Le 25 mai 2026, la Banque Centrale Européenne a convoqué en urgence les directions des plus grandes banques de la zone euro. La cause directe ? Une intelligence artificielle développée par Anthropic, Claude Mythos Preview, venait de mettre au jour des milliers de vulnérabilités critiques dans les systèmes d'exploitation et les navigateurs utilisés par les institutions financières. Pour les 16-25 ans qui gèrent leur argent via Revolut, N26 ou Lydia, cette alerte concerne directement la sécurité de leurs économies. Voici ce qu'il faut comprendre de cet électrochoc qui secoue le monde bancaire.
Claude Mythos, l'IA qui a forcé la BCE à convoquer les banques en urgence
Le 25 mai 2026, la BCE a convoqué une réunion d'urgence avec les banques européennes. Jamais une alerte n'avait été déclenchée aussi vite. La raison est simple : Claude Mythos Preview, la dernière version de l'IA développée par Anthropic, a scanné en profondeur les systèmes d'exploitation et les navigateurs utilisés par les banques. Le résultat est glaçant. L'IA a identifié « des milliers de vulnérabilités critiques » dans des logiciels considérés jusque-là comme sûrs.
Le paradoxe est violent. Les banques européennes n'ont pas accès à Claude Mythos Preview. Anthropic a limité l'utilisation de son outil à des organismes de recherche sélectionnés. Pendant que les institutions financières restent aveugles, les hackers, eux, pourraient exploiter les mêmes failles. Ce déséquilibre concurrentiel et sécuritaire a poussé la BCE à agir sans attendre.
Des « milliers de vulnérabilités critiques » exposées par l'IA d'Anthropic
Comment Claude Mythos Preview a-t-elle fait cette découverte ? L'IA a exécuté une analyse systématique des couches logicielles profondes des systèmes bancaires. Là où les audits humains passent des semaines à chercher une faille, Mythos en trouve des centaines en quelques heures. Les vulnérabilités concernent aussi bien les noyaux des systèmes d'exploitation que les navigateurs web utilisés par les employés et les clients.
Le chiffre exact n'a pas été communiqué publiquement, mais les sources internes parlent de « plusieurs milliers » de brèches critiques. Certaines permettraient à un attaquant de prendre le contrôle total d'un serveur bancaire à distance. D'autres exposent les données des clients en transit entre l'appli et le serveur. La particularité de ces failles est qu'elles étaient inconnues des éditeurs de logiciels eux-mêmes. Mythos a découvert ce que personne n'avait vu.
Les banques européennes sont d'autant plus vulnérables qu'elles n'ont pas accès à l'outil. Le Figaro rapporte que plusieurs établissements ont demandé à Anthropic une licence d'utilisation, sans succès pour l'instant. Pendant ce temps, les équipes de sécurité informatique travaillent à l'aveugle, sans savoir précisément quelles failles corriger en priorité.
« Le manque d'accès n'est pas une excuse » : Frank Elderson hausse le ton
Frank Elderson, membre du directoire de la BCE, n'a pas mâché ses mots lors de la réunion du 26 mai. « Le manque d'accès à Mythos n'est pas une excuse pour ne rien faire. Au contraire, cela rend encore plus important pour les banques d'agir maintenant », a-t-il déclaré, selon les comptes rendus du Figaro et du Forum Économique Mondial.
Son message est clair : la BCE ne tolérera pas l'inaction sous prétexte que l'outil de détection est inaccessible. Les banques doivent utiliser leurs propres ressources pour identifier et corriger les vulnérabilités. « Il existe toute une série de problèmes de cybersécurité sur lesquels nous travaillons avec les banques depuis des années et qui sont tous toujours d'actualité, mais compte tenu des progrès de l'IA, il faut les traiter plus rapidement », a-t-il ajouté.
La BCE passe de l'alerte à l'injonction. Les banques qui ne démontreront pas des progrès concrets dans les semaines à venir risquent des sanctions réglementaires. Le ton employé par Elderson ne laisse aucune place à l'ambiguïté : l'heure n'est plus aux discussions, mais aux actions correctives immédiates.
Incidents doublés, 109 banques testées : les signaux d'alarme d'avant Mythos
L'alerte Mythos n'est pas tombée du ciel. Depuis plusieurs années, les signaux d'alarme s'accumulaient. Les données publiées par Solutions Numériques en septembre 2025 montrent une tendance lourde : les cyberincidents signalés à la BCE par les grandes banques ont doublé entre 2022 et 2024. Cette progression n'est pas un accident, c'est une tendance de fond qui inquiète les régulateurs.
Le coût mondial du cyber-risque dépasse désormais les 200 milliards de dollars par an. Trois banques centrales sur cinq ont signalé une augmentation des cyberattaques en 2024. La menace n'est plus hypothétique : elle est massive, organisée et en accélération constante.
Le doublement des cyberincidents : le constat de Piero Cipollone
Piero Cipollone, membre du directoire de la BCE, avait déjà tiré la sonnette d'alarme en septembre 2025. Lors d'une intervention relayée par Solutions Numériques, il a présenté des chiffres édifiants : le nombre d'incidents cyber signalés à la BCE par les grandes banques a doublé en seulement deux ans. Pas une augmentation de 10 ou 20 %, mais un doublement pur et simple.
Ce constat s'inscrit dans un contexte global inquiétant. Le Forum Économique Mondial estime que le cyber-risque coûte désormais plus de 200 milliards de dollars par an à l'économie mondiale. Les banques centrales elles-mêmes sont touchées : trois sur cinq ont signalé une recrudescence des attaques en 2024. Les hackers ciblent de plus en plus les infrastructures critiques du système financier, conscients que l'effet de levier est maximal.
La tendance est claire : les attaques ne font pas que se multiplier, elles deviennent aussi plus sophistiquées. Les ransomwares ciblent désormais les systèmes de sauvegarde pour paralyser les banques. Les attaques par déni de service distribué (DDoS) visent à saturer les serveurs pendant les heures de pointe. Les failles découvertes par Mythos ne sont que la partie émergée d'un iceberg qui grossit chaque année.
Les résultats inquiétants du stress test 2024 : sauvegardes et dépendances dans le rouge
En 2024, la BCE a mené un test de résistance cyber sur 109 banques supervisées. L'exercice était simple en théorie : simuler une cyberattaque réussie et observer comment les banques réagissent et se rétablissent. Les résultats, publiés dans le Macroprudential Bulletin de la BCE, sont préoccupants.
Trois domaines majeurs nécessitent des améliorations urgentes. D'abord, les sauvegardes. Plusieurs banques testées n'ont pas réussi à restaurer leurs données critiques dans des délais acceptables après une attaque simulée. Ensuite, la dépendance aux prestataires tiers. Les banques externalisent de plus en plus leurs services cloud, leurs systèmes de paiement et leurs outils de gestion. Mais cette dépendance crée des vulnérabilités : si un prestataire est piraté, toutes les banques clientes le sont aussi. Enfin, la continuité opérationnelle. Certaines banques n'ont pas de plan crédible pour maintenir leurs services après une attaque majeure.
Ces résultats sont directement liés au règlement DORA (Digital Operational Resilience Act), entré en application en janvier 2025. Ce cadre réglementaire exige des banques qu'elles démontrent leur capacité à résister aux cyberattaques. Le stress test 2024 a montré que le chemin à parcourir est encore long.
L'alerte du FMI : des risques cyber liés à l'IA qui pourraient déstabiliser le système financier
Le Fonds Monétaire International a également réagi à l'alerte Mythos. Dans un communiqué relayé par le Forum Économique Mondial, le FMI a averti que les « risques cyber liés à l'IA, qui évoluent rapidement, pourraient déstabiliser le système financier ». Cette mise en garde, venue de l'institution qui supervise la stabilité financière mondiale, donne une dimension supplémentaire à la crise.
Le FMI insiste sur la vitesse à laquelle ces risques évoluent. Contrairement aux menaces traditionnelles, les attaques pilotées par l'IA peuvent s'adapter en temps réel aux défenses mises en place. Les banques doivent donc non seulement corriger les failles existantes, mais aussi anticiper celles que l'IA pourrait créer demain.
Les petites banques sont les plus vulnérables. Selon le WEF, les grandes institutions partagent leurs conclusions avec leurs homologues plus modestes, mais ces dernières manquent souvent des ressources pour agir rapidement. L'alerte Mythos révèle ainsi une fracture sécuritaire au sein du système bancaire européen.
N26, Revolut, Lydia : tes applis préférées sont-elles les maillons faibles ?
C'est la question que tout le monde se pose. Les néobanques comme Revolut, N26 ou Lydia ont conquis des millions d'utilisateurs grâce à leur simplicité et leur rapidité. Mais cette agilité a un revers : une exposition potentiellement plus grande aux failles que la BCE vient de révéler.
Les chiffres parlent d'eux-mêmes. Selon une étude FBF-IFOP de 2025, 81 % des Français ont téléchargé au moins une application bancaire. Chez les 18-24 ans, ce chiffre monte à 88 %. Plus de 20 millions de Français détiennent au moins un compte dans une banque en ligne ou une néobanque, selon ConnectBanque. N26 compte à elle seule 2,5 millions de clients en France. Revolut revendique 20 millions d'utilisateurs dans le monde.
88 % des 18-24 ans ont une appli bancaire : une génération surexposée
Le paradoxe est frappant. Plus une génération est connectée, plus elle est exposée aux failles que l'IA Mythos a exposées. Les 18-24 ans sont les champions de la banque mobile : ils vérifient leur solde plusieurs fois par jour, paient avec leur téléphone, utilisent des apps de paiement entre amis. Mais cette hyperconnexion a un prix.
Les jeunes utilisateurs sont souvent moins vigilants sur la sécurité. Ils utilisent le même mot de passe pour leur banque et leurs réseaux sociaux. Ils connectent leur compte bancaire à des apps tierces sans vérifier leur fiabilité. Ils ignorent les notifications de mise à jour de sécurité. L'étude FBF-IFOP révèle que 88 % des 18-24 ans ont une appli bancaire, mais seulement 34 % ont activé la double authentification.
Ce décalage entre l'usage intensif et la protection minimale crée une vulnérabilité systémique. Les failles découvertes par Mythos pourraient permettre à des hackers d'exploiter ces comportements pour accéder aux comptes bancaires via des attaques de phishing hyper-personnalisées.
Revolut 2022 : 50 000 clients touchés, l'archétype de la faille à ne pas reproduire
L'incident Revolut de septembre 2022 est un cas d'école. Ce mois-là, la néobanque a subi une fuite massive de données. Selon Ouest-France, 50 000 clients ont vu leurs informations personnelles exposées : noms, adresses, emails, numéros de téléphone. Pire encore, 32 000 clients ont vu leurs données de carte bancaire compromises, selon L'Usine Digitale.
L'attaque n'a pas visé le système central de Revolut, mais une faille dans une interface tierce. Exactement le type de vulnérabilité que Claude Mythos Preview a identifié à grande échelle. Les hackers ont exploité une brèche dans un fournisseur de services pour accéder aux données clients.
Cet incident montre que les néobanques, malgré leur image moderne et sécurisée, ne sont pas à l'abri. Leur architecture technique, souvent basée sur des microservices et des API, crée des points d'entrée multiples pour les attaquants. Chaque API non sécurisée, chaque dépendance non auditée est une porte ouverte.
Banques traditionnelles vs néobanques : qui est le plus à risque face à Mythos ?
La réponse n'est pas manichéenne. Les banques traditionnelles ont un problème différent : leur héritage technique. Leurs systèmes centraux (core banking systems) datent parfois des années 1980. Les mainframes qui gèrent les comptes courants sont des forteresses, mais des forteresses dont les fondations sont fragiles. La complexité de ces systèmes rend leur sécurisation difficile et coûteuse.
Les néobanques, elles, ont l'avantage de la jeunesse. Leurs systèmes sont construits sur des technologies récentes, souvent dans le cloud. Mais cette modernité crée une dépendance forte aux prestataires tiers. Le stress test BCE de 2024 a justement souligné ce point : la dépendance aux prestataires cloud est un risque majeur. Si AWS, Azure ou Google Cloud sont piratés, toutes les néobanques qui y hébergent leurs données le sont aussi.
La vraie question n'est pas qui est le plus vulnérable, mais qui est le mieux préparé à réagir. Les banques traditionnelles ont des équipes de sécurité plus étoffées et des processus de gestion de crise rodés. Les néobanques sont plus agiles et peuvent déployer des correctifs plus rapidement. Mais l'alerte Mythos montre que personne n'est vraiment prêt.
DORA, le bouclier silencieux des banques : vraiment prêtes pour le choc Mythos ?
Face à l'alerte Mythos, la BCE dispose d'une arme réglementaire puissante : le règlement DORA (Digital Operational Resilience Act). Entré en application en janvier 2025, ce cadre juridique impose aux institutions financières de démontrer leur résilience opérationnelle face aux cyberattaques.
DORA n'est pas une simple recommandation. C'est un règlement européen directement applicable, avec des sanctions potentielles en cas de non-conformité. Les banques doivent prouver qu'elles peuvent résister, réagir et se rétablir après une cyberattaque majeure.
Ce que le règlement DORA exige vraiment des banques depuis janvier 2025
DORA impose quatre obligations principales. D'abord, des tests de résilience opérationnelle réguliers. Les banques doivent simuler des cyberattaques et démontrer leur capacité à maintenir leurs services critiques. Ensuite, des tests de pénétration basés sur les menaces (TLPT). Ces tests, plus poussés que les audits classiques, simulent des attaques réalistes menées par des hackers éthiques.
Troisièmement, la gestion des risques TIC. Les banques doivent cartographier leurs systèmes informatiques, identifier les dépendances critiques et mettre en place des plans de continuité. Enfin, le reporting des incidents. Toute cyberattaque significative doit être signalée à l'autorité de régulation dans un délai très court.
Ces exigences sont directement pertinentes face à l'alerte Mythos. Les vulnérabilités découvertes par l'IA doivent être traitées dans le cadre de DORA. Les banques qui ne démontreront pas de progrès rapides risquent des sanctions, allant de l'amende à des restrictions d'activité.
Priorités BCE 2026-2028 : l'IA et la résilience TIC deviennent le nerf de la guerre
Les priorités prudentielles de la BCE pour 2026-2028 confirment cette tendance. La priorité numéro 2 est claire : renforcement de la résilience opérationnelle et des capacités en matière de TIC. La BCE identifie les stratégies numériques des banques, notamment celles liées à l'IA, comme un axe majeur de risque.
Le document publié par la BCE Banking Supervision précise que les banques doivent se préparer aux ruptures technologiques et aux risques extrêmes. L'IA est à la fois une opportunité et une menace. Les banques qui intègrent l'IA dans leurs systèmes sans gouvernance adéquate s'exposent à des risques systémiques.
L'alerte Mythos tombe pile dans le timing de cette stratégie. Elle démontre que les risques liés à l'IA ne sont pas théoriques. Une IA a découvert des failles que personne n'avait vues. La prochaine fois, ce pourrait être une IA malveillante qui les exploite. La BCE a compris que la régulation doit rattraper l'innovation, et vite.
Les banques américaines et japonaises aussi concernées : une course mondiale contre la montre
L'alerte Mythos ne concerne pas que l'Europe. Selon le Forum Économique Mondial, les banques américaines et japonaises sont également en train de colmater les brèches identifiées par l'IA d'Anthropic. La coordination internationale s'organise, mais chaque pays avance à son rythme.
Aux États-Unis, la Réserve fédérale a demandé aux grandes banques de soumettre un rapport d'ici fin juin sur les vulnérabilités identifiées et les mesures correctives prises. Au Japon, la Banque du Japon a convoqué les directions des principales institutions financières pour une réunion d'urgence similaire à celle de la BCE.
Cette dimension mondiale montre l'ampleur du problème. Les failles découvertes par Mythos ne sont pas spécifiques à un pays ou à un système bancaire. Elles touchent des technologies utilisées partout dans le monde. La course contre la montre est globale, et personne ne peut se permettre de prendre du retard.
Piratage bancaire : les 4 réflexes pour sauver tes données (et ton argent)
Assez de théorie. Voici ce que tu dois faire concrètement pour protéger tes comptes bancaires face aux failles que Mythos a exposées. Les conseils qui suivent sont simples, mais ils pourraient faire la différence entre un compte sécurisé et une fuite de données.
Les exemples de fuites récentes montrent que personne n'est à l'abri. En février 2026, le fichier Ficoba, qui recense tous les comptes bancaires français, a été piraté. Les IBAN de millions de Français ont fuité. Si même l'infrastructure publique peut être compromise, imagine ce qui peut arriver à une néobanque.
Alerte vol de données : les 30 premières minutes sont cruciales
Tu reçois un message de ta banque : une fuite de données a eu lieu. Que faire ? La première demi-heure est décisive. Ne panique pas, mais agis vite.
Première étape : change immédiatement ton mot de passe bancaire. Utilise un mot de passe fort, différent de tous tes autres mots de passe. Deuxième étape : oppose ta carte bancaire via l'appli ou en appelant le numéro officiel de ta banque. Ne clique jamais sur un lien reçu par SMS ou email, même s'il semble venir de ta banque. Les hackers utilisent souvent les fuites pour envoyer des phishing hyper-crédibles.
Troisième étape : contacte ta banque via son canal officiel (l'appli ou le numéro sur ta carte). Demande confirmation de la fuite et des mesures prises. Quatrième étape : surveille tes comptes pendant les semaines qui suivent. Active les notifications de transaction pour être alerté en temps réel.
L'exemple de Ficoba en février 2026 est édifiant. Le fichier national des comptes bancaires a été piraté, exposant des millions d'IBAN. Les hackers ont ensuite utilisé ces données pour envoyer de faux appels de prélèvement. Ceux qui ont réagi vite ont bloqué les tentatives. Les autres ont perdu de l'argent.
Double authentification et mots de passe : les gestes simples qui changent tout
La double authentification (2FA) est ton meilleur ami. Active-la partout : sur ton appli bancaire, sur ta messagerie, sur tes réseaux sociaux. La 2FA ajoute une couche de sécurité qui rend les failles beaucoup moins exploitables. Même si un hacker obtient ton mot de passe, il ne pourra pas accéder à ton compte sans le code envoyé sur ton téléphone.
Utilise des mots de passe uniques pour chaque service. Pas de « MotDePasse123 » pour ta banque ET ton compte Netflix. Un gestionnaire de mots de passe comme Bitwarden ou 1Password peut t'aider à les générer et les stocker en sécurité.
Vérifie régulièrement les appareils connectés à ton compte bancaire. La plupart des applis permettent de voir quels téléphones ou ordinateurs ont accès au compte. Si tu vois un appareil inconnu, déconnecte-le immédiatement et change ton mot de passe.
Ces gestes simples sont la première ligne de défense contre les failles que l'IA Mythos a exposées. Les hackers exploitent souvent des vulnérabilités techniques, mais ils comptent aussi sur la négligence humaine. Ne leur donne pas cette opportunité.
L'erreur à ne plus faire : connecter son compte bancaire à n'importe quelle appli
C'est le comportement typique des 16-25 ans : lier son IBAN ou sa carte bancaire à des apps de paiement entre amis (Lydia, PayPal), des apps de trading (eToro, Trade Republic), des assureurs, des abonnements. Chaque connexion crée un point d'entrée potentiel pour les hackers.
Le principe est simple : quand tu autorises un prélèvement, tu donnes un mandat à une entreprise pour débiter ton compte. Si cette entreprise est piratée, les hackers peuvent utiliser ce mandat pour vider ton compte. Certaines apps utilisent des tokens de paiement temporaires, mais d'autres stockent tes données de carte en clair.
Audite tes mandats de prélèvement une fois par mois. La plupart des applis bancaires permettent de voir la liste des prélèvements autorisés. Supprime ceux que tu n'utilises plus. Si une appli te semble suspecte, révoque l'autorisation immédiatement.
Ne connecte ton compte bancaire qu'aux services que tu utilises vraiment et en qui tu as confiance. Pour les paiements ponctuels entre amis, utilise des solutions de paiement qui ne donnent pas accès à ton IBAN, comme les cartes virtuelles à usage unique.
Confiance et banque mobile : l'équation à résoudre après l'alerte BCE
L'alerte lancée par la BCE le 25 mai 2026 n'est pas une simple tempête médiatique. C'est un avertissement existentiel pour le système bancaire européen. Les failles découvertes par Claude Mythos Preview sont réelles, nombreuses et critiques. Les banques traditionnelles comme les néobanques sont concernées, même si leurs vulnérabilités diffèrent.
Pour les 16-25 ans qui gèrent leur argent via une appli, l'enjeu est simple mais crucial. La sécurité de leurs économies dépend de trois facteurs : la capacité des banques à corriger rapidement les failles identifiées, la rigueur des régulateurs à faire appliquer DORA, et leurs propres gestes de protection au quotidien.
Les banques qui sortiront renforcées de cette crise sont celles qui comprendront que la sécurité n'est pas un frein à l'innovation, mais son prérequis. Les jeunes utilisateurs sont exigeants : ils veulent une expérience fluide, mais ils ne pardonneront pas une fuite de données. La confiance, une fois perdue, est presque impossible à regagner.
L'avenir de la banque mobile en Europe se joue maintenant. Les régulateurs ont donné le cadre, les failles ont été identifiées, les outils existent. Reste à savoir si les banques auront la volonté et les moyens d'agir. Pour toi, lecteur, le message est clair : ne compte pas uniquement sur ta banque pour protéger ton argent. Active la double authentification, utilise des mots de passe uniques, et surveille tes comptes régulièrement. Ces gestes simples peuvent faire toute la différence.
