TAGS

Comment construire une gouvernance de l'IA qui inspire confiance, respecte les exigences r glementaires et cr e un avantage concurrentiel durable. Une salle des march s qui ne dort jamais Il y a dix ans, un incident op rationnel majeur mettait plusieurs heures à être d tect . Aujourd'hui, dans certaines banques, un modèle d'IA identifie une anomalie de flux de paiement en quelques secondes, la corrèle avec des dizaines de signaux faibles, et alerte l' quipe de contrôle permanent avant même qu'un client ne s'en aperçoive. Ce basculement n'est pas anecdotique : il red finit la nature même du m tier de gestionnaire des risques. Mais cette même technologie qui d tecte la fraude en temps r el peut aussi se tromper en toute confiance, halluciner un chiffre inexistant dans un rapport r glementaire, ou reproduire un biais discriminatoire à grande chelle. L'IA n'est donc ni un simple outil d'efficacit , ni une menace à carter par principe. C'est un nouveau territoire de risque op rationnel à part entière, qui doit être gouvern avec la même rigueur que le risque de cr dit ou le risque de march . C'est pr cis ment cette double lecture — acc l rateur de r silience et risque mergent — qui doit structurer la r flexion des dirigeants bancaires en 2026. Pourquoi l'IA devient incontournable dans les banques Plusieurs pressions convergentes expliquent l'acc l ration actuelle. La pression r glementaire s'intensifie. DORA impose depuis janvier 2025 un cadre strict de gestion du risque ICT, de reporting d'incidents et de tests de r silience op rationnelle num rique pour l'ensemble des entit s financières europ ennes. En parallèle, le règlement europ en sur l'IA (AI Act) est entr en vigueur en août 2024, avec des obligations de plus en plus contraignantes pour les systèmes d'IA à haut risque — dont plusieurs cas d'usage bancaires (scoring de cr dit, valuation de risque) relèvent directement. Les banques doivent d sormais d montrer, preuves à l'appui, qu'elles maîtrisent leurs modèles. La cybercriminalit et la fraude se sophistiquent. Selon les donn es cit es par Deloitte, les pertes li es à la fraude d'identit dans les services financiers ont atteint 12,5 milliards de dollars en 2024, en hausse de 25 % par rapport à 2023, port es notamment par les identit s synth tiques. L'activit frauduleuse aurait progress d'environ 21 % entre 2024 et 2025, avec d sormais une tentative de v rification sur vingt signal e comme potentiellement frauduleuse. Plus pr occupant encore : plus de la moiti des fraudes impliqueraient aujourd'hui une composante IA (deepfakes, identit s synth tiques, hameçonnage automatis ), un ph nomène qui pourrait porter les pertes li es à la fraude g n r e par IA à 40 milliards de dollars d'ici 2027. Les coûts op rationnels restent sous tension. McKinsey estime que les fonctions op rationnelles mobilisent entre 50 % et 60 % des quivalents temps plein d'une banque type, ce qui en fait un terrain naturel de transformation par l'IA, juste après la technologie et l'ing nierie. Les donn es explosent, et avec elles la capacit — ou l'incapacit — des banques à les exploiter en temps r el pour d tecter les signaux de risque. Les attentes des clients voluent vers une exp rience instantan e, personnalis e et sans friction, y compris dans la gestion des r clamations, des alertes de fraude ou des interactions avec les quipes de conformit . Les principaux cas d'usage dans le risque op rationnel D tection de fraude. Les moteurs de machine learning analysent des millions de points de donn es par transaction pour rep rer des sch mas anormaux, remplaçant progressivement les règles statiques historiques. D'après une enquête Mastercard men e avec Financial Times Longitude, 42 % des metteurs et 26 % des acqu reurs d clarent avoir vit plus de 5 millions de dollars de pertes de fraude sur deux ans grâce à l'IA, et 80 % des organisations estiment que l'IA a permis de r duire les contrôles manuels inutiles. Lutte contre le blanchiment (AML). Les modèles d'IA croisent des volumes massifs de transactions avec des bases de sanctions, des donn es de b n ficiaires effectifs et des sch mas comportementaux. Un exemple souvent cit dans l'industrie est celui d'un grand groupe bancaire international ayant d ploy une solution d'IA capable de surveiller plusieurs centaines de millions de transactions mensuelles sur des dizaines de millions de comptes, pour d tecter des r seaux de blanchiment que les approches traditionnelles peinaient à identifier. Surveillance des transactions et scoring des risques. Des modèles pr dictifs attribuent en continu un score de risque dynamique à chaque client, chaque transaction ou chaque contrepartie, permettant un pilotage proactif plutôt que r actif. Gestion des incidents op rationnels. Des systèmes d'IA classifient automatiquement les incidents, en valuent la s v rit , et orientent les quipes vers la bonne proc dure de rem diation — r duisant les d lais de d tection et de r solution. Analyse pr dictive et contrôles permanents. L'IA identifie des tendances de d rive avant qu'elles ne deviennent des incidents av r s, renforçant la première ligne de d fense. OCR intelligent et analyse documentaire. Les banques automatisent la lecture, la classification et l'extraction d'informations à partir de contrats, de dossiers KYC ou de justificatifs, r duisant drastiquement les d lais de traitement manuel. G n ration automatique de rapports r glementaires. Des outils d'IA g n rative assistent d sormais la r daction des rapports COREP, FINREP ou des dossiers de contrôle interne, en s'appuyant sur des donn es structur es et une supervision humaine. IA g n rative pour les quipes Risk et Compliance. Des « experts virtuels » internes permettent aux quipes de poser des questions en langage naturel sur les politiques internes, la r glementation ou l'historique des incidents, acc l rant la prise de d cision sans remplacer le jugement humain. Les opportunit s : une transformation mesurable Les gains ne sont plus th oriques. McKinsey value à environ 2 000 milliards de dollars la valeur annuelle totale que l'IA g n rative et l'analytique avanc e pourraient cr er dans le secteur bancaire mondial, en combinant productivit , r duction des risques et nouveaux revenus. Autre donn e significative : 70 % des banques commerciales auraient d jà adopt l'IA dans au moins une fonction cœur de m tier, et 78 % des tablissements ayant investi dans l'IA constateraient un retour sur investissement positif en moins de dix-huit mois. Concrètement, les opportunit s se d ploient sur plusieurs axes : Anticipation renforc e des risques, grâce à une surveillance continue plutôt que ponctuelle. R duction des pertes op rationnelles, par une d tection plus rapide et plus pr cise des anomalies. Qualit accrue des contrôles, avec une couverture exhaustive plutôt qu'un chantillonnage. Acc l ration des investigations, l'IA pr qualifiant les dossiers avant intervention humaine. Optimisation des coûts, notamment sur les tâches à faible valeur ajout e. R silience op rationnelle am lior e, condition d sormais explicitement attendue par les r gulateurs europ ens. Selon le rapport Deloitte sur l'adoption de l'IA dans les institutions financières europ ennes, 94 % des grandes banques et 62 % des petites banques utilisaient d jà l'IA g n rative en 2025, avec la d tection de fraude — AML et KYC compris — comme cas d'usage le plus r pandu, cit par 58 % des banques interrog es. Les dangers et les limites : l'envers du d cor Ces b n fices ne doivent pas occulter une r alit plus inconfortable : l'IA introduit une nouvelle classe de risques, à la fois techniques, thiques et juridiques. Les hallucinations restent un enjeu central pour l'IA g n rative : un modèle peut produire une r ponse plausible mais factuellement fausse, avec un niveau de confiance trompeur — un risque majeur lorsqu'il s'agit de rapports r glementaires. Les biais algorithmiques peuvent reproduire, voire amplifier, des discriminations historiques pr sentes dans les donn es d'entraînement, exposant la banque à un risque de non-conformit et r putationnel. Le manque d'explicabilit de certains modèles complexes complique la justification des d cisions auprès des r gulateurs, des clients et des auditeurs. La d pendance technologique et le risque fournisseur s'accroissent à mesure que les banques externalisent une partie de leurs capacit s d'IA à des tiers, cr ant une nouvelle forme de concentration du risque op rationnel. La cybers curit et la confidentialit des donn es deviennent des enjeux critiques : les modèles d'IA constituent eux-mêmes une nouvelle surface d'attaque. L'obsolescence des modèles, la d rive des performances dans le temps, et les erreurs de d cision qui en d coulent, exigent une surveillance continue plutôt qu'une validation ponctuelle. La responsabilit juridique reste souvent floue lorsqu'une d cision automatis e cause un pr judice. Une gouvernance insuffisante demeure, selon McKinsey, l'un des principaux freins à une adoption responsable : le niveau moyen de maturit en IA responsable a certes progress (de 2,0 à 2,3 sur une chelle de maturit entre 2025 et 2026), mais seul un tiers environ des organisations atteint un niveau de maturit lev en matière de strat gie et de gouvernance. Enfin, l'IA est d sormais aussi une arme entre les mains des fraudeurs — deepfakes, voix synth tiques, documents falsifi s — ce qui transforme la lutte antifraude en course technologique permanente. Ce qu'attendent les r gulateurs Le paysage r glementaire se densifie rapidement autour de l'IA bancaire : AI Act europ en : entr en vigueur en août 2024, il impose aux systèmes d'IA à haut risque — dont plusieurs usages bancaires comme le scoring de cr dit — des obligations de gestion des risques, de gouvernance des donn es, de documentation technique, de supervision humaine et de surveillance post-d ploiement. Le calendrier pr cis de mise en application de ces obligations pour le secteur financier continue d' voluer dans le cadre des discussions sur le « Digital Omnibus » europ en, ce qui impose une veille r glementaire active. DORA : en vigueur depuis janvier 2025, il impose un cadre de gestion du risque ICT, un registre des prestataires tiers, un reporting d'incidents et des tests de r silience — et couvre explicitement les systèmes d'IA en tant qu'actifs ICT. Bâle III/IV, ECB, EBA : ces cadres prudentiels intègrent progressivement des attentes sur la gouvernance des modèles, y compris ceux fond s sur l'IA, dans la continuit du risk management model existant (SR 11-7 et quivalents). ISO/IEC 42001 et NIST AI RMF : ces r f rentiels internationaux, bien que non contraignants juridiquement en Europe, deviennent des standards de facto pour structurer un système de management de l'IA et d montrer une gouvernance robuste face aux superviseurs. Le message commun de ces cadres est sans ambiguït : l'autonomie croissante des systèmes d'IA doit s'accompagner d'une supervision humaine renforc e, pas all g e. Bonnes pratiques : bâtir une gouvernance de l'IA qui inspire confiance Une gouvernance responsable de l'IA dans le risque op rationnel repose sur des piliers d sormais bien identifi s par l'industrie : Un comit IA transverse, associant Risk, Compliance, IT et m tiers, avec un mandat clair de validation des cas d'usage. Une politique IA formalis e, d finissant les usages autoris s, interdits et soumis à validation renforc e. Un registre des modèles, recensant chaque système d'IA, sa finalit , son niveau de risque, ses donn es d'entr e et son propri taire responsable. Une validation ind pendante des modèles, r alis e par une quipe distincte de celle qui les a d velopp s, incluant tests de robustesse et analyse d' quit . Une supervision humaine effective, en particulier sur les d cisions à fort impact (cr dit, fraude, conformit ). Une gestion active des biais, avec des tests r guliers sur des donn es repr sentatives. Des indicateurs de performance et de d rive, suivis dans la dur e et non uniquement lors de la mise en production. Un audit r gulier des modèles, int gr au plan d'audit interne global. Une documentation exhaustive, condition sine qua non pour satisfaire simultan ment les exigences de l'AI Act et de DORA. Un plan de formation des quipes Risk, Compliance et m tiers à la compr hension — non à l'ing nierie — des systèmes d'IA qu'elles supervisent. Le rôle du Risk Manager de demain La fonction risque op rationnel est en train de se transformer en profondeur. Le Risk Manager de demain devra conjuguer plusieurs identit s : AI Risk Manager, capable d' valuer le risque sp cifique d'un système d'IA, au-delà des cat gories traditionnelles. Data-driven Risk Manager, à l'aise avec l'exploitation de donn es massives et h t rogènes. Sp cialiste du Continuous Risk Monitoring, pilotant des dispositifs de surveillance en temps r el plutôt que des contrôles p riodiques. Acteur du Model Risk Management, appliquant aux modèles d'IA la même rigueur m thodologique que celle historiquement r serv e aux modèles de cr dit ou de march . Contributeur actif de l'AI Governance, aux côt s des fonctions juridiques, techniques et m tiers. Les comp tences attendues voluent en cons quence : compr hension des principes du machine learning, culture r glementaire IA, capacit à dialoguer avec les quipes data science, et surtout un sens critique renforc face aux r sultats produits par les systèmes automatis s. Tableau synth tique : opportunit s et risques de l'IA dans le risque op rationnel bancaire Dimension Opportunit s Risques D tection de fraude Identification en temps r el, r duction des faux positifs Fraude assist e par IA, deepfakes Conformit r glementaire Automatisation des rapports, gain de temps Hallucinations, erreurs non d tect es Prise de d cision Aide à la d cision, scoring dynamique Biais algorithmiques, manque d'explicabilit Coûts R duction des tâches manuelles à faible valeur Coûts d'impl mentation et de gouvernance lev s R silience op rationnelle Surveillance continue, d tection pr coce D pendance technologique, risque fournisseur R glementation Cadres structurants (AI Act, DORA) Complexit de mise en conformit multi-r gimes Capital humain Mont e en comp tences, nouveaux rôles R sistance au changement, dilution des responsabilit s Conclusion : une transformation à piloter, pas à subir L'Intelligence Artificielle ne constitue ni une baguette magique ni une menace existentielle pour la gestion du risque op rationnel bancaire. Elle est un acc l rateur puissant, à condition d'être encadr e par une gouvernance à la hauteur de sa capacit de transformation. L'IA ne remplacera probablement pas les gestionnaires des risques. En revanche, les gestionnaires des risques qui maîtrisent l'IA remplaceront ceux qui l'ignorent. Les tablissements qui sauront conjuguer ambition technologique, rigueur de gouvernance et conformit r glementaire ne se contenteront pas de r duire leurs pertes op rationnelles : ils construiront un avantage concurrentiel durable, fond sur la confiance. Cinq enseignements cl s L'adoption de l'IA dans le risque op rationnel bancaire n'est plus une option diff renciante : elle devient un standard de march . Les gains les plus tangibles se concentrent aujourd'hui sur la fraude, l'AML et l'automatisation des contrôles. Les risques introduits par l'IA — biais, hallucinations, d pendance fournisseur — appartiennent pleinement au p rimètre du risque op rationnel et doivent être trait s comme tels. AI Act et DORA imposent d sormais un double cadre de conformit qui exige une documentation et une gouvernance int gr es, et non juxtapos es. Le Risk Manager de demain sera autant un expert en gouvernance qu'un interlocuteur cr dible des quipes data et technologie. Et vous, où en est votre organisation dans la structuration de sa gouvernance IA appliqu e au risque op rationnel ? Quels cas d'usage avez-vous d jà d ploy s, et quels obstacles rencontrez-vous ? Partagez votre retour d'exp rience en commentaire — cet change nourrit une r flexion collective dont notre secteur a besoin. Sources cit es : McKinsey & Company (State of AI Trust 2026 ; Global Banking Annual Review 2026 ; Banking’s AI angst) ; Deloitte (AI Adoption in Financial Institutions — EMEA MRM Survey 2025 ; 2026 Banking & Capital Markets Outlook) ; Mastercard / Financial Times Longitude (2025 Payment Fraud Prevention Report) ; Commission europ enne (AI Act) ; r glementation DORA (UE 2022/2554).

by Youness El Kandoussi | 4 days ago | 0 Comment(s) | 20 Share(s) | Tags :


BRICS, (Brazil, Russia, India, China, and South Africa), was established on June 16, 2009, with the primary objective of reducing member nations' dependence on the Western economy. Notably, BRICS collectively represents 25% of the world's total economic output, covers 26.7% of the world's surface area, comprises 41.5% of the global population, and boasts a combined GDP of $25 trillion. And now we know why people are fascinated by BRICS.Upon closer examination, it becomes evident that South Africa stands as the weakest member. Meanwhile, Brazil contends with an alarmingly high interest rate of 13.25%, and Russia remains embroiled in a protracted conflict that was initially expected to last no longer than two months but has now persisted for a year and a half, leading to a host of sanctions. In contrast, India appears to hold the most promising long-term potential within BRICS, and China's impressive, meritocratic GDP cannot be overlooked.However, skepticism lingers regarding BRICS' ability to fully meet global expectations, driven by factors extending beyond economic considerations. One pressing concern centers on the significant conflict between BRICS' heavyweight members, China and India, particularly in the heavily militarized Tibet region. Recent events, such as those in the Galwan Valley, have amplified these tensions (https://lnkd.in/epYzuYpM).Additionally, the recent inclusion of new members within BRICS, including KSA, UAE, Argentina, Egypt, Iran, and Ethiopia, raises questions. While KSA and UAE demonstrate economic strength, Argentina grapples with staggering hyperinflation at 113.40%. Egypt's economic performance, marked by high inflation and a soaring interest rate of 19.25%, is concerning, and its national currency has seen a significant depreciation from $0.10 in 2008 to just $0.032 in 2023. Meanwhile, Iran struggles under sanctions.Amidst these uncertainties, my skepticism regarding BRICS' prospects remains unwavering. I believe that the recent recruitment of new members has extinguished the last opportunity for BRICS to thrive. Photo Credits to visualcapitalist.com

by Badr Elhamzaoui | 2 years ago | 0 Comment(s) | 1095 Share(s) | Tags :


Context In the last few days, several businesses, including aviation and banking sectors, experienced significant disruptions due to issues with Microsoft services. This outage affected various cloud-based services, including Microsoft 365, Azure, and Teams. The interruptions were caused by a combination of network configuration changes and infrastructure issues within Microsoft's global network (https://www.reedsmith.com/en/perspectives/2024/02/business-interruption-claims-in-2024-a-global-perspective) (https://status.cloud.microsoft/#:~:text=URL%3A%20https%3A%2F%2Fstatus,100). The outage highlighted the increasing reliance of global industries on cloud services and the significant impact such disruptions can have on business operations, from communication breakdowns to halted transactions (https://www.businesswire.com/news/home/20240116375142/en/Allianz-Risk-Barometer-A-Cyber-Event-Is-the-Top-Global-Business-Risk-for-2024). While Microsoft worked to resolve the issues, it underscored the importance of robust cyber risk management and contingency planning in mitigating the effects of such outages (https://www.nortonrosefulbright.com/en/knowledge/publications/20530078/the-cyber-risks-faced-by-the-aviation-industry---ten-things-to-know). The recent Microsoft outages, which disrupted services like Microsoft 365, Teams, and Outlook, were primarily caused by a series of technical and security issues. Initially, Microsoft identified that a "wide-area networking (WAN) routing change" led to connectivity problems. This change triggered issues with network latency and timeouts, affecting how packets were forwarded across Microsoft's global network. This impacted users' ability to access various cloud services, including Azure, SharePoint, and OneDrive (https://www.bankinfosecurity.com/microsoft-365-cloud-service-outage-disrupts-users-worldwide-a-21017) (https://www.techradar.com/news/this-is-what-caused-the-recent-huge-microsoft-365-and-teams-outage). Additionally, Microsoft faced cyber risks, particularly distributed denial-of-service (DDoS) attacks. These attacks, launched by a group known as Storm-1359, aimed to disrupt services by overwhelming Microsoft's infrastructure with malicious traffic. The DDoS attacks targeted layer 7 of the OSI model, affecting HTTP(S) traffic and causing resource exhaustion and slowdowns (https://msrc.microsoft.com/blog/2023/06/microsoft-response-to-layer-7-distributed-denial-of-service-ddos-attacks/). To mitigate these issues, Microsoft rolled back the problematic network changes and implemented additional protections to prevent similar disruptions in the future. These measures included enhancing their Web Application Firewall (WAF) and adding stricter controls on network command executions to avoid unintended consequences from network changes (https://www.bankinfosecurity.com/microsoft-experiences-second-major-cloud-outage-in-2-weeks-a-21134) (https://www.techradar.com/news/this-is-what-caused-the-recent-huge-microsoft-365-and-teams-outage). In recent days, significant disruptions in Microsoft services have caused major headaches for businesses worldwide. Industries ranging from aviation to banking found themselves grappling with unexpected downtime, impacting critical operations and highlighting a growing reliance on cloud-based services. This article explores whether Microsoft should be held legally accountable for failing to ensure business continuity for its global customers. The Outage and Its Impacts The recent Microsoft outages affected a range of cloud services, including Microsoft 365, Azure, and Teams. These disruptions were triggered by a combination of network configuration changes and infrastructure issues within Microsoft’s global network. Specifically, a "wide-area networking (WAN) routing change" led to severe connectivity problems. This change caused network latency and timeouts, disrupting the forwarding of data packets across Microsoft's global network. As a result, users experienced significant issues accessing cloud services such as Azure, SharePoint, and OneDrive. In addition to technical glitches, Microsoft also faced cyber threats, particularly distributed denial-of-service (DDoS) attacks. A group known as Storm-1359 targeted Microsoft’s infrastructure with malicious traffic, aiming to exhaust resources and slow down services. These attacks impacted layer 7 of the OSI model, affecting HTTP(S) traffic and causing further disruptions. The Importance of Business Continuity These outages underscore the critical role that cloud services play in modern business operations. From communication breakdowns to halted transactions, the ripple effects of such disruptions can be severe. The aviation and banking sectors, in particular, experienced significant operational impacts, illustrating the high stakes involved. As businesses increasingly rely on cloud services for their day-to-day operations, the importance of robust cyber risk management and contingency planning becomes more apparent. Legal and Ethical Considerations Given the scale and impact of these disruptions, the question arises: should Microsoft be sued for not ensuring business continuity? On one hand, businesses rely on service level agreements (SLAs) with cloud providers like Microsoft to guarantee a certain level of uptime and reliability. When these expectations are not met, it can lead to substantial financial losses and operational challenges. Businesses may argue that Microsoft failed to uphold its end of the agreement, warranting legal action to recover damages. On the other hand, the complexity of managing a global cloud infrastructure means that occasional outages are inevitable. Microsoft did take immediate steps to mitigate the issues, rolling back problematic network changes and enhancing protections against future disruptions. These efforts demonstrate a commitment to resolving the issues and improving service reliability. Cyber Risk Management and Contingency Planning The outages highlight the need for businesses to adopt comprehensive cyber risk management strategies and contingency plans. Relying solely on a single cloud provider can expose businesses to significant risks. Diversifying cloud services and implementing robust backup systems can help mitigate the impact of such outages. Additionally, regular testing and updating of contingency plans can ensure that businesses are better prepared to handle unexpected disruptions. Conclusion While the recent Microsoft outages have caused significant disruptions, suing the tech giant may not be the most effective solution. Instead, businesses should focus on enhancing their own cyber risk management and contingency planning efforts. By diversifying cloud services and implementing robust backup systems, businesses can better protect themselves against future outages. At the same time, cloud providers like Microsoft must continue to improve their infrastructure and security measures to minimize the risk of such disruptions and maintain customer trust. The recent events serve as a stark reminder of the interconnected nature of modern business operations and the importance of resilience in the face of unexpected challenges. References https://www.reedsmith.com/en/perspectives/2024/02/business-interruption-claims-in-2024-a-global-perspective https://status.cloud.microsoft/#:~:text=URL%3A%20https%3A%2F%2Fstatus,100). (https://www.businesswire.com/news/home/20240116375142/en/Allianz-Risk-Barometer-A-Cyber-Event-Is-the-Top-Global-Business-Risk-for-2024 https://www.nortonrosefulbright.com/en/knowledge/publications/20530078/the-cyber-risks-faced-by-the-aviation-industry---ten-things-to-know https://www.bankinfosecurity.com/microsoft-365-cloud-service-outage-disrupts-users-worldwide-a-21017 https://www.techradar.com/news/this-is-what-caused-the-recent-huge-microsoft-365-and-teams-outage https://msrc.microsoft.com/blog/2023/06/microsoft-response-to-layer-7-distributed-denial-of-service-ddos-attacks/

by Youness El Kandoussi | 1 year ago | 0 Comment(s) | 1074 Share(s) | Tags :