L’impact de l’adoption de l’intelligence artificielle (IA) dans le secteur bancaire est comparée à celle de l’arrivée d’internet, d’après un rapport de S&P Global. L'intégration de cette technologie dans le private banking laisse entrevoir des avantages multiples pour tous les acteurs de la branche, y compris les gérants de fortune externes (EAM).
L'efficacité opérationnelle est souvent citée, avec des institutions financières réduisant leurs coûts de fonctionnement grâce à l'automatisation des processus. Une étude de McKinsey estime d’ailleurs que l'IA pourrait générer jusqu'à 1000 milliards de dollars d'efficacité dans le secteur bancaire d'ici 2030.
L'utilisation d'analyses prédictives permet par ailleurs aux conseillers de prendre des décisions plus éclairées et d’offrir des solutions personnalisées. Des outils d'IA peuvent également détecter des anomalies dans les transactions en temps réel, réduisant ainsi le risque de fraude.
Voilà pour le tableau «idéal», régulièrement dépeint dans les médias. Mais qu’en est-il des risques cyber et de l’évolution de la réglementation que les EAM doivent connaître? Pour répondre à cette question, nous avons réuni Philipp Fischer, associé de l’étude Oberson Abels, et les experts de Lombard Odier, Alain Beuchat, responsable de la sécurité des systèmes informatiques et Richard Denglos, responsable de l’infrastructure IT.
Quels sont les principaux risques légaux induits par l'IA?
Pour Philipp Fischer, les principaux risques réglementaires liés à l'utilisation de l’IA pour une institution financière suisse peuvent être regroupés dans quatre grandes catégories.
- Non-conformité aux attentes de l’autorité de la Finma
L’Autorité de surveillance des marchés financiers a formulé des attentes spécifiques concernant l'utilisation de l'IA, en se focalisant sur les volets suivants: gouvernance et responsabilité, transparence et explicabilité, égalité de traitement, gestion des risques et contrôle.
- Manque de transparence et d'explicabilité
L'incapacité à expliquer les résultats obtenus par l'IA pourrait conduire à des défis réglementaires, notamment en ce qui concerne la vérifiabilité de décisions par les autorités de contrôle et la capacité à informer correctement les clients et autres personnes concernées.
- Risques de discrimination (biais)
L'utilisation de l'IA pourrait conduire à des traitements inéquitables, par exemple dans l'acceptation de nouveaux clients ou dans la revue de transaction. Les institutions financières doivent ainsi s'assurer que leurs systèmes d'IA ne créent pas de discriminations injustifiées.
- Conformité à la future réglementation
Bien que la Suisse n'ait pas encore de réglementation spécifique sur l'IA, le Conseil fédéral a chargé l'Administration fédérale d'identifier les approches possibles en matière de réglementation d'ici fin 2024. Les institutions financières devront anticiper et se préparer à ces futures exigences, y compris la réglementation européenne (EU AI Act), qui pourrait être applicable à certaines banques suisses.
Pour atténuer ces risques, les institutions financières suisses devraient mettre en place un cadre de gouvernance robuste pour l'utilisation de l'IA, assurer une transparence adéquate, maintenir un contrôle humain sur les décisions importantes, et se tenir informées des développements réglementaires à venir.
Un avis que partage Richard Denglos, qui a notamment expliqué que «L’augmentation de l’empreinte Cloud au travers des nouvelles solutions SaaS (Software as a service) est renforcée par l’explosion de l’IA générative. Ceci nous amène à repenser en profondeur notre approche et nos modes opérationnels, et à renforcer notre gouvernance».
Quelles tendances en cybersécurité impacteront les EAM?
Pour Alain Beuchat, l’IA va devenir omniprésente, ce qui représente un défi pour la protection des données (par exemple la propriété intellectuelle, le secret des affaires ou encore le droit d’auteur), les biais algorithmiques ou le manque de transparence.
Au-delà de l’IA, d’autres aspects sont liés à la sécurité même des EAM. Il anticipe notamment que les attaques informatiques vont continuer à se développer. Dans ce domaine, la mise en place de mécanismes de protection simples sont un rempart qui sera toujours plus essentiel (installation des correctifs de sécurité, authentification multi-facteur, sauvegarde hors-ligne des données, installation d’un anti-virus).
Pour les nombreux EAM ayant externalisé leur informatique; que peuvent-ils faire pour se protéger des attaques? Pour Alain Beuchat, un processus de due-diligence est fortement recommandé lors de la sélection d’une partie-tierce, pour évaluer le profil de risque des prestataires potentiels.
Ensuite, la préparation annuelle d’un rapport de type ISAE ou SOC 2 est un atout, car il permet d’obtenir la liste des contrôles mis en place par le prestataire et leur effectivité (correction des vulnérabilités, authentification multi-facteurs des accès à distance, limitation des accès privilégiés des administrateurs IT, sauvegardes régulières hors-ligne, etc.). La revue annuelle de ces rapports permet de juger de la sécurité du prestataire.