Merci de désactiver le bloqueurs de pub pour visualiser cette vidéo.
  • Accueil
  • Actualités & publications
  • Actualités
  • Résilience cyber : l'AMF appelle les acteurs financiers à renforcer leurs dispositifs face à l’évolution rapide des menaces liées à l’intelligence artificielle
Résilience cyber : l'AMF appelle les acteurs financiers à renforcer leurs dispositifs face à l’évolution rapide des menaces liées à l’intelligence artificielle
03 juin 2026

Résilience cyber : l'AMF appelle les acteurs financiers à renforcer leurs dispositifs face à l’évolution rapide des menaces liées à l’intelligence artificielle

La résilience opérationnelle des acteurs financiers régulés, et en particulier leur résilience face au risque cyber, constitue une priorité stratégique de l’Autorité des marchés financiers. Dans ses priorités d’action 2026, l’AMF a inscrit l’anticipation des nouveaux risques et la résilience opérationnelle des professionnels régulés parmi ses axes d’action prioritaires.

Cette priorité prend une importance particulière dans un contexte de transformation rapide des risques numériques. Les progrès récents de certains modèles d’intelligence artificielle, spécialisés ou mobilisables à des fins de cybersécurité ou d’attaque informatique, sont susceptibles d’accélérer l’identification de vulnérabilités, de faciliter leur exploitation et, plus généralement, de contribuer à une forme d’industrialisation des campagnes malveillantes. Si l’intelligence artificielle peut également renforcer les capacités de détection, d’analyse et de réponse aux incidents, son développement rapide impose aux acteurs financiers d’adapter leurs dispositifs de maîtrise des risques. Face à ces enjeux, l’AMF est et sera proactive dans l’ensemble de ses champs d’intervention, de sa contribution aux travaux internationaux à son action nationale d’information, d’accompagnement et de supervision des entités financières sous sa compétence.

Actions européennes et internationales

L’AMF contribue activement aux travaux des différentes instances réunissant les régulateurs du secteur financier afin d’anticiper les risques émergents, de favoriser le partage d’analyses et de contribuer à une réponse coordonnée des autorités. Elle est notamment mobilisée au sein de l’OICV — en particulier au sein de son Financial Stability Engagement Group, coprésidé par la présidente de l’AMF et le directeur général de la Financial Conduct Authority britannique —, du Comité européen du risque systémique, du Conseil de stabilité financière et du G7 Cyber Expert Group.

Actions de sensibilisation et de supervision, contrôles

L’AMF supervise le respect, par les entités relevant de sa compétence, c’est-à-dire les sociétés de gestion de portefeuille, les prestataires de services sur crypto-actifs, les prestataires de services de financement participatif et les infrastructures de marché, du règlement 2022/2554 dit « DORA » sur la résilience opérationnelle numérique dans le secteur financier, applicable depuis le 17 janvier 2025. Ce texte impose un certain nombre d’obligations aux acteurs du secteur financier, qui doivent, notamment, identifier les processus et systèmes critiques ou importants de leur entité, mettre en place des stratégies d’atténuation des risques de cybersécurité, instaurer un cadre exigeant de gestion des incidents cyber, réaliser des tests de résilience opérationnelle numérique et gérer le « risque de tiers » (prestataires de services informatiques et numériques en particulier).

Les autorités européennes de surveillance publieront très prochainement un rapport sur les incidents majeurs recensés par les autorités nationales compétentes au titre de ce règlement. L’AMF publiera à la suite un premier bilan de la mise en œuvre du texte, centré sur les entités financières françaises relevant de sa supervision. Cette publication aura vocation à partager, dans une logique pédagogique et de sensibilisation, les principaux enseignements issus des déclarations reçues, les typologies d’incidents observées et les points de vigilance utiles pour l’ensemble des acteurs. 

Par ailleurs, conformément à ses priorités d’action 2026, l’AMF mènera, au second semestre 2026, différentes actions de sensibilisation auprès des sociétés de gestion de portefeuille, des prestataires de services de financement participatif et des prestataires de services sur crypto-actifs, notamment dans le cadre d’un webinaire pédagogique à destination des professionnels prévu le 1er juillet. A compter de juillet elle interrogera également ces acteurs sur les mesures prises ou envisagées face aux risques spécifiquement liés aux modèles d’IA, afin d’apprécier dans quelle mesure ces risques sont intégrés dans leurs dispositifs de gestion du risque cyber ainsi que dans leurs processus d’identification, de détection et de correction des vulnérabilités. L’Autorité restera attentive à la proportionnalité de ses attentes et adoptera une approche fondée sur les risques. Elle publiera à l’automne les résultats de cette enquête et en tirera, le cas échéant, les conséquences utiles pour sa pratique de supervision.

L’AMF poursuivra également ses contrôles portant sur la cybersécurité des entités régulées de son champ de compétence, afin de s’assurer de la protection des données des clients, de la qualité des dispositifs de prévention, de détection, de gestion et de remédiation des incidents cyber, et, plus spécifiquement, des dispositifs mis en place face à l’évolution de la menace posée par les capacités de l’intelligence artificielle.

Recommandations de l’Autorité

L’AMF rappelle que la cybersécurité est un enjeu majeur en termes de protection des investisseurs, de continuité des services financiers et, plus largement, de confiance dans le bon fonctionnement des marchés. Les dirigeants des entités régulées doivent donc s’assurer que les risques cyber sont identifiés, suivis au bon niveau, testés régulièrement et intégrés aux dispositifs de contrôle interne et de gestion des risques. L’Autorité invite les acteurs placés sous sa supervision à se référer aux bonnes pratiques reconnues, notamment celles de l’ANSSI en matière d’hygiène informatique, ainsi qu’aux exigences du cadre DORA et aux normes techniques, orientations et publications des autorités européennes de supervision. Ces bonnes pratiques consistent notamment à :

  • maintenir une cartographie robuste des systèmes, des données et des prestataires critiques, à maîtriser les accès ;
  • sécuriser la confidentialité des données, notamment au moyen de mécanismes cryptographiques adaptés à l’état de la menace ;
  • appliquer les correctifs de sécurité dans des délais désormais fortement accélérés, en phase avec l’évolution des menaces ;
  • sauvegarder et tester fréquemment le bon fonctionnement des procédures de restauration des systèmes et données ;
  • former les collaborateurs aux menaces courantes ;
  • déployer des mécanismes de détection des événements de cybersécurité ;
  • tester régulièrement les dispositifs de réponse aux incidents ;
  • réaliser ou faire réaliser, le cas échéant par des auditeurs qualifiés PASSI, des audits de sécurité techniques sur les ressources critiques (y compris, lorsque c’est pertinent, via des exercices dits de « red teaming ») ;
  • intégrer les risques liés à l’IA dans les scénarios de cybersécurité ;
  • mener des exercices de gestion de crise cyber.
S'abonner à nos alertes et flux RSS
10 juin 2026
Liste des PSFP ayant fait l’objet d’un retrait d’agrément par l'AMF Liste des PSFP ayant fait l’objet d’un retrait d’agrément par l'AMF
09 juin 2026
Rencontre semestrielle des autorités administratives et publiques indépendantes : l'IA au service de la régulation Rencontre semestrielle des autorités administratives et publiques indépendantes : l'IA au service de la régulation
09 juin 2026
Comment la gouvernance des sociétés cotées tient-elle compte de l’intelligence artificielle, la cybersécurité et la géopolitique ? C’est ce sur quoi l’AMF décide de se… Comment la gouvernance des sociétés cotées tient-elle compte de l’intelligence artificielle, la cybersécurité et la géopolitique ? C’est ce sur quoi l’AMF décide de se pencher en 2026 dans son rapport sur le gouvernement d’entreprise