Anticiper la nouvelle génération d’agents d’IA : concevoir des systèmes autonomes sécurisés, fiables et conformes

Shobana Sruthi Mohan, enterprise analyst chez ManageEngine propose une analyse du sujet des agents IA.

Contrairement aux modèles de langage classiques, entraînés sur des données figées, les systèmes agentiques disposent de capacités autonomes qui leur permettent de naviguer, raisonner et exécuter des tâches. Ils peuvent collecter des informations en temps réel, activer des workflows ou prendre des décisions adaptées au contexte. Cette évolution, qui marque le passage de la connaissance à l’action, ouvre la voie à une agilité inédite, tout en introduisant des risques plus complexes.

Un périmètre de vulnérabilités qui s’élargit

Chaque capacité opérationnelle supplémentaire, qu’il s’agisse d’accéder à des données, d’exécuter des commandes ou d’interagir avec des API externes, ajoute de nouvelles vulnérabilités. Si l’autonomie apporte de nombreux avantages, elle introduit également une part d’imprévisibilité. Or, dans le domaine de la sécurité en entreprise, l’imprévisibilité demeure l’un des principaux risques.

Selon Gartner, l’IA agentique représentera la tendance technologique dominante en 2025. D’ici 2028, 33 % des applications d’entreprise devraient intégrer un niveau d’agenticité, contre seulement 1 % en 2024.

Les failles proviennent rarement du modèle d’IA lui-même, mais plutôt de sa configuration, de son intégration ou des permissions qui lui sont accordées. Des autorisations trop larges, des API insuffisamment définies ou des droits de navigation mal contrôlés peuvent conduire à des fuites de données sensibles ou à des actions non sécurisées. Les mécanismes d’authentification traditionnels ne sont pas conçus pour gérer les interactions entre agents ou entre agents et données, ce qui souligne la nécessité de standards adaptatifs, comme la norme ISO 42001.

Définir une autonomie contrôlée et pertinente

Pour les entreprises, la question n’est plus de savoir s’il est possible de concevoir un agent pour une tâche donnée, mais d’évaluer la pertinence d’une telle automatisation.

Tous les workflows ne nécessitent pas d’autonomie. De nombreux processus, régis par des règles et facilement auditables, sont mieux gérés par des automatisations classiques. Les systèmes agentiques déploient pleinement leur potentiel dans des environnements dynamiques, où le contexte évolue rapidement.

Cependant, leur déploiement doit reposer sur une approche mesurée, des objectifs clairement définis et une base de sécurité solide. Le principe du moindre privilège demeure essentiel : les agents doivent disposer uniquement des accès strictement nécessaires, et pour la durée minimale.

Avec le temps, les autorisations accordées aux agents peuvent s’accumuler. Des contrôles automatisés réguliers, associés à une analyse comportementale permettant de détecter des anomalies, telles que des appels API inattendus ou des activités inhabituelles sur des fichiers, permettent de limiter ces risques. En parallèle, les intégrations doivent être sécurisées pour prévenir les attaques de type prompt injection ou l’exécution de scripts malveillants.

Shobana Sruthi Mohan, enterprise analyst chez ManageEngine

Instaurer une gouvernance flexible pour un environnement en mouvement

Contrairement aux modèles statiques, les agents interagissent en continu avec des données en évolution. Cela soulève la question de la conformité dynamique, où la suppression ou l’anonymisation des données doit pouvoir s’ajuster en permanence aux exigences réglementaires, notamment celles du RGPD. Toutefois, cette flexibilité n’a de sens que si elle s’accompagne d’une traçabilité rigoureuse. Chaque interaction doit être enregistrée, surveillée et justifiée.

La gouvernance doit ainsi être continue, adaptable et capable d’évoluer au rythme des interactions et des risques émergents.

Maintenir l’humain comme garant du discernement

À mesure que les agents d’IA s’intègrent au cœur des opérations des entreprises, la supervision humaine reste indispensable. L’automatisation apporte rapidité, scalabilité et cohérence. En revanche, pour gérer les situations inédites ou ambiguës, les analystes humains conservent un rôle essentiel grâce à la pensée critique, au raisonnement éthique et à la compréhension contextuelle, des qualités que les machines ne peuvent reproduire.

Les architectures les plus robustes combinent audits automatisés, garants de la cohérence, et audits humains, porteurs de discernement. Ensemble, ces mécanismes assurent des systèmes à la fois autonomes et véritablement responsables.

Construire un cadre responsable pour l’avenir des agents

L’IA agentique est appelée à devenir une composante structurante des infrastructures d’entreprise. Sa capacité à tenir ses promesses dépendra entièrement de sa conception et de son déploiement responsables. Pour préparer l’avenir des agents d’IA, les organisations doivent instaurer une autonomie encadrée, mettre en œuvre une sécurité centrée sur l’identité et veiller à ce que la gouvernance progresse au même rythme que les capacités.

Les agents d’IA de demain ne seront pas évalués sur l’étendue de leurs fonctionnalités, mais sur leur niveau de sécurité, leur prévisibilité et leur fiabilité dans un cadre défini par l’être humain.