L'IA dans le secteur financier n'est plus au stade expérimental. Les institutions déploient déjà l'IA dans leurs outils de productivité interne, le support client, la conformité, la détection des fraudes et les flux de travail liés à la gestion des risques. Pourtant, malgré des années d'investissements et des programmes de transformation à grande échelle, la plupart des organisations continuent de faire face aux mêmes contraintes structurelles : la gouvernance, l'auditabilité, les risques liés aux tiers et, en fin de compte, la confiance.
Ce constat récurrent est clairement ressortie lors d'un récent rassemblement organisé par Mila, regroupant des dirigeants financiers canadiens, des régulateurs, des assureurs et des chercheurs en IA, axé sur la prochaine phase d'adoption de l'IA dans la finance.
Ce qui en est ressorti est un déséquilibre grandissant : les capacités de l'IA progressent à une vitesse extraordinaire, passant de simples copilotes à des systèmes agentiques de plus en plus autonomes, tandis que les cadres de gouvernance, les processus réglementaires et la préparation institutionnelle continuent d'évoluer beaucoup plus lentement.
Le paradoxe de l'« IA fantôme » (Shadow AI)
Certaines organisations explorent déjà des flux de travail basés sur l'IA agentique, capables d'orchestrer des tâches, d'accéder à des outils et d'automatiser des opérations complexes. Par exemple, la TD a récemment annoncé un système d'IA agentique conçu pour automatiser certaines parties du processus de prêt hypothécaire et de crédit sur valeur domiciliaire, réduisant certains flux de travail de plusieurs heures à quelques minutes, tout en mettant explicitement l'accent sur la supervision et un déploiement responsable.
En parallèle, de nombreuses institutions continuent d'imposer des limites strictes à l'utilisation interne d'outils tels que ChatGPT, Claude, Gemini ou Copilot en raison de préoccupations non résolues concernant la confidentialité, la souveraineté des données et le contrôle des informations sensibles. Malgré ces restrictions, l'« IA fantôme » (shadow AI) devient de plus en plus courante, les employés adoptant de manière indépendante des outils publics pour accélérer leur travail quotidien, ce qui introduit de nouveaux risques de conformité.
Pour compliquer encore les choses, presque toutes les institutions dépendent désormais, d'une manière ou d'une autre, de fournisseurs, d'infrastructures ou de modèles d'IA tiers. Bien que cela accélère l'innovation, cela introduit également une exposition accrue à l'opacité des fournisseurs, à des lacunes en matière d'auditabilité et à une visibilité limitée sur la manière dont les données et les décisions circulent à travers des systèmes de plus en plus interconnectés.
La figure ci-dessous montre que les banques s'appuient désormais sur un éventail de plus en plus diversifié de fournisseurs d'IA tiers, le nombre de fournisseurs secondaires ayant doublé depuis l'année dernière. Cette dépendance croissante à l'égard d'une gamme plus large de fournisseurs accroît considérablement la complexité des risques interconnectés à l'échelle du secteur financier.
La pression humaine derrière l'adoption de l'IA
Au-delà de la technologie, les organisations traversent également une importante transition humaine. Les dirigeants subissent des pressions pour générer des gains d'efficacité grâce à l'IA et démontrer un retour sur investissement, tandis que les employés sont à la fois curieux, prudents et incertains quant à l'évolution de leurs rôles. Dans de nombreuses institutions, les cadres intermédiaires sont devenus la couche opérationnelle chargée de traduire des stratégies d'IA ambitieuses en processus quotidiens viables, tout en équilibrant les questions de conformité, de productivité et de gestion du personnel.
De nombreux employés sont désormais tenus de superviser des systèmes qu'ils n'ont pas conçus, qu'ils ne comprennent pas entièrement et pour lesquels ils ne sont pas formellement formés à la gouvernance. À mesure que les systèmes d'IA s'intègrent davantage dans les flux de travail, les questions relatives à l'expertise, à la supervision humaine et à l'autorité décisionnelle deviennent plus difficiles à résoudre dans la pratique.
Pourquoi la gouvernance devient technique
Les institutions financières exigent de plus en plus des mécanismes de gouvernance en temps réel intégrés directement dans les systèmes d'IA : des systèmes capables de détecter les violations de politiques, de restreindre ou de bloquer les comportements dangereux, et de signaler les cas incertains ou à haut risque pour qu'ils soient examinés par des humains. Dans la pratique, cela signifie que les « garde-fous » deviennent une infrastructure de base : des contraintes programmables et des couches de surveillance qui déterminent ce que les modèles peuvent et ne peuvent pas faire en production.
La gouvernance des systèmes d'IA passe fondamentalement d'un exercice de conformité de fin de parcours à une nécessité architecturale. Les institutions intègrent désormais la gouvernance directement au cœur de la conception des systèmes d'IA. La voie vers une IA digne de confiance dépend moins de documents de politique statiques que d'une infrastructure technique dynamique permettant une supervision continue du comportement de l'IA.
L'émergence d'un écart en matière d'évaluation
Un défi est revenu à plusieurs reprises lors des discussions : l'évaluation. La plupart des organisations manquent encore de méthodes fiables pour évaluer les systèmes d'IA modernes dans des environnements financiers réalistes. Les références traditionnelles (benchmarks) sont insuffisantes dans des contextes où le comportement des modèles dérive au fil du temps, où les risques d'hallucination persistent et où la traçabilité est requise à travers des chaînes de décision complexes.
Le défi devient considérablement plus aigu avec les systèmes agentiques. L'évaluation de la sortie d'un modèle unique n'est déjà pas triviale. L'évaluation d'un système autonome capable de naviguer, de faire appel à des outils, de modifier des informations ou d'interagir à travers différents flux de travail représente une classe de problème entièrement différente.
Des approches telles que l'utilisation d'un grand modèle de langage comme juge (LLM-as-a-judge) offrent des solutions partielles, mais introduisent des compromis : une latence accrue, des coûts plus élevés et une pertinence limitée pour la prise de décision en temps réel. Par conséquent, les institutions convergent vers des architectures hybrides qui répartissent l'évaluation entre des détecteurs légers, un arbitrage basé sur des modèles et une escalade vers l'humain selon le niveau de risque.
Des risques partagés nécessitent des défenses partagées
À mesure que les capacités de l'IA progressent, les institutions financières reconnaissent de plus en plus que certains risques, tels que la cybersécurité, les défaillances de modèles et les comportements systémiques de l'IA, ne sont pas des facteurs de différenciation concurrentielle. Ce sont des vulnérabilités partagées. Parce que les institutions s'appuient en grande partie sur les mêmes modèles de fondation tiers et opèrent sur des marchés hautement interconnectés, une seule vulnérabilité ou défaillance algorithmique peut rapidement se répercuter en cascade sur l'ensemble du secteur.
Pourtant, la plupart des organisations continuent de construire des infrastructures parallèles pour résoudre des problèmes similaires de manière isolée, ce qui entraîne une duplication des efforts et une fragmentation des normes. Cela suscite un intérêt croissant pour des références communes, des méthodologies d'évaluation partagées et des initiatives collaboratives de test de vulnérabilité (red-teaming).
L'objectif n'est pas seulement l'efficacité, mais l'accélération : permettre au secteur de converger plus rapidement vers des pratiques de déploiement de l'IA robustes et dignes de confiance, et de construire des défenses partagées contre les attaques adverses qu'aucune institution ne peut traiter efficacement seule.
Combler le fossé entre la recherche et l'industrie
Cela crée une opportunité pour les instituts de recherche comme Mila, car les défis actuels de l'IA dans la finance nécessitent des avancées dans les domaines suivants :
- L'évaluation et l'analyse comparative (benchmarking) de l'IA
- La sécurité des systèmes agentiques
- Des garde-fous robustes
- Une IA respectueuse de la vie privée
- La génération de données synthétiques
- La supervision humaine de l'IA
- Des systèmes de gestion des risques interprétables
Ces collaborations deviennent ainsi un facteur déterminant non seulement pour les avancées individuelles, mais aussi pour la confiance du public, la protection des consommateurs et la stabilité systémique des systèmes financiers qui sous-tendent l'économie et la société dans leur ensemble.
Le rapport « Mila x Finance : L'ère des agents, du risque et de la protection des consommateurs » illustre la manière dont les institutions financières canadiennes naviguent à travers ces tensions, et souligne le besoin croissant d'engagements entre la recherche, l'industrie et les régulateurs, à mesure que l'IA s'intègre aux infrastructures financières critiques.
