ASIC appelle l’ensemble des titulaires de licence et des participants de marché à renforcer de manière urgente leurs mesures de résilience cyber, face à un environnement de risque mondial intensifié par l’essor de l’intelligence artificielle de pointe. Selon le régulateur, la mauvaise utilisation de modèles d’IA avancés, tels que Claude Mythos d’Anthropic, peut exposer des vulnérabilités de cybersécurité à une vitesse, une échelle et un niveau de sophistication sans précédent.
Dans une lettre ouverte adressée à l’industrie, ASIC exhorte les entités à agir dès maintenant et à ne pas attendre l’apparition d’outils d’IA avancés pour relever leurs fondamentaux de cybersécurité. L’objectif est de s’assurer que les systèmes puissent résister à des menaces accélérées par l’IA. La lettre, signée par la commissaire d’ASIC Simone Constant, met l’accent sur la nécessité d’une action urgente et ciblée, fondée sur des principes et indépendante de tout modèle technologique spécifique.
ASIC rappelle que la résilience cyber doit être considérée comme une obligation centrale liée à la détention d’une licence, et non comme un simple sujet relevant des équipes informatiques. Simone Constant indique que le risque cyber « est entré dans une nouvelle ère ». L’arrivée de modèles d’IA de pointe crée des opportunités, mais augmente aussi de manière significative les risques, avec la capacité de révéler des vulnérabilités bien plus rapidement que ce que beaucoup anticipent. Des faiblesses auparavant isolées peuvent désormais produire un effet domino à l’échelle des systèmes, ouvrant la voie à de nouvelles formes d’exploitation jusque-là hors de portée de la plupart des acteurs malveillants.
Cette lettre intervient après une décision de justice récente impliquant FIIG Securities Limited, qui a renforcé la nécessité pour les dispositifs de gestion du risque cyber d’être démontrablement efficaces et proportionnés à la taille, à la nature et à la complexité de l’entreprise. ASIC s’appuie sur cette issue judiciaire pour souligner l’exigence de contrôles adaptés et clairement établis.
Le régulateur détaille une série de mesures que les entités sont invitées à prendre : réévaluer les plans cyber, confirmer les cadres de risque et de gouvernance, identifier et protéger les actifs critiques, renforcer les fondamentaux de cybersécurité, réduire les surfaces d’attaque, revoir régulièrement les droits d’accès des utilisateurs, corriger rapidement les systèmes, mettre en place des architectures de défense en profondeur, se préparer à la réponse aux incidents, gérer activement les risques liés aux tiers et utiliser l’IA à des fins défensives lorsque cela est approprié.
Enfin, ASIC exige que cette lettre soit présentée aux conseils d’administration ultimes ainsi qu’aux comités de gouvernance des risques des entités concernées, afin d’ancrer la résilience cyber au plus haut niveau de décision.
