noodls browser compatibility check

The security settings of your browser are blocking the execution of scripts.

To use noodls, javascript support must be enabled. Please change your browser's security settings to enable javascript.

If you have changed your browser's security settings, you can click here.

related announcements

News

The Goldman Sachs Group Inc.

Primary Offering Prospectus (Form 424B2)
The Office of the Governor of the[...]

Governor Ivey Announces Approval of Final BEAD Broadband Proposal,[...]
Presidency of the Dominican Republic

Primera dama participará en encuentro internacional sobre el futuro[...]

FINTRAC - Financial Transaction and Reports Analysis Centre of Canada

03/23/2026 | Press release | Distributed by Public on 03/23/2026 11:49

Deuxième édition du FIASSF : Risques et possibilités liés à l’IA : Adoption d’un cadre AGILE dans les services financiers canadiens

Le contenu du présent rapport reflète les points de vue et les idées des conférenciers et des participants du FIASSF. Le rapport ne doit pas être interprété comme une orientation de la part de la Banque du Canada, du ministère des Finances Canada, de l'Agence de la consommation en matière financière du Canada, du Centre d'analyse des opérations et déclarations financières du Canada, du Bureau du surintendant des institutions financières ou de tout autre organisme de réglementation, et il ne reflète pas nécessairement les points de vue actuels ou futurs de ces entités.

Avant-propos

Cette phase du FIASSF vise à mieux comprendre la façon dont les technologies d'intelligence artificielle transforment le secteur d'aujourd'hui et de demain. Il s'agit tout autant de saisir les occasions que d'élaborer des stratégies efficaces de gestion des risques liés à l'intelligence artificielle, deux éléments de plus en plus importants pour le secteur. [Traduction libre]

Trois ans se sont écoulés depuis que le Bureau du surintendant des institutions financières (BSIF) et le Global Risk Institute (GRI) ont lancé le Forum sur l'intelligence artificielle dans le secteur des services financiers (FIASSF), qui réunit des experts du secteur financier, du milieu universitaire et des organismes de réglementation ainsi que des décideurs.

Aujourd'hui, le rythme rapide de l'évolution technologique et de l'adoption de l'intelligence artificielle (IA) met en évidence la nécessité d'une collaboration renouvelée entre les secteurs public et privé, ce qui a mené à la phase II du FIASSF, dont l'objectif général est composé des deux points suivants :

Approfondir notre compréhension de la façon dont les technologies d'IA changent les possibilités et les menaces pour le système financier et les consommateurs de produits et services financiers;
Discuter des pratiques exemplaires et des stratégies efficaces de gestion des risques liés à l'IA pour apprendre à renforcer la résilience des organisations individuelles, des protections du bien-être des consommateurs et du système financier.

Ce rapport final de la deuxième édition du FIASSF décrit les risques et les possibilités liés à l'IA soulevés lors des ateliers du forum et présente le cadre AGILE qui aidera les intervenants du secteur financier à faire face à l'évolution des répercussions de l'IA.

Les organisateurs souhaitent exprimer leur profonde gratitude aux plus de 170 participants qui ont fait connaître leur point de vue tout au long des discussions lors de la deuxième édition du FIASSF. Parmi les participants figuraient des représentants de banques, des assureurs, des gestionnaires d'actifs, des sociétés non financières, des défenseurs des droits des consommateurs, des universités, des instituts de recherche, des organismes gouvernementaux et des organismes de réglementation. Tous se sont engagés à trouver un juste équilibre entre les possibilités et les risques inhérents à la progression continue de l'IA au sein des services financiers et dans le contexte plus vaste qui touche le secteur.

Global Risk Institute

Bureau du surintendant des institutions financières

Ministère des Finances Canada

Centre d'analyse des opérations et déclarations financières du Canada

Agence de la consommation en matière financière du Canada

Banque du Canada

Renseignements généraux

La première phase des discussions abordées durant le FIASSF portait sur les risques internes associés au développement, au déploiement et à l'utilisation de l'IA au sein des institutions financières. Selon le rapport de la première édition du FIASSF, Une perspective canadienne sur l'intelligence artificielle responsable,^{Note de bas de page 1} les principes EDGE (Explicabilité, Données, Gouvernance et Éthique) sont les piliers d'une adoption responsable de l'IA dans l'ensemble du secteur financier. Le rapport encourage l'adoption de règlements harmonisés qui reflètent les valeurs canadiennes tout en favorisant l'innovation. Le respect des principes EDGE implique une explicabilité et une divulgation appropriées; des approches axées sur le consommateur qui respectent les valeurs éthiques et protègent la vie privée; et une gouvernance solide fondée sur le risque appuyée par de saines pratiques en matière de données et une collaboration multidisciplinaire^{Note de bas de page 2}.

Les participants étaient d'avis que les institutions financières canadiennes se sont généralement alignées sur les principes EDGE. Evident Insights, une entreprise indépendante qui analyse l'utilisation de l'IA dans le secteur bancaire^{Note de bas de page 3} et le secteur des assurances^{Note de bas de page 4}, a classé les cinq plus grandes banques du Canada et deux assureurs canadiens parmi les quinze premières organisations à l'échelle mondiale pour ce qui est de la transparence des activités d'IA responsable en 2025.

Depuis la première édition du FIASSF, les risques liés à l'IA ont dépassé la portée des principes EDGE en raison de l'adoption rapide de l'IA dans le secteur financier, des progrès technologiques importants et des répercussions croissantes de l'IA sur l'environnement de risque externe. C'est pourquoi, lors de la deuxième édition du FIASSF, des discussions approfondies ont été menées sur l'escalade des cybermenaces, le risque lié aux tiers, les répercussions sur le bien-être financier et la protection des consommateurs, la criminalité financière et les répercussions sur la stabilité financière.

La deuxième édition du FIASSF traduit bien l'engagement commun du secteur, du gouvernement et des organismes de réglementation à miser sur la collaboration pour réaliser des progrès. Entre mai et novembre 2025, quatre ateliers parrainés par le GRI conjointement avec le BSIF, le ministère des Finances, le Centre d'analyse des opérations et déclarations financières du Canada (CANAFE), l'Agence de la consommation en matière financière du Canada (ACFC) et la Banque du Canada ont permis aux participants d'examiner les risques, les mesures d'atténuation et les possibilités liés à l'IA. Les rapports provisoires portaient sur les sujets suivants :

Ce rapport final, éclairé par les ateliers respectifs et les points de vue des participants, décrit les risques critiques et affirme que l'adoption continue et responsable de l'IA est nécessaire à la fois pour la résilience concurrentielle et la gestion efficace des risques inhérents à l'IA ainsi que pour une défense accrue contre les menaces externes sophistiquées. Les principes EDGE demeurent le fondement d'une adoption responsable, tandis que la « souplesse » est apparue comme un thème central pour orienter un secteur qui doit évoluer de façon dynamique afin de permettre de saisir les avantages de l'IA tout en réagissant aux risques qui évoluent rapidement.

Sommaire

L'IA est une force de transformation à la fois impressionnante et potentiellement dangereuse. Son effet réel dépendra d'une innovation disciplinée et responsable ainsi que d'une solide collaboration sectorielle et internationale.

L'IA est en voie de transformer les services financiers à l'échelle mondiale, et redéfinit les modèles d'exploitation et la dynamique concurrentielle. L'automatisation et l'augmentation humaine peuvent accroître l'efficacité, améliorer les décisions et renforcer la compétitivité, mais seulement lorsque l'innovation s'aligne sur une gouvernance fondée sur des principes pour maintenir la confiance et la résilience. Le secteur financier canadien, qui dispose de solides bases de données et d'une culture disciplinée en matière de risque, est particulièrement bien placé pour orienter de manière responsable l'adoption de l'IA tout en favorisant une productivité et une croissance importantes. Parallèlement, l'IA transforme le paysage du risque, ce qui pourrait avoir des répercussions systémiques. Plus important encore, l'IA permet aux fraudeurs et aux cybercriminels de mener leurs activités à une vitesse, à une échelle et avec une sophistication sans précédent. Les institutions ont de plus en plus besoin d'IA non seulement pour soutenir la concurrence, mais aussi pour renforcer leurs défenses et leur gestion des risques.

Les discussions de la deuxième édition du FIASSF ont fait ressortir un ensemble plus vaste de secteurs critiques qui nécessitent une attention particulière. Les institutions doivent gérer les risques stratégiques face aux pressions concurrentielles, aux risques d'exécution et aux défis de gouvernance liés à l'adoption rapide de l'IA. De plus, l'IA intensifie les menaces à la sécurité des organisations, qu'il s'agisse du harponnage automatisé ou de l'utilisation d'identités synthétiques visant à infiltrer les organisations dans le cadre du processus d'embauche. Les applications destinées aux consommateurs comportent leurs propres risques, car les lacunes en matière de transparence, d'explicabilité et de responsabilité peuvent exposer les consommateurs à des biais, à la fraude et à d'autres préjudices. En même temps, les pénuries de talents et le perfectionnement inégal des compétences peuvent ralentir l'innovation responsable. La dépendance croissante à l'égard d'un petit nombre de fournisseurs d'IA et à des chaînes d'approvisionnement en IA opaques accentue la fragilité systémique. De façon plus générale, les perturbations opérationnelles causées par l'IA, les comportements commerciaux corrélés et les répercussions potentielles du risque de crédit créent de nouveaux défis d'instabilité financière.

Dans cette optique, le rapport de la deuxième édition du FIASSF présente le cadre AGILE - Awareness (prise de conscience), Guardrails (garde-fous), Innovation (innovation), Learning (apprentissage), Ecosystem Resiliency (résilience des écosystèmes) - et suggère la mise en œuvre de priorités pour gérer les risques et saisir les occasions liées à l'IA :

Le secteur financier canadien se trouve à un moment charnière. Les choix stratégiques faits maintenant façonneront la concurrence, la résilience et la confiance pour les années à venir. Les avantages de l'IA sont à portée de main, mais seulement grâce à des mesures délibérées permettant d'établir l'équilibre entre l'innovation et une solide gestion des risques et la confiance des consommateurs.

En adoptant un cadre AGILE, le secteur peut renforcer la croissance tout en préservant la stabilité et le bien-être des consommateurs. C'est l'occasion pour le secteur financier canadien de jouer un rôle de chef de file dans l'innovation en matière d'IA et d'établir une norme nationale en matière de confiance, de sécurité et de productivité.

L'environnement en évolution des risques liés à l'IA

L'IA engendre de plus en plus de risques critiques, tant à cause de l'adoption croissante de l'IA au sein des institutions que des effets généraux de l'IA sur l'environnement de risque externe. L'urgence de gérer ces risques permet de reconnaître qu'une adoption responsable et continue de l'IA est nécessaire, tant pour assurer la résilience concurrentielle que pour se défendre contre les menaces plus sophistiquées liées à cette technologie. Bien que les risques décrits ci-dessous représentent un aperçu des risques au moment des ateliers, les intervenants du secteur s'attendent à ce que le paysage des risques évolue rapidement et de manière imprévue.

1. Risques stratégiques

Le plus grand risque est de ne pas en faire assez.

Rythme d'adoption : Adopter trop rapidement l'IA sans une gestion adéquate des risques peut entraîner des préjudices potentiels pour les activités et les consommateurs. À l'inverse, une approche trop lente peut entraîner des occasions manquées et des désavantages concurrentiels (par exemple, des perturbations potentielles causées par des entreprises technologiques et d'autres nouveaux venus).

Approche fragmentée ou à court terme : Une stratégie d'IA précipitée, incomplète ou rigide peut entraîner des lacunes importantes dans les données, les technologies, les infrastructures, les modèles d'affaires et les résultats pour les consommateurs (y compris la protection des consommateurs et leur bien-être financier). La mise en œuvre isolée de systèmes d'IA risque de créer des problèmes à long terme et augmente le risque d'exécution. Il s'agit souvent du résultat de déploiements poussés par l'engouement, où l'IA est adoptée sans planification stratégique à long terme appropriée ni mesures de réussite. Des attentes irréalistes de la part de la haute direction peuvent amplifier ce risque, tout comme le fait de se concentrer sur l'obtention de résultats rapides plutôt que sur l'intégration de l'IA à long terme.

Ressources limitées : L'adoption efficace de l'IA nécessite une expertise, une infrastructure et des capitaux importants. Un sous-investissement dans l'IA limite la capacité du secteur à détecter les cybermenaces, la fraude, les crimes financiers et les risques systémiques émergents. Cela réduit également les possibilités d'utiliser l'IA pour améliorer la productivité dans les activités de base et pour libérer des capacités de façon à accroître la valeur de la gestion des risques, de la supervision et de l'innovation. La concurrence pour les budgets d'investissement et de recherche et développement est féroce, les petites institutions et les entités du secteur public étant particulièrement mises à rude épreuve dans ce domaine.

Stratégie et qualité des données : La performance de l'IA dépend d'une stratégie de données efficace qui accorde la priorité à la gouvernance et à la qualité des données. Dans un rapport sur l'IA publié en 2024 par le BSIF et l'ACFC, les institutions financières fédérales ont indiqué que les risques liés aux données constituaient une des principales problématiques entourant le déploiement de l'IA^{Note de bas de page 5}. Des données incohérentes ou incomplètes et fragmentées entre les plateformes (y compris celles de tiers et de stockage à l'étranger) peuvent susciter des préoccupations accrues en matière de souveraineté des données, des risques d'atteinte à la vie privée des consommateurs et des défis en matière de surveillance réglementaire. Des flux de travail de données complexes sans traçabilité et gouvernance appropriées ne font qu'aggraver ces problèmes. La qualité inférieure aux normes des données mine les gains d'efficience et augmente la probabilité de résultats préjudiciables (p. ex. préjudice causé aux consommateurs, perte de confiance et défaillances dans les rapports sur la lutte contre le blanchiment d'argent).

Incertitude réglementaire liée à l'IA : La réglementation du secteur financier au Canada couvre 14 administrations, créant une multitude de lignes directrices, de règlements et de lois qui doivent être respectés, ce qui pourrait créer des coûts opérationnels indirects. De plus, de nombreuses institutions financières au Canada exercent également leurs activités à l'étranger. Bien que le nombre d'orientations propres à l'IA par les organismes de réglementation financière canadiens ait été limité, les institutions financières peuvent hésiter à investir dans l'IA et à la déployer s'il y a une incertitude perçue quant aux obligations de conformité ou à la possibilité de contraintes réglementaires futures.

2. Menaces à la sécurité et à la cybersécurité

L'intelligence artificielle permet une détection plus intelligente de la fraude, des enquêtes plus rapides et une conformité plus adaptative. Cependant, elle introduit également de nouveaux risques qui évoluent tout aussi rapidement que la technologie elle-même. [Traduction libre]

Piratage psychologique et fraude à l'identité synthétique : Comme l'a fait remarquer Michael Barr du Conseil des gouverneurs de la Réserve fédérale américaine en avril 2025 : « Les attaques d'hypertrucage se sont multipliées par vingt au cours des trois dernières années. »^{Note de bas de page 6} L'IA peut permettre de réaliser des hypertrucages percutants avec un minimum d'information, souvent obtenue sur les médias sociaux. L'essor de ces attaques a accru l'importance de l'identification et de l'authentification numériques sécurisées. Le Canada, comme la plupart des pays, ne dispose pas d'une identité numérique sécurisée universellement adoptée, de sorte que l'identité pourrait être une source d'attaque clé dans les environnements d'intégration, de canaux de consommation et de travail à distance. Dans un cas notable, les identités synthétiques générées par l'IA ont permis à des agents étrangers d'obtenir un emploi à distance dans des entreprises nord-américaines, ce qui leur a permis d'accéder à des systèmes et à des données internes^{Note de bas de page 7}.

Usurpation de la voix et fraude en tant que service : Une enquête menée en 2024 dans le secteur a révélé que 91 % des institutions financières dans le monde remettent en question les systèmes de vérification vocale en raison des capacités de clonage vocal de l'IA^{Note de bas de page 8}. Les centres d'appels et les services d'assistance informatique sont également vulnérables, car l'IA peut permettre de se faire passer pour des employés ou des clients de manière convaincante afin de demander de nouveaux appareils, de réinitialiser des mots de passe ou d'obtenir des identifiants d'accès. L'IA a également accéléré l'utilisation de la fraude en tant que service, grâce à laquelle les criminels peuvent acheter des outils clés en main alimentés par l'IA, ce qui augmente considérablement l'ampleur, la vitesse et la sophistication de la fraude financière.

Cyberattaques assistées par l'IA : L'IA permet aux auteurs de menaces d'automatiser, d'accélérer et de personnaliser plus facilement les cyberattaques. Les obstacles à l'accès sont moins élevés et les capacités sont plus grandes. Simultanément, la surface d'attaque globale s'est élargie à mesure que les institutions financières mettent en œuvre de plus en plus de systèmes d'IA orientés vers l'extérieur. Les vulnérabilités potentielles s'étendent aux organismes de réglementation et au gouvernement parce qu'ils possèdent des données sensibles importantes. Les groupes organisés peuvent utiliser l'IA pour intensifier les cyberopérations et les opérations de fraude et pour faciliter le blanchiment d'argent et le contournement de sanctions. Les agents de l'IA pourraient automatiser des attaques en plusieurs étapes de bout en bout, ce qui réduirait davantage les obstacles et leur ispermettrait de déployer des attaques à plus grande échelle. En 2025, la société d'intelligence artificielle Anthropic a fait savoir qu'elle avait interrompu une opération orchestrée par un groupe parrainé par un État dans le but de manipuler l'un des modèles de la société pour s'attaquer de façon autonome à des entreprises et des gouvernements^{Note de bas de page 9}.

Désinformation et mésinformation : La désinformation et la désinformation peuvent se répandre rapidement en raison de l'omniprésence des médias sociaux et de l'environnement politique de plus en plus polarisé. L'utilisation de l'IA peut permettre le déploiement à grande échelle d'une campagne de désinformation malveillante, qui pourrait ensuite être amplifiée par la désinformation. Par exemple, l'hypertrucage et les robots automatisés peuvent permettre de diffuser des allégations fausses ou trompeuses sur la solvabilité d'une banque, des mesures réglementaires ou la stabilité du système, des actions qui peuvent rapidement miner la confiance.

3. Risques pour les consommateurs

[Cet atelier] est une façon de vérifier que l'innovation sur les marchés financiers est non seulement tournée vers l'avenir et efficace, mais aussi fondée sur l'équité, la transparence et un engagement ferme envers la protection des consommateurs. [Traduction libre]

Confiance et bien-être des consommateurs : Les applications d'IA qui ont une incidence sur les consommateurs - comme les recommandations de produits, la prise de décision en matière de crédit, la souscription et les conseils en matière de placements - sont de plus en plus répandues. À mesure que de telles applications augmentent et deviennent de plus en plus intégrées aux activités internes des institutions financières canadiennes, les piliers de la confiance des consommateurs que sont la transparence, l'explicabilité et la responsabilisation prennent de plus en plus d'importance. De nombreux consommateurs ne savent peut-être pas quand l'IA est en cause ou peuvent s'interroger sur la façon dont ces systèmes parviennent à prendre des décisions. Cet enjeu s'intensifie avec l'IA générative et l'IA agentique, qui peuvent faire en sorte qu'il est plus difficile d'expliquer l'ensemble des décisions. La divulgation et le consentement sont étroitement liés à l'explicabilité et à la transparence, tandis que les cadres de responsabilisation et le traitement des plaintes doivent suivre le rythme des services axés sur l'IA afin de réduire la possibilité de résultats négatifs pour les consommateurs. Ces défis s'intensifient lorsque les consommateurs utilisent des outils et des produits libre-service alimentés par l'IA, qui offrent moins de possibilités de surveillance humaine.

Biais et sécurité des données : Des résultats injustes découlant de données incomplètes ou biaisées risquent d'éroder la confiance des consommateurs à l'égard des systèmes d'IA. L'utilisation de données inférées ou provenant d'autres sources pour personnaliser les produits peut créer des variables de substitution cachées pour des renseignements identifiables, exposant ainsi les consommateurs à un profilage non intentionnel. Cette dynamique peut amplifier les biais indésirables dans la prise de décision fondée sur les technologies et désavantager systématiquement les consommateurs à grande échelle. Des flux de données de plus en plus complexes, qui comprennent souvent de multiples systèmes tiers, augmentent les vulnérabilités auxquelles les consommateurs sont exposés en ce qui concerne la confidentialité et la sécurité. Le risque est augmenté par les cadres de gouvernance des données qui accusent un retard dans l'adoption de l'IA.

Exposition accrue aux tentatives de fraude : L'IA élargit la portée et la sophistication de la fraude et des activités criminelles connexes. Les fraudes personnalisées exploitent les données sur les consommateurs et les comportements de ceux-ci, ce qui les rend plus persuasives et plus difficiles à détecter. Il peut être de plus en plus difficile pour les consommateurs de distinguer les communications légitimes des fraudes générées par l'IA, ce qui les expose à un risque accru et érode la confiance générale dans le secteur financier canadien. L'ampleur réelle du problème est inconnue, car le Centre antifraude du Canada (CAFC) estime que de 90 à 95 % des fraudes ne sont pas signalées^{Note de bas de page 10}. En l'absence de mesures proactives pour contrer ces menaces, certains consommateurs peuvent avoir l'impression que leur institution financière ne les protège pas suffisamment.

Inégalité d'accès : L'IA pourrait creuser le fossé numérique entre les personnes qui ont accès aux technologies numériques et celles qui n'y ont pas accès. Même parmi les personnes qui y ont accès, le manque de savoir-faire et de confiance en ce qui concerne l'IA peut limiter la capacité à tirer parti des services axés sur cette technologie. En l'absence d'une approche réfléchie, l'IA pourrait exacerber les inégalités existantes auxquelles font face certains groupes, notamment les personnes et les ménages à faible revenu, les nouveaux arrivants au Canada, les communautés autochtones, les personnes âgées et les Canadiens en situation de handicap.

4. Lacunes en matière de connaissances et de talents

Alors que les technologies continuent d'évoluer rapidement, il est important pour nous d'accueillir de nouveaux diplômés qui sont fondamentalement à l'aise avec le numérique et qui apportent de nouvelles perspectives. Nous accordons également la priorité à l'apprentissage et au perfectionnement continus de nos employés, de nos dirigeants et des membres de notre conseil d'administration, pour que chacun comprenne les outils les plus récents et sache comment les utiliser pour tirer parti des occasions émergentes. [Traduction libre]

Pénuries de talents en IA : Alors que l'IA devient de plus en plus essentielle pour les services financiers, la rareté des talents exceptionnels dans ce domaine constitue une menace potentiellement importante pour la capacité d'une entreprise à mener ses activités en toute sécurité, à exécuter sa stratégie et à être concurrentielle. Elle met également en péril la capacité de réglementation nécessaire pour encadrer l'évolution rapide du secteur et les risques systémiques complexes amplifiés par l'IA. Bien que les universités canadiennes forment des milliers de spécialistes en IA chaque année, l'offre demeure insuffisante, surtout en ce qui concerne les personnes qui possèdent également des connaissances dans le secteur financier. Les institutions financières canadiennes peuvent avoir de la difficulté à rivaliser avec les régimes de rémunération considérablement plus élevés offerts par les entreprises technologiques étrangères. De même, les organismes de réglementation sont limités dans leur capacité d'égaler la rémunération du secteur privé ou de fournir un accès à des technologies de pointe. L'expertise en IA est concentrée dans les grandes institutions; les petites entreprises peuvent n'en avoir que peu ou pas du tout.

Lacunes dans l'apprentissage de l'IA : La lenteur à perfectionner les compétences de la main-d'œuvre ou l'incapacité à le faire pourrait entraver la capacité des institutions à prospérer dans un monde de plus en plus dominé par l'IA. Par ailleurs, une connaissance et une confiance limitées de l'IA parmi les consommateurs, en particulier les groupes vulnérables, pourraient les empêcher de profiter des services améliorés par l'IA et les exposer à un plus grand risque d'être victimes d'escroquerie ou de fraude.

Utilisation potentiellement abusive de l'IA : Un grand modèle de langage (GML) peut générer des renseignements entièrement fabriqués qui semblent faire autorité (ce que l'on appelle des hallucinations). Il y a eu des incidents où des chiffres, des références et des relevés non vérifiés générés par un GML ont mené à des erreurs importantes. La méconnaissance de l'hallucination de l'IA et d'autres lacunes dans les connaissances sur cette technologie représentent un risque évident pour les consommateurs et les organisations.

Décalage de la vitesse d'apprentissage : Les GML qui semblaient révolutionnaires en 2023 sont maintenant considérés comme primitifs. Les personnes et les organisations peuvent avoir de la difficulté à suivre le rythme du changement. Lorsqu'une institution met au point une formation complète sur l'IA, la technologie a peut-être déjà évolué. Par exemple, le rythme des progrès réalisés par les auteurs de menaces dans leurs techniques de piratage psychologique dépasse rapidement celui des programmes de formation internes. De même, les techniques de blanchiment d'argent fondées sur l'IA évoluent souvent plus rapidement que les capacités de détection et que l'élaboration et le déploiement des formations connexes.

5. Risques liés à la concentration des tiers et à la chaîne d'approvisionnement

À mesure que l'adoption de l'IA s'accélère, la concentration des tiers et la dépendance à la chaîne d'approvisionnement deviennent des sources fondamentales de risque systémique. Les institutions financières ne doivent pas se contenter d'évaluer la résilience individuelle des fournisseurs; elles doivent comprendre où les dépendances communes, la visibilité limitée et les points de défaillance uniques pourraient amplifier les perturbations dans l'ensemble du système. [Traduction libre]

Risque lié à la chaîne d'approvisionnement de l'IA et à la concentration des tiers : La dépendance croissante à l'IA englobe les données, les modèles, les composants logiciels (y compris le code source ouvert) ainsi que l'infrastructure informatique et infonuagique. Les tiers fournisseurs de services d'IA dépendent souvent d'autres parties par l'intermédiaire de chaînes d'approvisionnement complexes ou à plusieurs niveaux. Les perturbations ou les compromissions à n'importe quel niveau peuvent se propager à l'ensemble des institutions. De plus, l'adoption de l'IA accroît la dépendance des institutions financières à l'égard d'un petit groupe de tiers fournisseurs de technologies. La panne attribuable à la société CrowdStrike en juillet 2024 a entraîné une perte financière estimée à 5,4 milliards de dollars pour les entreprises du classement Fortune 500 (à l'exclusion de Microsoft)^{Note de bas de page 11}, ce qui illustre les répercussions systémiques des points de défaillance uniques. Les petites et moyennes institutions peuvent être plus exposées parce qu'elles dépendent souvent proportionnellement davantage des fournisseurs externes.

Manque de visibilité et de contrôle : Les risques découlent de la visibilité et de la transparence limitées des contrôles et des pratiques de tiers en ce qui concerne les données, la gouvernance, la sécurité et les risques liés aux modèles. Les institutions financières sont responsables de l'utilisation des services de tiers, mais elles ont peu de contrôle pour s'assurer que ceux-ci respectent leurs attentes. Un échec de la sécurité causé par un modèle d'IA tiers peut exposer des données sensibles, accroître la vulnérabilité aux attaques antagonistes et entraîner la perte de propriété intellectuelle tout en érodant la confiance des consommateurs. Compte tenu de la taille et de l'influence de certains tiers fournisseurs, même les plus grandes institutions financières du Canada peuvent avoir une influence limitée en ce qui a trait aux conditions contractuelles, à la transparence opérationnelle ou aux délais de correction. La visibilité des relations avec les quatrièmes et les cinquièmes parties est particulièrement limitée dans le contexte des services d'IA, où les institutions financières manquent souvent de précisions sur la façon dont les modèles ont été formés, les données utilisées et les autres entités intégrées à la chaîne d'approvisionnement. On s'attend à ce que l'introduction d'un système bancaire ouvert élargisse davantage l'écosystème des tiers et des « nièmes parties », augmentant à la fois la complexité et l'ampleur du risque que les institutions doivent gérer.

Souveraineté et surveillance des fournisseurs essentiels : De nombreux fournisseurs essentiels exercent leurs activités à l'extérieur du périmètre réglementaire financier, ce qui limite la capacité de déterminer la probabilité et les répercussions possibles de défaillances du système et ce qui complique la surveillance réglementaire. Les architectures infonuagiques mondiales et l'infrastructure nationale limitée signifient que de nombreux services d'IA et les données connexes se trouvent à l'étranger, ce qui expose les institutions aux régimes juridiques étrangers et aux risques géopolitiques.

6. Risques pour la stabilité financière

[Nous devons] mieux comprendre l'IA et son rôle dans le secteur financier et atténuer les risques que cette technologie représente pour la stabilité financière. Mieux comprendre ces points peut dissiper des craintes non fondées et ainsi permettre aux décideurs politiques d'aligner leurs efforts de surveillance sur les vulnérabilités liées à l'IA les plus importantes. » [Traduction libre]

Chocs opérationnels : L'incidence des pannes de système internes, des incidents portant atteinte à la réputation et des fuites de données peut être amplifiée par la croissance rapide de l'IA. À mesure que les systèmes fondés sur l'IA sont intégrés aux processus essentiels, les institutions sont davantage exposées à des risques, tels que les défaillances des modèles, la corruption des données et les mauvais comportements des systèmes, y compris les fournisseurs d'infrastructures essentielles qui soutiennent le secteur (p. ex. les paiements et les télécommunications). Les risques liés à la lutte contre le blanchiment d'argent (LBA) peuvent également être élevés parce que les institutions ne voient souvent qu'une certaine partie des réseaux criminels qui couvrent les marchés financiers, les casinos, les fournisseurs de services de paiement et les flux transfrontaliers.

Volatilité des marchés : De nombreux algorithmes et modèles de négociation alimentés par l'IA sont entraînés sur des données similaires, ce qui peut intensifier la volatilité des marchés, en particulier à court terme. Si les modèles de négociation fondés sur l'IA évoluent de concert, cela pourrait entraîner des changements procycliques sur les marchés financiers en période de crise. Les participants des marchés non réglementés qui utilisent des outils d'IA peuvent miner davantage la résilience systémique. Les marchés boursiers et les dérivés négociés en bourse sont des secteurs de vulnérabilité possibles.

Interruption du travail et des activités : Le Fonds monétaire international (2024) estime que 60 % des emplois dans les économies avancées seront touchés par l'automatisation de l'IA^{Note de bas de page 12}. Selon une étude de Citi (2024), 54 % des emplois du secteur financier pourraient disparaître en raison de l'IA, soit le pourcentage le plus élevé parmi les principaux secteurs^{Note de bas de page 13}. Alors que les transformations technologiques ont historiquement permis de créer de nouveaux rôles, la vitesse sans précédent des progrès réalisés dans le domaine de l'IA suggère que la disparition de certains emplois pourrait se produire plus rapidement que le recyclage de la main-d'œuvre, créant ainsi une période de transition cruciale. L'automatisation pilotée par l'IA aura également une incidence sur les entreprises des secteurs de la fabrication, de la vente au détail, des transports, des services professionnels et d'autres secteurs qui constituent l'épine dorsale de l'économie canadienne. Cette perturbation à l'échelle de l'économie pose des risques systémiques pour les institutions financières, notamment en ce qui concerne l'augmentation du risque de crédit pour les entreprises et les particuliers touchés. Cela pourrait conduire à une économie en forme de K, où certains prospèrent tandis que d'autres ont de moins en moins d'occasions, un scénario selon lequel les prêteurs pourraient faire face à un risque de défaut accru.

Lacunes dans l'échange de renseignements sur les menaces : Il existe actuellement des canaux établis par lesquels les renseignements sur les menaces circulent entre les institutions financières, d'autres secteurs essentiels et les organismes gouvernementaux. Cependant, divers facteurs peuvent entraver la circulation optimale de ces renseignements. Par conséquent, les auteurs de menaces peuvent vraisemblablement attaquer plusieurs institutions et secteurs avant que les mécanismes de défense n'aient le temps de s'adapter. Les canaux actuels d'échange de renseignements peuvent connaître des retards dans l'anonymisation des renseignements, ce qui limite leur capacité à faciliter des interventions en temps réel en cas de fraude, de cyberattaques ou d'incidents impliquant des tiers. La dynamique concurrentielle et les obligations en matière de protection des renseignements personnels limitent davantage l'échange de renseignements.

Vulnérabilités des mécanismes d'intervention en cas de crise : Les dispositions actuelles du Canada en matière d'intervention en cas d'incident et de coordination de crise fournissent une base solide, mais des angles morts peuvent exister face à des menaces sans précédent liées à l'IA. L'information, l'accès et les systèmes peuvent être fragmentés entre les organismes ou selon les mandats des organismes chargés d'intervenir en cas d'incident. Au niveau institutionnel, il se peut que les processus de continuité des activités ne prévoient pas de cas précis de défaillance dans les systèmes ou les modèles d'IA. Les nouvelles stratégies d'attaque rendues possibles par l'IA pourraient comprendre des attaques sur plusieurs fronts à une vitesse et à une échelle que les mécanismes actuels de réponse aux crises ne sont pas conçus pour gérer. Les récentes pannes technologiques et infonuagiques, comme les incidents CrowdStrike ou AWS^{Note de bas de page 14}, ont également illustré l'écart qui peut exister entre les plans sur papier et la préparation pratique, en particulier dans des scénarios nouveaux ou sans précédent.

L'IA agentique et les risques émergents pour la stabilité financière : Les systèmes d'IA agentique peuvent agir de manière autonome, prendre des décisions en plusieurs étapes et déclencher des mesures financières à vitesse machine concernant les marchés et les institutions^{Note de bas de page 15}. Au fur et à mesure que ces systèmes gagnent du terrain, leur comportement peut devenir de plus en plus difficile à prévoir, à surveiller ou à encadrer. Les agents qui investissent pour le compte de clients particuliers, par exemple, peuvent réagir simultanément à des sources de données ou à des indices de marché similaires, ce qui amplifie la volatilité à court terme et intensifie les pressions sur les liquidités en cas de crise. Les agents de trésorerie pourraient rapidement réaffecter des dépôts en réaction à l'actualité, au sentiment sur les médias sociaux ou à l'évolution des taux. En période de crise, cela pourrait accélérer les sorties de fonds et déstabiliser les bilans des banques. À mesure que les agents sont déployés dans un plus grand nombre de cas d'utilisation liés au domaine de la finance, les risques peuvent évoluer davantage de façon inattendue. D'autres technologies émergentes transforment aussi les profils de risque. L'IA accélère les progrès vers des systèmes quantiques insensibles aux défaillances, ce qui laisse entrevoir des percées qui pourraient renverser les hypothèses actuelles en matière de cybersécurité.

Saisir les occasions suscitées par l'intelligence artificielle

L'IA offre une occasion stratégique de renforcer le système financier du Canada. Le secteur financier canadien génère de 7 à 8 % du PIB du pays^{Note de bas de page 16} et emploie près de 850 000 Canadiens^{Note de bas de page 17}. À l'heure actuelle, c'est un important utilisateur de l'IA. À l'échelle mondiale, dans un large éventail de secteurs industriels, les services financiers se classent au troisième rang pour ce qui est de l'utilisation de l'IA au travail (72 %) et au deuxième rang pour ce qui est du soutien organisationnel (75 %)^{Note de bas de page 18}. De façon plus générale, on prévoit que le déploiement continu de l'IA pourrait ajouter 298 milliards de dollars au PIB cumulé de 2025 à 2035 et générer en moyenne 41 500 nouveaux emplois par année^{Note de bas de page 19}. Les institutions financières canadiennes qui exploitent l'IA avec succès pourraient capter une grande partie de cette création de valeur potentielle.

La capacité de l'IA à traiter de vastes ensembles de données et à cerner les tendances en fait un puissant outil de gestion des risques. Les institutions financières peuvent surveiller l'activité du marché, repérer les anomalies et anticiper les scénarios de crise avant qu'ils ne s'aggravent, ce qui améliore la résilience et réduit les vulnérabilités systémiques. Les organismes de réglementation peuvent également tirer parti de l'IA pour améliorer la surveillance systémique, harmoniser les directives et améliorer la capacité de surveillance. Au-delà de l'atténuation des risques, l'IA peut générer d'importants gains de productivité. Les applications liées à la conformité, à la détection de la fraude et aux flux de travail opérationnels peuvent libérer les tâches de professionnels qualifiés, qui pourront consacrer leur temps à des priorités de plus grande valeur. Ces gains d'efficience se traduisent par des économies de coûts qui peuvent être réinvesties dans l'innovation, les infrastructures et le perfectionnement des talents, lesquels sont essentiels pour stimuler la concurrence à long terme.

L'IA offre également des possibilités de transformation pour le bien-être financier, la protection des consommateurs et la prévention de la criminalité financière. L'authentification avancée, l'analyse comportementale et la détection des anomalies aident à prévenir le vol d'identité, les prises de contrôle de compte et la fraude par hypertrucage et à renforcer la confiance dans les écosystèmes financiers numériques. Parallèlement, l'IA démocratise l'accès aux conseils financiers grâce à un accompagnement personnalisé à grande échelle. Les plateformes conversationnelles et les moteurs de recommandation peuvent mettre des renseignements sophistiqués à la disposition des populations mal desservies, ce qui peut favoriser une inclusion financière et des connaissances financières de qualité. Dans la lutte contre la criminalité financière, les modèles d'IA peuvent analyser de vastes réseaux d'opérations en temps réel, détecter des tendances suspectes et permettre une intervention proactive afin de réduire la fraude, le blanchiment d'argent et d'autres menaces émergentes.

Si elle est adoptée de manière responsable et à grande échelle, l'IA peut renforcer la capacité concurrentielle du Canada dans le monde et servir de catalyseur pour un système financier plus intelligent, plus sûr et plus inclusif. Pour atteindre cet équilibre entre l'innovation et la gestion des risques, il faut adopter une approche commune et pratique de l'adoption de l'IA dans l'ensemble du secteur.

Le cadre AGILE

Le cadre AGILE (prise de conscience, garde-fous, innovation, apprentissage et résilience des écosystèmes) peut aider à orienter l'adoption responsable de l'IA, l'innovation et la résilience dans l'ensemble du secteur financier canadien. Élaboré à partir des renseignements recueillis lors des ateliers, ce cadre permet aux intervenants de tirer parti des avantages de l'IA tout en gérant efficacement les risques.

Prise de conscience des menaces et des risques émergents

La prise de conscience est essentielle pour le secteur financier canadien, car l'IA transforme de plus en plus le paysage du risque, et le secteur élargit son utilisation de l'IA. Les intervenants doivent comprendre comment l'IA peut modifier l'environnement de risque et comment d'autres développements, comme l'IA agentique ou les perturbations macroéconomiques attribuables à l'IA, peuvent avoir une incidence sur eux.

Adapter l'identification et la gouvernance des risques en réponse aux changements technologiques

Intégrer de façon proactive l'analyse prospective, l'évaluation des risques et la planification stratégique dans les pratiques normalisées de gestion des risques.
Mettre à jour les répertoires de risques émergents pour tenir compte des expositions systémiques, comme les répercussions macroéconomiques liées à l'IA, la volatilité des marchés et les campagnes de désinformation.
Établir des déclencheurs pour revoir les hypothèses de gouvernance à mesure que les nouvelles technologies, comme l'IA agentique ou l'informatique quantique, passent du concept à la réalité.

Aborder les risques liés à l'IA au niveau de la haute direction et du conseil d'administration

Améliorer le savoir-faire en matière d'IA pour que les membres de la haute direction et du conseil d'administration comprennent les capacités, les risques et les limites de cette technologie.
Tirer parti d'une compréhension plus approfondie de l'IA pour faire des choix continus et éclairés au sujet des investissements appropriés en matière d'IA et de la mise en œuvre de stratégies.
Établir une capacité de surveillance de l'IA par la haute direction, si ce n'est pas déjà fait.

Se préparer aux nouvelles technologies

Suivre les nouvelles technologies, y compris celles qui peuvent améliorer la performance des systèmes d'IA, comme l'IA agentique et l'informatique quantique^{Note de bas de page 20}.
Élaborer et mettre en œuvre des cadres de formation et de surveillance appropriés pour les employés avant le déploiement de nouvelles technologies d'IA.
Établir des lignes directrices claires pour la gouvernance de l'IA agentique, en définissant les situations où l'approbation humaine est requise et celles où les agents autonomes peuvent fonctionner en toute sécurité.

Surveiller les perturbations attribuables à l'IA qui affectent le marché du travail et les entreprises

Se préparer aux perturbations macroéconomiques liées à l'IA et qui constituent un risque prospectif pour les portefeuilles de crédit et les plans stratégiques.
Améliorer les pratiques de simulation de crise afin d'inclure des scénarios ayant des répercussions macroéconomiques importantes découlant de l'adoption élargie de l'IA. Cela pourrait comprendre des scénarios où l'adoption de l'IA crée des résultats inégaux entre les secteurs et les régions, ainsi que des changements dans les tendances en matière de défaut dans les portefeuilles commerciaux et de détail.
Déterminer et surveiller les mesures d'alerte précoce et prendre les mesures appropriées s'il y a des preuves de risques de crédit ou stratégiques émergents.

Surveiller la volatilité des marchés attribuable à l'IA

Améliorer les mesures de surveillance en temps réel qui permettent d'assurer un suivi des indicateurs avancés (p. ex. changements dans les écarts, les liquidités, et la valeur et la vitesse des opérations) pour donner le temps de réagir prudemment.
Définir, mettre à l'essai et appliquer des dispositions « coupe-circuit », des mécanismes d'arrêt d'urgence et des limites de risque dynamique, ainsi que des systèmes qui requièrent une approbation humaine pour les interventions à incidence élevée.
Élaborer des modèles de négociation à l'interne plutôt que de s'appuyer uniquement sur des modèles et des données externes.
Faire preuve d'une plus grande vigilance en validant et en surveillant sans cesse les modèles de négociation et de risque pour déceler les dérives, les boucles de rétroaction et les comportements corrélés.
Exécuter des simulations de crise qui supposent l'évaporation de la liquidité du marché.

Garde-fous pour assurer une adoption responsable de l'IA

Les organisations doivent s'assurer que les systèmes fondés sur l'IA fonctionnent de manière sûre, prévisible et équitable tout au long de leur cycle de vie, en particulier lorsque des défaillances ou une mauvaise utilisation pourraient causer un préjudice aux consommateurs ou présenter un risque systémique. Des garde-fous efficaces en matière d'IA intègrent des pratiques exemplaires fondamentales dans les activités quotidiennes, maintiennent des cadres de contrôle à jour et établissent une responsabilité claire pour les résultats produits par l'IA. Les garde-fous comprennent une surveillance humaine appropriée des décisions à incidence élevée, dans la mesure du possible, pour maintenir la vigilance à l'égard de la qualité des données et des normes rigoureuses pour les tiers.

Se concentrer sur les principes fondamentaux

Cultiver des habitudes institutionnelles dans des domaines essentiels, comme la cyberhygiène et d'autres éléments de la sécurité organisationnelle, comme l'intégration du personnel.
Promouvoir une culture de cybervigilance en encourageant le personnel à remettre en question les demandes imprévues, particulièrement celles qui concernent des données sensibles ou des opérations financières.
S'assurer que les contrôles sont correctement mis en œuvre, fréquemment mis à l'essai et vérifiés régulièrement.
Recentrer les efforts sur les données pour s'assurer qu'elles sont exactes, accessibles et adaptées à l'usage prévu. Les cadres de données devraient comprendre des normes de qualité et d'intégrité pour les données tierces, externes ou synthétiques utilisées pour élaborer des modèles et des algorithmes exclusifs. La gouvernance des données doit assurer l'adoption de bonnes habitudes en matière de sécurité, gérer l'accès et établir des normes pour le traitement des renseignements exclusifs et sensibles.

Mettre en œuvre des cadres de contrôle robustes et souples

Maintenir des cadres de contrôle évolutifs pour s'assurer que leur portée et leur efficacité progressent au même rythme que l'adoption de l'IA.
Mettre à jour de façon proactive les mesures de protection internes pour assurer la vigueur de la protection et du bien-être des consommateurs, y compris des pratiques précises de divulgation, de consentement et de transparence à mesure que de nouveaux produits et systèmes sont déployés.
Exiger que les cadres de contrôle soient transparents et qu'ils documentent clairement les processus d'IA afin de répondre aux exigences du conseil d'administration, aux objectifs de la direction et aux lignes directrices en matière de réglementation et de pratiques commerciales.

Mettre l'accent sur des pratiques inclusives pour assurer le bien-être des consommateurs

Intégrer les principes de conception inclusive en plaçant le bien-être des consommateurs au cœur de la conception et du déploiement de produits et de services faisant appel à l'IA.
Respecter les consommateurs grâce à des cadres de divulgation fondés sur des principes et rédigés en langage clair qui respectent les obligations en matière de pratiques commerciales et qui sont accessibles et utiles pour les consommateurs.
Utiliser un système de divulgation à plusieurs niveaux qui permet aux consommateurs de choisir le niveau de détail qui répond le mieux à leurs besoins. La divulgation à plusieurs niveaux peut aller de résumés généraux, qui fournissent suffisamment d'information pour aider les consommateurs à prendre des décisions plus éclairées, aux détails techniques complets.
Lorsque les consommateurs ont affaire à l'IA, l'indiquer dans un langage clair et simple et, dans la mesure du possible, leur offrir la possibilité de refuser, sans limiter leur accès aux produits et services.
Fournir des explications sur les décisions importantes fondées sur l'IA qui ont une incidence sur les consommateurs, y compris la façon dont le système traite l'information et tire des conclusions, dans la mesure du possible.

Assumer la responsabilité des résultats de l'IA

Assumer la responsabilité de tous les aspects des extrants et du comportement des systèmes d'IA, en particulier lorsque ces résultats comportent un risque important ou ont une incidence importante sur les consommateurs.
Inclure, lorsque cela est possible et approprié, la surveillance humaine des décisions importantes prises par les outils, les agents et les services assistés par l'IA.
Assurer la transparence de l'information présentée par les modèles d'IA en tirant parti des meilleures méthodes d'explicabilité actuellement disponibles.
Fournir aux consommateurs des moyens clairs pour bénéficier rapidement de mesures de redressement (recours) et de mesures correctives lorsque les résultats fondés sur l'IA ont un effet négatif et apparemment injuste pour eux.

Renforcer les exigences de diligence raisonnable lors du recours à des tiers

S'assurer que les protocoles de diligence raisonnable et les exigences relatives aux fournisseurs pour le recours à des tiers sont régulièrement mis à jour et appliqués efficacement.
Élaborer des contrôles qui visent à s'assurer que l'ensemble de la chaîne d'approvisionnement de l'IA est visible et surveillée en permanence. La schématisation des dépendances à des quatrièmes, des cinquièmes et des nièmes parties peut contribuer à faire ressortir les points de défaillance uniques cachés et le risque de concentration.
Effectuer des réévaluations périodiques, établir des limites de concentration et des plans de sortie et de substitution et réaliser des tests de résilience qui supposent une perturbation corrélée entre plusieurs fournisseurs.

Innovation grâce à l'adoption audacieuse de l'IA

L'adoption responsable de l'IA peut renforcer l'autonomie des effectifs, renforcer la défense contre les menaces en constante évolution, améliorer le bien-être financier des consommateurs et stimuler la croissance de leur chiffre d'affaires et de leurs résultats. Pour adopter l'IA de manière responsable, le secteur doit avoir un état d'esprit axé sur la croissance de l'IA et ne pas considérer cette technologie comme un substitut à l'expertise humaine, mais plutôt comme un outil utile pour sa main-d'œuvre et un catalyseur permettant d'accroître les occasions et l'offre de produits. Il faudra des ressources adéquates, un investissement dans l'infrastructure technologique et l'utilisation délibérée de l'IA pour renforcer la résilience opérationnelle tout en favorisant le bien-être financier des consommateurs, y compris l'accès et la protection.

Adopter un état d'esprit axé sur la croissance de l'IA

Élaborer des plans stratégiques et gérer les transitions de l'effectif dans le but premier de favoriser la croissance économique.
Investir dans les talents en IA, créer des équipes interfonctionnelles et prioriser la transformation stratégique à long terme par rapport aux résultats rapides liés à l'IA.
Adopter l'IA dans le secteur public dans des domaines tels que la surveillance des dépendances à des tiers, l'analyse des réseaux de criminalité financière, la détection des anomalies du marché et le soutien aux activités de surveillance.

Adopter une approche stratégique à l'égard de l'innovation

Faire des investissements stratégiques dans l'adoption responsable de l'IA et éviter l'inaction attribuable à l'inertie ou aux craintes injustifiées au sujet des mesures réglementaires futures.
Déployer l'IA de façon judicieuse en évaluant les répercussions à l'échelle de l'organisation et au-delà. Il s'agit notamment d'évaluer les répercussions du développement de systèmes d'IA pour le bien-être et la protection des consommateurs, la sécurité des données, la cybersécurité, la résilience opérationnelle et les risques liés aux tiers.
Maintenir une stratégie dynamique au moyen d'examens périodiques en réponse à l'évolution rapide du paysage commercial et de l'environnement du risque en raison des avancées de l'IA.
Collaborer à l'échelle de l'organisation en assurant une communication continue afin d'éviter la fragmentation des stratégies.
Établir des résultats et des mesures de réussite clairs afin d'obtenir le soutien de la direction pour les nouveaux développements de l'IA.

Moderniser l'infrastructure technologique

Mettre à jour l'infrastructure de données en normalisant les formats de données et en regroupant les données de façon décloisonnée.
Passer à une architecture de sécurité à vérification systématique ancrée dans l'authentification continue, le droit d'accès minimal et la microsegmentation.
Renforcer les contrôles de l'intégrité des modèles, comme les simulations d'attaques antagonistes, la surveillance des requêtes et la limitation des taux pour aider à réduire les nouvelles voies d'attaque.
Créer des environnements d'essai contrôlés qui peuvent être utilisés pour mettre à l'essai les capacités à risque élevé en toute sécurité.
Mettre en œuvre une solide gestion de l'identité et de l'accès pour des systèmes de plus en plus autonomes. Il s'agit notamment d'attribuer à chaque modèle agentique une « identité numérique » distincte^{Note de bas de page 21} afin de faciliter la mise en place des systèmes appropriés pour la sécurité, la surveillance, le suivi et l'auditabilité.

Renforcer la résilience opérationnelle grâce à l'innovation en matière d'IA

Utiliser l'IA pour améliorer l'identification des cyberattaques, les interventions face à celles-ci et la reprise après coup.
Tirer parti de l'IA pour permettre de faire une évaluation des risques en temps réel aux points de contact essentiels et pendant l'intégration des clients.
Automatiser les processus comme les déclarations d'opérations douteuses (DOD) et utiliser la reconnaissance de tendances fondée sur l'IA pour améliorer la qualité et l'uniformité de la surveillance des opérations financières.

Améliorer le bien-être financier et la protection des consommateurs grâce à l'innovation en matière d'IA

Améliorer le bien-être financier des consommateurs au moyen d'assistants numériques qui les aident à établir un budget, à épargner et à planifier. Ces assistants peuvent répondre rapidement aux questions des utilisateurs, les orienter dans des choix complexes et formuler des recommandations en fonction de leurs objectifs et de leur situation personnelle.
Réduire la fraude contre le consommateur en intégrant l'IA à des mesures de protection proactives, à une vérification accrue des mesures à risque élevé et à des stratégies d'éducation qui aident les consommateurs à reconnaître les supercheries et à y résister.
Utiliser l'IA pour renforcer la protection des consommateurs contre la fraude en identifiant plus rapidement les tendances et les opérations suspectes.
Utilisez l'IA pour améliorer l'authentification et la vérification afin que moins de paiements légitimes soient interrompus tout en détectant et en arrêtant les activités réellement suspectes.
Déployer des initiatives ciblées pour utiliser l'IA afin de mieux servir les communautés mal desservies, en s'alignant sur les objectifs d'inclusion de la Stratégie nationale pour la littératie financière et d'autres cadres fédéraux.

Faciliter la maîtrise de l'IA

L'éducation et la formation en matière d'IA sont des investissements essentiels pour le secteur financier. Les programmes d'apprentissage continu peuvent aider les institutions à suivre le rythme du changement et, grâce à la collaboration, le secteur peut mettre en commun ses ressources et accélérer les progrès. Il est urgent d'améliorer les programmes d'apprentissage dans des domaines cruciaux, comme la fraude et le piratage psychologique facilités par l'IA afin de protéger les consommateurs et l'intégrité du système financier. Les efforts d'éducation doivent également s'étendre aux consommateurs afin qu'ils comprennent comment fonctionnent les systèmes d'IA, comment leurs renseignements sont utilisés et comment reconnaître les menaces, y compris la fraude facilitée par l'IA, et se protéger en conséquence. Dans un même temps, l'éducation doit mettre en évidence les avantages qu'offre l'IA, notamment des renseignements plus clairs, un accompagnement personnalisé et une gestion financière plus facile au quotidien.

Développer les talents de façon stratégique

Établir des programmes de perfectionnement internes permettant d'identifier les employés à potentiel élevé possédant de solides compétences analytiques et de leur offrir une formation intensive en IA.
Collaborer avec les universités canadiennes pour l'élaboration de programmes d'études, pour des partenariats de recherche et pour l'échange de connaissances.
S'associer aux programmes de transition des Forces canadiennes pour avoir accès à des vétérans qui ont des habilitations de sécurité et une formation technique.
Retenir les talents grâce à des avantages accrus, comme des congés sabbatiques, pour se perfectionner et l'accès à des ressources informatiques de pointe.

Poursuivre un apprentissage continu et complet en matière d'IA

Élaborer une formation pour les membres des conseils d'administration et les cadres supérieurs qui clarifie les répercussions de l'IA sur les modèles d'affaires, les paysages des risques, les répercussions stratégiques et la dynamique concurrentielle.
Mettre en œuvre une formation pour s'assurer que les gestionnaires comprennent suffisamment l'IA pour évaluer les propositions, affecter des ressources et intégrer des capacités aux opérations.
Offrir une formation à tout le personnel sur la façon d'utiliser les outils d'IA en toute sécurité, y compris sur la façon de repérer les hallucinations, les biais et les limites. Le personnel en contact direct avec la clientèle, en particulier, doit comprendre suffisamment bien les décisions relatives à l'IA pour les expliquer aux clients.
Des environnements d'apprentissage de l'IA à l'épreuve du temps pour expérimenter en toute sécurité les technologies d'IA et d'autres formats de prestation, comme les micromodules.

Collaborer à des occasions d'apprentissage

Établir un consortium officiel qui réunit les institutions financières pour faciliter le partage de ressources d'apprentissage, de pratiques exemplaires, de matériel de formation, d'études de cas et de leçons apprises.
Établir des partenariats en dehors du secteur financier avec d'autres secteurs confrontés à des défis similaires en matière d'IA afin de partager des approches et des ressources d'apprentissage.
Améliorer les centres de recherche conjoints existants axés sur les applications financières d'IA. Ces centres devraient employer des chercheurs de calibre mondial, former des étudiants diplômés et produire des travaux de recherche ouverts profitant à l'ensemble de l'écosystème.

Améliorer la formation des employés en matière d'hameçonnage et de cybersécurité

Informer le personnel que les cadres supérieurs disposent souvent d'abondantes données accessibles au public qui peuvent être utilisées pour créer des hypertrucages et des tentatives d'hameçonnage vocal ou de harponnage convaincants à l'aide de l'IA.
Améliorer les programmes de formation pour aider le personnel à développer un regard plus critique sur les communications très convaincantes reçues en dehors des voies normales.
Aider les employés à développer leur capacité à reconnaître les anomalies subtiles et à remettre en question les demandes non vérifiées qui sont censées provenir de figures d'autorité.

Sensibiliser les consommateurs à l'utilisation de l'IA dans les services financiers

Informer les clients lorsque les systèmes d'IA influencent les recommandations de produits, la prise de décisions financières, les décisions de crédit ou les conseils en matière de placement, le cas échéant et dans la mesure du possible.
Veiller à ce que les consommateurs soient pleinement informés de la façon dont leurs données personnelles sont utilisées, y compris des avantages possibles de l'IA, comme des renseignements plus personnalisés, des choix simplifiés ou une meilleure gestion financière.
Mettre en œuvre des campagnes d'éducation proactives visant à faire connaître les risques liés à l'IA et à fournir des connaissances pratiques sur la façon de reconnaître les hypertrucages, les demandes d'information inappropriées et d'autres techniques de fraude fondées sur l'IA.
Adopter des cadres de divulgation en langage clair et à plusieurs niveaux qui précisent clairement où et comment l'IA est appliquée, les limites du refus de renseignements générés par l'IA et les mesures mises en place pour protéger les consommateurs.

Résilience des écosystèmes pour un système financier plus solide

L'amélioration de la résilience dans l'ensemble de l'écosystème financier dépendra d'une approche plus coordonnée à l'échelle du système. Les participants du secteur financier devront travailler ensemble pour créer des normes communes et des exigences de divulgation à l'intention des tiers essentiels, et mettre à niveau les cadres d'intervention pour les infrastructures financières essentielles et pour les attaques ou les chocs liés à l'IA. Les secteurs public et privé devront collaborer pour assurer un environnement réglementaire clair, possiblement en établissant des bacs à sable, en améliorant les identités numériques sécurisées et en comblant les lacunes dans l'échange de renseignements et les mécanismes de réponse aux incidents.

Établir des normes et des mécanismes de surveillance communs pour les tiers essentiels

Relever les normes contractuelles qui exigent que des tiers essentiels respectent les normes ISO ou d'autres points de référence externes et exiger des essais et des vérifications du biais des modèles fondés sur l'IA destinés aux consommateurs.
Établir des exigences uniformes en matière de divulgation des données et de transparence des modèles.
Demander une visibilité sur les dépendances de la chaîne d'approvisionnement de l'IA des tiers.
Élaborer des cadres de certification et des répertoires communs de fournisseurs approuvés qui permettraient de vérifier la gouvernance, la gestion des risques et les capacités de redondance des tiers essentiels.

Accroître la certitude réglementaire

Collaborer avec les secteurs public et privé pour mieux comprendre la fragmentation perçue et les préoccupations liées à la réglementation qui peuvent nuire à l'adoption responsable de l'IA.
Accroître la collaboration et l'innovation grâce à des directives réglementaires harmonisées et à des messages cohérents qui encouragent l'adoption responsable de l'IA.
Fournir des environnements d'essai, comme des bacs à sable, pour accélérer l'innovation et l'apprentissage tout en gérant et en comprenant mieux les risques.

Mettre en œuvre l'identification et l'authentification numériques sécurisées

Mettre en œuvre l'authentification multifactorielle en tant que contrôle de vérification d'identité peu coûteux et à incidence élevée.
Renforcer la vérification de l'identité aux points d'intégration et de transaction.
Évaluer l'établissement d'une stratégie nationale sur les identités numériques qui pourrait réduire le risque de fraude systémique et favoriser une utilisation plus sûre des services fondés sur l'IA.

Renforcer les ententes d'échange de renseignements

Améliorer les protocoles d'échange de renseignements (entre les institutions financières; entre les entités gouvernementales; et entre les institutions et le gouvernement) qui couvrent les indicateurs de menaces anonymes, les incidents et les quasi-incidents afin d'aider toutes les parties à réagir plus rapidement et de façon plus uniforme.
Cerner et éliminer les lacunes ou les obstacles qui empêchent l'échange volontaire de renseignements sur les menaces.
Accroître la collaboration intersectorielle pour éviter les réponses fragmentées.

Mettre à niveau les cadres d'intervention en cas d'incident

Améliorer la clarté des rôles et des responsabilités entre les organismes et envisager toute la gamme de scénarios possibles.
Renforcer les guides pour assurer une coordination et une intervention rapides en cas d'incident entre les tiers essentiels ou les infrastructures des marchés.
Intégrer dans ces cadres des outils de supervision fondés sur l'IA pour améliorer la connaissance en temps réel des pannes des tiers, des cyberincidents, des attaques ou des perturbations du marché.

Un cadre AGILE : priorités de la mise en œuvre

L'IA continuera d'évoluer rapidement. Le cadre AGILE est conçu pour évoluer avec elle. Ses principes stratégiques perdureront même si la portée et les capacités de l'IA continuent de progresser. Voici quelques exemples des occasions immédiates et à long terme de navigation par l'IA au moyen du cadre AGILE :

Priorités immédiates

Prise de conscience (Awareness) : Renforcer la prise de conscience des cadres supérieurs en veillant à ce que les membres des conseils d'administration et les hauts dirigeants s'efforcent activement de comprendre l'évolution des risques liés à l'IA et se préparent de façon proactive aux technologies émergentes, comme l'IA agentique au moyen de cadres de gouvernance clairs et de contrôles adaptatifs.
Garde-fous (Guardrails) : Raviver l'attention portée aux principes fondamentaux en adoptant des pratiques exemplaires ainsi que des mesures de gouvernance et de contrôle du risque solides qui fonctionnent comme prévu et en développant des habitudes bien ancrées dans des domaines comme la cyberhygiène et la diligence raisonnable à l'égard des tiers.
Innovation (Innovation) : Favoriser l'innovation audacieuse et responsable fondée sur l'IA en encourageant l'expérimentation et l'adoption à grande échelle de l'IA dans le service à la clientèle, les opérations sur les marchés, les processus internes et les utilisations axées sur la sécurité de l'IA, appuyées par des mesures de protection appropriées, des bacs à sable et une supervision basée sur les résultats qui favorise la création de nouveaux produits, services et modèles d'affaires.
Apprentissage (Learning) : Mettre en place des initiatives de savoir-faire et de perfectionnement des compétences en matière d'IA dans le secteur financier au moyen de systèmes d'apprentissage continu, de cadres de formation organisationnels sur l'IA et d'initiatives de collaboration avec le secteur qui accélèrent le développement des talents et la sensibilisation des consommateurs.
Résilience des écosystèmes (Ecosystem resilience) : Rechercher une plus grande certitude réglementaire à l'égard des risques liés à l'IA en commençant à préciser la façon dont les règlements existants s'appliquent à l'IA et en harmonisant avec les autres organismes, dans la mesure du possible, les messages, les priorités et les prochaines étapes.

À court ou à moyen terme

Prise de conscience (Awareness) : Élargir les simulations de crise et la surveillance en intégrant des scénarios macroéconomiques fondés sur l'IA dans les cadres de gestion des risques d'entreprise et en assurant un suivi continu des répercussions sur le marché du travail et l'économie afin d'anticiper les vulnérabilités systémiques et d'orienter les stratégies.
Garde-fous (Guardrails) : Favoriser une gouvernance et une transparence permanente en maintenant des cadres adaptables, en appliquant de solides normes d'intégrité des données et en fournissant des divulgations axées sur le consommateur dont les décisions en matière d'IA sont explicables et la conception est inclusive.
Innovation (Innovation) : Accélérer la transformation axée sur l'IA en investissant dans les outils et les talents, en modernisant les systèmes existants au moyen de données normalisées et de mécanismes de sécurité à vérification systématique et en améliorant le bien-être financier des consommateurs et leur protection grâce à des mesures comme des conseils personnalisés et la détection proactive de la fraude.
Apprentissage (Learning) : Faire progresser la capacité en matière d'IA à l'échelle du secteur en créant de solides bassins de talents grâce à des partenariats universitaires, en élargissant la formation sur l'IA à l'échelle de l'organisation et en renforçant l'autonomie des consommateurs grâce à la transparence et à l'accessibilité des connaissances en IA pour qu'ils puissent se protéger contre les menaces, comprendre les décisions fondées sur l'IA et faire des choix éclairés en toute confiance.
Résilience des écosystèmes (Ecosystem resilience) : Renforcer les cadres d'échange de renseignements et les efforts conjoints en matière de renseignement en élaborant des cadres juridiques et de protection des renseignements personnels clairs pour l'échange de renseignements sur les menaces, en normalisant les formats et en encourageant la participation d'institutions de toutes tailles.

Conclusion

L'intelligence artificielle transforme le secteur financier à un rythme exigeant à la fois de l'audace et de la discipline. Il existe un vaste potentiel de croissance économique, de gains de productivité, de renforcement des mécanismes de défense, et d'amélioration du bien-être et de la protection des consommateurs et de la résilience systémique. Pourtant, les risques d'inaction ou de faux pas sont tout aussi importants. Pour réussir, il faut trouver un juste équilibre entre l'innovation et l'adoption responsable et la préservation de la confiance des consommateurs, de la résilience organisationnelle et de la stabilité financière.

Le cadre AGILE fournit une feuille de route stratégique pour cette transformation. S'appuyant sur EDGE, ce cadre est conçu pour l'action :

Prise de conscience : anticiper les menaces et les risques émergents
Garde-fous : solidifier les contrôles et la protection des consommateurs
Innovation : favoriser la résilience concurrentielle grâce à une adoption responsable
Apprentissage : bâtir le capital humain nécessaire et gagner la confiance des consommateurs
Résilience des écosystèmes : renforcer le système grâce à la collaboration et à des normes communes.

Le présent rapport traduit ce cadre en mesures concrètes, telles que le renforcement de la cyberhygiène, la mise à niveau des connaissances sur l'IA et la modernisation des infrastructures. Ces mesures forment un cadre visant à favoriser le progrès collectif et reflètent une perspective essentielle de l'atelier, à savoir que le plus grand risque de l'IA est de ne pas agir de manière décisive. Les institutions qui hésitent risquent de prendre du retard sur le plan technologique et concurrentiel tout en s'exposant à des menaces amplifiées par l'IA.

Pour réussir, il faut déployer des efforts coordonnés au sein du secteur, des organismes de réglementation et du gouvernement. La collaboration doit devenir la norme grâce à l'échange de renseignements, aux initiatives d'apprentissage et à une plus grande certitude réglementaire. Il faut accorder la priorité à l'investissement dans les talents et les infrastructures pour que le système financier du Canada soit un chef de file en matière d'adoption responsable de l'IA. En opérationnalisant le cadre AGILE, le secteur peut offrir une valeur ajoutée aux consommateurs, renforcer la résilience systémique et renforcer la capacité concurrentielle du Canada à l'échelle mondiale.

Les défis sont urgents, mais la voie à suivre est claire. Grâce à l'agilité, à la prévoyance et à la collaboration, l'écosystème financier du Canada peut tirer parti des promesses de l'IA tout en préservant la confiance et la stabilité dont il dépend.

Glossaire

Architecture à vérification systématique Modèle de cybersécurité qui suppose qu'aucun utilisateur ni appareil n'est intrinsèquement digne de confiance, mais qu'il nécessite une vérification continue, un accès au moindre privilège et une segmentation rigoureuse du système. Attaques antagonistes Techniques utilisées pour induire en erreur ou compromettre les systèmes d'IA, ce qui pourrait miner l'intégrité et la fiabilité des modèles. Auteur de menace Personne ou groupe responsable de cyberactivités malveillantes ou de fraude. Authentification Processus permettant de vérifier l'identité, comme les mots de passe, la biométrie ou l'authentification multifactorielle. Centre de données Installation qui héberge l'infrastructure de TI particulière nécessaire pour entraîner, déployer et offrir l'intelligence artificielle et d'autres applications et services numériques. Conception inclusive Création délibérée de systèmes financiers et d'IA qui garantissent un accès et des résultats équitables pour des populations diverses. Coupe-circuits Mécanismes qui suspendent ou limitent automatiquement les échanges commerciaux ou l'activité du système afin de prévenir l'instabilité ou les défaillances en cascade dans des conditions anormales ou volatiles. Cyberattaques Toute tentative de perturbation ou de compromission de systèmes d'information ou d'accès à ces systèmes sans autorisation. Cybercriminels Personnes ou groupes qui mènent des activités numériques illégales, y compris la fraude et le vol de données. Désinformation Fausse information créée et diffusée délibérément pour induire en erreur, manipuler ou causer un préjudice. Divulgation Communication requise aux organismes de réglementation, aux intervenants ou aux clients au sujet des incidents ou des renseignements importants. Entrants Nouvelles organisations qui entrent sur un marché, y compris les sociétés de technologie financière et de technologie. Explicabilité La mesure dans laquelle les processus décisionnels en matière d'IA peuvent être interprétés et justifiés auprès de différents intervenants. Fraude à l'identité synthétique Fraude commise au moyen d'identités synthétiques dans le but d'ouvrir des comptes ou d'accéder à du crédit. Fraudeur financier Une personne ou un groupe qui mène des activités financières frauduleuses au moyen d'identités volées, synthétiques ou manipulées. Gouvernance Cadre (structures, surveillance et contrôles) permettant de diriger et de contrôler les organisations. Hameçonnage vocal Hameçonnage vocal dans le cadre duquel des pirates prétendent être des personnes ou des institutions de confiance au téléphone afin d'obtenir des renseignements sensibles. Hameçonnage Pratique frauduleuse consistant à envoyer des courriels ou d'autres messages prétendant provenir d'entreprises réputées afin d'inciter des personnes à révéler des renseignements personnels, comme des mots de passe et des numéros de carte de crédit. Harponnage Attaques d'hameçonnage hautement ciblées et personnalisées pour des personnes ou des organisations particulières. Hypertrucage Médias synthétiques générés par l'IA qui imitent de façon convaincante des personnes réelles, augmentant ainsi les risques d'usurpation d'identité et de fraude. IA agentique Systèmes d'IA capables de prendre des mesures ou des décisions de façon autonome. IA générative Intelligence artificielle qui génère du contenu, comme du texte, des images ou des codes, en fonction des tendances tirées de données entraînées. Identité numérique Technologies utilisées pour vérifier l'identité d'un utilisateur par voie électronique, souvent au moyen de documents, de données biométriques ou d'identifiants cryptographiques. Identité synthétique Identité partiellement fabriquée combinant des renseignements réels et fictifs. Informatique quantique Technologie informatique tirant parti de la mécanique quantique pour résoudre des problèmes complexes, avec des répercussions possibles pour la cryptographie. Mécanismes d'arrêt d'urgence Contrôles qui peuvent arrêter instantanément un système d'IA, un processus de négociation ou une opération automatisée pour mettre fin à des actions nuisibles ou involontaires. Médias sociaux Plateformes en ligne où des personnes partagent du contenu. Mésinformation Renseignements faux ou inexacts communiqués sans intention de tromper. Mesures de protection solides Contrôles, politiques et technologies capables de résister à des conditions défavorables ou de les surmonter. Modèles à code source ouvert Modèles d'IA dont l'architecture et la pondération sont accessibles au public, ce qui facilite la collaboration. Mystification Usurpation d'identité d'une entité de confiance dans le but de tromper les utilisateurs et les inciter à divulguer des renseignements sensibles. Nième partie Tout tiers fournisseur indirect plus loin dans une chaîne d'approvisionnement (comme un quatrième ou un cinquième fournisseur) qui soutient un fournisseur sous contrat, mais qui n'est pas engagé directement par l'institution financière. Obstacles à l'accès Facteurs structurels ou réglementaires qui empêchent de nouveaux concurrents d'accéder au marché financier. Piratage psychologique Techniques de manipulation utilisées pour exploiter le comportement humain et obtenir un accès non autorisé à des systèmes ou à des renseignements. Protection des renseignements personnels Assurance que la confidentialité de certains renseignements sur une entité et l'accès à ces renseignements sont protégés. Robots automatisés Agents logiciels qui exécutent des tâches automatiquement. Savoir-faire en matière d'IA Compréhension des capacités, des limites, des risques et de l'utilisation responsable de l'IA. Souveraineté des données Exigence que les données soient stockées et traitées conformément aux lois de l'administration d'où elles proviennent. Stabilité financière La résilience du système financier aux chocs, ce qui assure le fonctionnement continu des marchés et des institutions. Surface d'attaque Tous les points potentiels où des acteurs non autorisés pourraient tenter de compromettre des systèmes ou des données. Systèmes quantiques insensibles aux défaillances Systèmes quantiques conçus pour fonctionner de manière fiable même lorsque les qubits (c'est-à-dire l'unité de base de l'information quantique) rencontrent des erreurs. Vulnérabilité systémique Faiblesse susceptible d'avoir une incidence sur l'ensemble du système financier plutôt que sur une seule institution.

FINTRAC - Financial Transaction and Reports Analysis Centre of Canada published this content on March 23, 2026, and is solely responsible for the information contained herein. Distributed via Public Technologies (PUBT), unedited and unaltered, on March 23, 2026 at 17:49 UTC. If you believe the information included in the content is inaccurate or outdated and requires editing or removal, please contact us at [email protected]

Back

View original format

related announcements

News

Technology

FINTRAC - Financial Transaction and Reports Analysis Centre of Canada

Deuxième édition du FIASSF : Risques et possibilités liés à l’IA : Adoption d’un cadre AGILE dans les services financiers canadiens