Les agents d’IA fragilisent la sécurité : pour les sécuriser, inutile de repartir de zéro

À terme, ils prendront en charge l’ensemble du cycle, de la modélisation des menaces à la remédiation des vulnérabilités, en utilisant les identifiants de l’organisation pour mener à bien ces tâches.

C’est un niveau d’accès considérable, qui engendre un ensemble de risques spécifiques auxquels les Responsables de la Sécurité des Systèmes d’Information (RSSI) doivent s’attaquer d’urgence. Le Bureau européen de l’IA et le Center for AI Standards and Innovation aux États-Unis, rattaché au National Institute of Standards and Technology (NIST), ont tous deux identifié les risques liés à l’IA agentique comme suffisamment significatifs pour entreprendre l’étude du développement et du déploiement de ces outils.

Les dirigeants partagent ces préoccupations. Dans une étude menée par GitLab en 2025 auprès de responsables de la sécurité et de l’ingénierie, les personnes interrogées basées en France ont cité les menaces de cybersécurité (49 %), la confidentialité et la sécurité des données (50 %), ainsi que le maintien de la gouvernance d’entreprise (36 %) parmi leurs principales préoccupations concernant les agents d’IA.

Bien que les défis posés par les systèmes agentiques soient réels, les frameworks de cybersécurité existants sont plus adaptés que beaucoup d’équipes ne le pensent.

Les agents redéfinissent les surfaces d’attaque

De nouvelles catégories de vulnérabilités propres aux systèmes d’IA ont fait leur apparition, tandis que les agents ont également créé de nouveaux vecteurs par lesquels les vulnérabilités de sécurité traditionnelles peuvent se manifester. La variabilité non déterministe de l’IA rend difficile la remédiation de problèmes tels que l’injection de prompts, et la mise en place de défenses complètes se révèle encore plus complexe.

L’ampleur de ces problèmes s’accroît à mesure que les agents exécutent plusieurs actions de manière autonome. Sans garde-fous appropriés, les agents peuvent propager des logiciels malveillants, exposer des données sensibles et introduire des défaillances en cascade, coûteuses et difficiles à corriger. Ajoutez à cela les interactions entre agents, et le problème se complexifie de manière exponentielle.

Le National Institute of Standards and Technology identifie un risque spécifique pour les modèles comportant des portes dérobées installées intentionnellement, qui exposent les systèmes critiques à des vulnérabilités. Même des modèles non compromis pourraient constituer une menace pour la confidentialité, l’intégrité ou la disponibilité de jeux de données critiques, par le biais de fuites accidentelles ou pire encore.

Ces problèmes sont encore plus graves pour les agents ayant accès à ce que Simon Willison définit comme le « lethal trifecta ». Ce terme désigne des agents qui disposent d’un accès combiné à des données privées, d’une exposition à des contenus non fiables et d’une capacité à communiquer avec l’extérieur. Les agents présentant ces trois caractéristiques constituent des cibles de plus grande valeur, car une seule compromission peut déclencher simultanément une exposition de données, une manipulation du système et une exfiltration externe.

Bien que ces défis semblent intimidants, les principes fondamentaux du framework de cybersécurité du National Institute of Standards and Technology restent pleinement applicables à l’IA agentique.

Sébastien Zins, Vice-Président Europe du Sud chez GitLab

Les contrôles de sécurité existants nécessitent des ajustements

Les contrôles de sécurité fondamentaux restent inchangés. Toutefois, lors de l’examen des bonnes pratiques existantes, les risques liés à l’IA agentique nécessitent des ajustements. La mise à jour des contrôles de sécurité doit être abordée à trois niveaux clés :

Modèle 

séparez les instructions système du contenu non fiable à l’aide de rôles de messagerie distincts et de délimiteurs aléatoires. Des classificateurs secondaires ajoutent une couche supplémentaire en analysant les données d’entrée et de sortie à la recherche de schémas d’injection et de formatage anormal. Ces mesures réduisent le risque sans l’éliminer, d’où l’importance des niveaux suivants.

Système 

appliquez le principe du moindre privilège pour l’authentification et l’autorisation. Les agents ne doivent accéder qu’aux outils nécessaires, avec des identifiants à portée restreinte et à durée de vie limitée. Inspectez les contenus entrants à la recherche de schémas d’injection et filtrez les contenus sortants pour détecter toute présence d’informations personnelles identifiables (PII). Mettez en place des contrôles réseau avec refus par défaut, limitez les communications externes aux points de terminaison approuvés et brisez le « lethal trifecta » : aucun agent ne doit pouvoir accéder à des données sensibles, traiter du contenu non fiable et communiquer avec l’extérieur simultanément. Lorsque la prévention n’est pas possible, ajoutez des contrôles de détection. La détection d’anomalie peut mettre en évidence des schémas d’exfiltration, des abus de modèles et des compromissions de la chaîne d’approvisionnement logicielle et de comptes. Examinez les interactions entre agents sur l’ensemble de votre infrastructure.

Supervision humaine 

exigez une approbation explicite pour les opérations critiques et autorisez les actions à faible risque à se poursuivre via une notification. Cette hiérarchisation évite la fatigue liée aux approbations. Les utilisateurs doivent pouvoir interrompre l’exécution d’une tâche à tout moment, avec une annulation partielle du travail effectué lorsque cela est possible. Lorsqu’un agent agit au nom d’un utilisateur, consignez les deux identités et évaluez les autorisations à leur intersection. Enregistrez toutes les actions de l’agent, y compris les horodatages, les identifiants, les outils utilisés, les ressources consultées et les résultats, avec un niveau de détail suffisant pour reconstituer les événements a posteriori.

L’IA comme multiplicateur de force

Les équipes de sécurité sont déjà bien positionnées pour gérer ces risques, et il convient de rappeler que l’IA représente autant une opportunité de renforcer la sécurité qu’une menace.

Les agents d’IA peuvent surveiller les systèmes, appliquer des règles de sécurité cohérentes sans jamais faillir et produire du code de qualité, sécurisé, à une vitesse et à une échelle qu’aucun processus manuel ne peut égaler. Les propriétés mêmes qui font des agents une source d’inquiétude en font des outils transformateurs dès lors qu’ils sont sécurisés. Carrefour en offre un exemple concret : en intégrant des revues de sécurité assistées par l’IA directement dans son workflow de développement, l’entreprise a réduit le temps de revue de code de 40 minutes à moins de 5 minutes, sans sacrifier la qualité.

Les responsables de la sécurité qui réussiront à l’ère agentique ne seront pas ceux qui bloqueront l’adoption de l’IA, mais ceux qui positionneront la sécurité comme le socle qui la rend possible.