein des organisations multinationales. Les entreprises doivent donc mettre en place des systèmes de gouvernance interne capables de s’aligner sur de multiples exigences réglementaires tout en restant suffisamment agiles pour évoluer à mesure que de nouvelles règles et de nouvelles menaces apparaissent.

La voie à suivre passe par la mise en place d’une collaboration transfrontalière au niveau organisationnel. Les dirigeants doivent s’assurer que leurs structures de gouvernance sont compatibles avec les différentes exigences réglementaires et que leur infrastructure technologique favorise la transparence sans compromettre l’agilité opérationnelle. Cela nécessite des investissements précoces dans l’automatisation guidée par des politiques, des environnements de données partagés et des contrôles de conformité programmables qui s’adaptent de manière dynamique à l’évolution des risques ou de la législation. À terme, les entreprises qui s’engagent dans cette voie seront mieux à même de gérer leur exposition mondiale et de jouer un rôle de premier plan dans la définition de normes en matière de responsabilité de l’IA et de résilience en matière de sécurité.

Pour lutter contre la fraude assistée par l’IA, il faut envisager le problème comme un défi lié à l’architecture de confiance

Les entreprises doivent repenser la manière dont la confiance est préservée au sein de leurs systèmes opérationnels. Sanchit Vir Gogia, de Greyhound Research, souligne que la tromperie assistée par l’IA ne se limite pas à des techniques de hameçonnage plus sophistiquées ou à des contrefaçons plus perfectionnées ; elle remet en cause les fondements mêmes de la confiance au sein des entreprises en créant une apparence de légitimité tout au long des flux de travail. Les documents frauduleux et les fausses identités ne sont que les symptômes les plus visibles. Le problème plus profond réside dans la manière dont l’authenticité des données, la vérification des processus et les mécanismes de validation internes sont gérés au sein des organisations.

Pour les équipes de direction, cela implique un changement de paradigme : il ne s’agit plus de considérer les failles de sécurité comme des incidents isolés, mais de les appréhender comme des défaillances au sein de l’architecture de confiance de l’organisation. Les mesures de conformité traditionnelles, les listes de contrôle et les outils de filtrage ne peuvent offrir une garantie suffisante lorsque l’IA malveillante synchronise activement la fraude entre les services et les systèmes. Les organisations devraient plutôt concevoir des cadres de confiance interconnectés, c’est-à-dire des systèmes intégrant des analyses respectueuses de la vie privée, des pistes d’audit automatisées, la responsabilisation en matière de risques liés aux modèles et des garanties juridiques solides.

Pour conserver leur avance, les entreprises doivent intégrer des processus de vérification dans leurs flux de travail principaux sans nuire à leur productivité. Cela implique de mettre en place des environnements sécurisés de partage des données, de garantir la traçabilité à tous les niveaux du système et de valider toutes les décisions prises à l’aide de l’IA grâce à une logique transparente et à une responsabilité documentée. L’avenir de la confiance dans les entreprises dépendra d’une vérification et d’un suivi continus, où la confiance ne découlera pas d’une conformité statique, mais de la clarté, de la cohérence et de la résilience du système lui-même.

Les dirigeants qui aborderont cette question comme un défi à long terme lié à la mise en place d’une architecture de confiance, plutôt que comme une simple tâche de mise en conformité à court terme, seront mieux armés pour préserver l’intégrité opérationnelle et la confiance des clients, à mesure que l’IA continue de transformer le paysage de l’entreprise.

Une « course à l’armement de l’IA » inévitable se dessine entre les cybercriminels et les autorités chargées de l’application de la loi

L’intelligence artificielle est à l’origine d’une nouvelle phase d’escalade entre l’innovation criminelle et l’adaptation des forces de l’ordre. Le Dr Aaron Arnold, chercheur associé principal au Centre pour la finance et la sécurité du RUSI, observe que l’histoire montre souvent que les criminels adoptent des technologies de pointe avant que les systèmes réglementaires ne s’adaptent. La tendance actuelle laisse penser que les adversaires continueront d’innover plus rapidement, en utilisant l’IA pour automatiser la fraude, optimiser leurs processus criminels et exploiter les failles émergentes des systèmes réglementaires et technologiques. Il en résulte une dynamique continue de « tir et réponse », chaque avancée en matière de surveillance suscitant une contre-mesure tout aussi avancée.

Pour les dirigeants, cette évolution de l’environnement exige un état d’esprit axé sur l’adaptabilité et l’innovation continue. Les entreprises ne peuvent pas se contenter d’attendre passivement que les forces de l’ordre ou les autorités de régulation donnent le ton. Elles doivent au contraire anticiper l’évolution des menaces liées à l’IA et veiller à ce que leurs contrôles opérationnels évoluent en parallèle. Investir dans des systèmes d’apprentissage qui analysent les attaques en temps réel et intègrent ces informations dans des algorithmes de défense deviendra un élément fondamental de la gestion des risques.

Cette évolution concurrentielle entre les IA offensives et défensives offre également des opportunités. Comme le souligne Arnold, de nombreuses techniques défensives qui font désormais partie intégrante de la prévention de la criminalité financière ont été initialement développées en réponse à l’innovation criminelle. Il en ira probablement de même avec l’IA. Les entreprises peuvent tirer parti de ces enseignements pour accélérer leurs propres expérimentations et le développement de leurs modèles défensifs, en collaborant avec les régulateurs afin d’élaborer des normes responsables et proactives.

Les dirigeants de haut niveau ne doivent pas considérer cela comme une période difficile à surmonter, mais comme un environnement stratégique en constante évolution. Ceux qui investissent dans des systèmes adaptatifs, des infrastructures de données flexibles et une gouvernance transparente des modèles seront non seulement mieux à même de se défendre, mais définiront également les normes opérationnelles d’une sécurité fondée sur l’IA. Dans un contexte où la technologie évolue plus rapidement que la réglementation, la rapidité d’adaptation devient un avantage concurrentiel déterminant.

Le bilan

L’évolution des techniques de contournement basées sur l’IA n’est pas une préoccupation lointaine, mais une transformation bien réelle qui est déjà en cours. La combinaison de l’automatisation, de l’apprentissage adaptatif et de l’accès aux données à l’échelle mondiale confère aux adversaires une ampleur et une précision que les défenses traditionnelles ne peuvent égaler. Les dirigeants doivent désormais accepter une nouvelle réalité : les frontières entre l’attaque et la défense évoluent plus rapidement que ne peuvent s’adapter les politiques ou les mesures de conformité.

Les dirigeants qui considèrent l’IA uniquement comme un outil d’efficacité négligent certains risques. Le débat doit dépasser la simple question de la productivité pour s’orienter vers celle de la résilience. Cela implique d’investir dans des systèmes capables d’apprendre en continu, d’intégrer une intelligence comportementale en temps réel et de mettre en place des cadres de confiance qui valident chaque processus critique de l’intérieur vers l’extérieur. Il ne s’agit pas d’améliorations progressives, mais de changements structurels qui détermineront comment les organisations resteront sûres et crédibles dans les années à venir.

L’opportunité réside dans la capacité à transformer cette pression en une transformation stratégique. Une gouvernance fondée sur l’IA, des architectures de vérification renforcées et une réglementation adaptée peuvent contribuer à créer une économie numérique plus sûre. Les organisations qui s’adapteront rapidement ne se contenteront pas de se défendre : elles établiront la norme opérationnelle en matière de sécurité, de transparence et de confiance à l’ère des systèmes intelligents.