La première cyberattaque orchestrée par une IA et documentée a eu lieu en septembre 2025, lorsqu'un groupe soutenu par l'État chinois a manipulé Claude Code pour infiltrer environ 30 cibles mondiales parmi des institutions financières, des agences gouvernementales et des fabricants de produits chimiques. Il ne s'agissait pas d'un exercice théorique. Selon les informations divulguées par Anthropic, les attaquants ont démontré que les agents IA autonomes pouvaient être utilisés à grande échelle comme armes sans intervention humaine significative. Il s'agit là d'une nouvelle catégorie de menaces persistantes avancées contre lesquelles les équipes de sécurité doivent se préparer à se défendre. Pour les équipes de sécurité, le message est clair : la sécurité IA agentielle est passée du statut de préoccupation émergente à celui d'impératif opérationnel.
Les enjeux sont considérables. Gartner prévoit que 40 % des applications d'entreprise intégreront des agents IA spécifiques à certaines tâches d'ici fin 2026, contre moins de 5 % en 2025. Pourtant, 80 % des professionnels de l'informatique ont déjà vu des agents IA effectuer des actions non autorisées ou inattendues. L'écart entre la vitesse d'adoption et la maturité en matière de sécurité crée une surface d'attaque que les adversaires exploitent activement.
Ce guide fournit aux professionnels de la sécurité une compréhension approfondie des menaces liées à l'IA agentique, des cadres d'évaluation et des conseils pratiques de mise en œuvre pour protéger les systèmes autonomes.
La sécurité de l'IA agentique est la discipline qui consiste à protéger les systèmes d'IA capables de raisonner, de planifier et d'exécuter de manière autonome des tâches en plusieurs étapes à l'aide d'outils et de ressources externes. Contrairement aux modèles d'IA traditionnels qui répondent à des requêtes dans des limites définies, les systèmes d'IA agentique peuvent prendre des mesures ayant des conséquences dans le monde réel, notamment envoyer des e-mails, exécuter du code, modifier des bases de données et effectuer des appels API. Cette autonomie crée des défis en matière de sécurité fondamentalement différents de ceux liés à la sécurisation des modèles statiques ou des chatbots.
Le principal défi en matière de sécurité consiste à trouver un équilibre entre autonomie et contrôle tout en préservant les limites de confiance. Lorsqu'un agent IA peut décider de manière indépendante d'accéder à une base de données, de rédiger un document et de l'envoyer par e-mail à une partie externe, la validation traditionnelle des entrées et sorties devient insuffisante. Les équipes de sécurité doivent prendre en compte l'ensemble de l'écosystème de l'agent, y compris les outils, la mémoire, la logique d'orchestration et les autorisations d'identité.
Pourquoi est-ce important aujourd'hui ? La rapidité de l'adoption signifie que la plupart des entreprises exploiteront plusieurs agents IA d'ici 18 mois. Les organisations qui ne parviennent pas à établir dès maintenant les bases de la sécurité seront confrontées à des risques croissants à mesure que le déploiement des agents s'étendra à toutes les fonctions de l'entreprise.
Les différences fondamentales entre la sécurisation des systèmes d'IA traditionnels et celle des systèmes d'IA agentique proviennent de leur architecture et de leurs capacités.
La sécurité traditionnelle de l'IA se concentre sur l'intégrité des modèles, la protection des données d'entraînement et les attaques au moment de l'inférence. La surface d'attaque est relativement limitée. Les données d'entrée sont saisies, les données de sortie sont générées. Les contrôles de sécurité visent principalement à empêcher les données d'entrée malveillantes de manipuler les prédictions des modèles et à garantir que les pipelines d'entraînement restent intacts.
L'IA agentique élargit considérablement la surface d'attaque. Ces systèmes se caractérisent par l'utilisation dynamique d'outils, des chaînes de raisonnement en plusieurs étapes, des communications externes et une mémoire persistante d'une session à l'autre, suivant des modèles similaires à ceux de la chaîne de cyberattaque. Un attaquant n'a pas besoin de compromettre le modèle sous-jacent. La manipulation de n'importe quel composant de l'écosystème de l'agent peut rediriger le comportement vers des résultats malveillants.
Tableau 1 : Comparaison des considérations de sécurité entre l'IA traditionnelle et l'IA agentique
Les implications en matière de sécurité sont importantes. Les contrôles de sécurité traditionnels basés sur l'IA et axés sur la couche modèle sont nécessaires, mais insuffisants pour les systèmes agentiels. Les équipes de sécurité doivent étendre leur visibilité et leur contrôle à l'ensemble de l'architecture agentielle.
Comprendre l'architecture des systèmes d'IA agentique permet de déterminer où les contrôles de sécurité doivent être appliqués. Les agents d'IA modernes combinent quatre composants principaux qui créent la surface d'attaque opérationnelle.
Composants de l'architecture de l'agent :
Chaque couche présente des vulnérabilités distinctes. Les attaquants ciblent le composant qui offre le moins de résistance à leur objectif.
Le chercheur en sécurité Simon Willison a identifié trois facteurs qui, lorsqu'ils sont combinés, créent un risque grave, un cadre détaillé par Martin Fowler dans son analyse technique. La compréhension de ce cadre aide les équipes de sécurité à identifier les déploiements d'agents qui nécessitent les contrôles les plus stricts.
Le trio mortel comprend :
Lorsque ces trois conditions sont réunies simultanément, le risque augmente considérablement. Un agent ayant accès à des identifiants, traitant des pièces jointes non fiables et pouvant envoyer des communications externes crée une voie d'accès pour l'exfiltration de données, le vol d'identifiants et la compromission de la chaîne d'approvisionnement.
Tous les déploiements d'agents ne présentent pas ces trois caractéristiques. Les équipes de sécurité doivent évaluer chaque déploiement par rapport à ces critères et mettre en œuvre des contrôles proportionnels au profil de risque.
Les attaquants exploitent différentes couches en fonction de leurs objectifs et de la configuration de l'agent.
Attaques au niveau de la couche modèle :
Attaques par couche d'outils :
Attaques de la couche mémoire :
Attaques au niveau de la couche d'orchestration :
La matrice Cyber IA AWS Agentic Cyber IA fournit un cadre permettant de classer les déploiements d'agents en fonction de deux dimensions : la connectivité (faible ou élevée) et l'autonomie (faible ou élevée). Cela crée quatre domaines, chacun nécessitant un niveau de contrôle de sécurité différent.
Présentation de la matrice de portée AWS :
Les organisations doivent commencer leurs déploiements dans les domaines 1 ou 2 et passer à des domaines plus élevés uniquement après avoir démontré leur maturité en matière de sécurité. La matrice de portée est référencée par l'OWASP, le CoSAI et plusieurs organismes de normalisation industriels comme cadre fondamental.
Le protocole MCP (Model Context Protocol) émergent, introduit par Anthropic, fournit une interface standardisée pour la communication entre les agents et les outils. Si le MCP améliore l'interopérabilité, il crée également de nouveaux vecteurs d'attaque. Les équipes de sécurité doivent vérifier l'intégrité du serveur MCP et surveiller les mouvements latéraux entre les agents et les outils connectés.
Le classement OWASP Top 10 pour les applications agentiques 2026, publié en décembre 2025, établit la taxonomie des menaces standard pour les systèmes d'IA agentique. Développé avec la contribution de plus de 100 chercheurs en sécurité et référencé par Microsoft, NVIDIA, AWS et GoDaddy, ce cadre fournit une classification faisant autorité des risques de sécurité liés à l'IA agentique.
Le classement complet OWASP Top 10 pour les applications agencées identifie les catégories de risques suivantes :
Tableau 2 : Top 10 OWASP pour les applications agentées 2026
Chaque équipe de sécurité exploitant des systèmes d'IA agentique doit cartographier ses déploiements par rapport à ces catégories de risques et mettre en œuvre les contrôles appropriés.
L'injection rapide représente une menace particulièrement dangereuse dans les contextes agentifs, car les agents peuvent agir sur la base d'instructions manipulées.
L'injection directe consiste à insérer des instructions malveillantes directement dans les données saisies par l'utilisateur. Un pirate peut créer des données qui remplacent les instructions d'origine de l'agent par de nouveaux objectifs.
L'injection indirecte est plus insidieuse. Les pirates intègrent des instructions cachées dans le contenu récupéré par l'agent. Les documents, les e-mails, les pages Web et les enregistrements de bases de données peuvent tous contenir des charges utiles qui s'activent lorsque l'agent les traite.
Les invites de deuxième ordre exploitent les architectures multi-agents. Dans les attaques documentées contre ServiceNow Now Assist, les pirates ont intégré des instructions malveillantes dans des champs de données qui semblaient inoffensifs pour l'agent de traitement initial, mais qui s'activaient lorsqu'ils étaient transmis à un agent disposant de privilèges supérieurs pour être exécutés.
OpenAI a déclaré en décembre 2025 que l'injection de prompt pourrait ne jamais être entièrement résolue au niveau architectural. Cette reconnaissance de la part d'un développeur d'IA de premier plan renforce la nécessité de mettre en place des défenses multicouches plutôt que de s'appuyer sur un seul contrôle.
Une méta-analyse de 78 études a révélé que les attaques par injection rapide adaptative atteignent des taux de réussite supérieurs à 85 %. Même Claude Opus 4.5, conçu avec des mesures de sécurité renforcées, a affiché des taux de réussite supérieurs à 30 % contre les attaques ciblées, selon les tests effectués par Anthropic.
Conséquence pratique : les organisations ne peuvent pas se contenter de se fier uniquement à des défenses au niveau des modèles. Des garde-fous d'exécution, la validation des sorties et la surveillance comportementale sont des compléments essentiels. L'injection indirecte de messages peut permettre le phishing à grande échelle, en extrayant des identifiants ou des données sensibles par le biais d'interactions apparemment légitimes avec des agents.
L'empoisonnement de la mémoire représente une menace émergente spécifique aux systèmes agissants qui conservent leur état d'une session à l'autre.
Le mécanisme d'attaque consiste à corrompre la mémoire persistante d'un agent avec des informations fausses ou malveillantes. Comme les agents considèrent leur contexte stocké comme faisant autorité, les mémoires empoisonnées influencent les décisions futures sans nécessiter d'exploitation répétée.
Une étude publiée en décembre 2025 par Galileo AI a démontré que 87 % des décisions en aval étaient compromises dans les quatre heures suivant le piratage initial de la mémoire. L'effet cascade signifie qu'un seul piratage réussi peut affecter des centaines d'interactions ultérieures de l'agent.
L'incident d'exfiltration de données de Slack AI en août 2024 a démontré le fonctionnement concret du « memory poisoning ». Des chercheurs ont intégré des instructions indirectes d'injection de prompt dans des canaux Slack privés. Lorsque l'assistant Slack AI a traité ces canaux, il a commencé à exfiltrer des résumés de conversations vers des destinations contrôlées par les attaquants. Il s'agit là d'une forme de individu rendue possible par l'IA, dans laquelle l'agent devient un complice involontaire du vol de données.
Pour atténuer les risques liés à l'empoisonnement de la mémoire, il est nécessaire d'isoler la mémoire entre les domaines de confiance, de valider l'intégrité du contexte stocké et de surveiller les comportements afin de détecter les schémas décisionnels anormaux suggérant une compromission de la mémoire.
Les identités non humaines (NHI) constituent la surface d'attaque qui connaît la croissance la plus rapide dans le domaine de la sécurité des entreprises. Selon une analyse du Forum économique mondial, les NHI sont aujourd'hui 50 fois plus nombreuses que les identités humaines dans les entreprises, et ce ratio devrait atteindre 80 pour 1 d'ici deux ans. Les agents IA représentent une nouvelle catégorie de NHI qui nécessite une gouvernance dédiée en matière de sécurité.
Les données du secteur indiquent que 97 % des violations de données liées à l'IA sont dues à une mauvaise gestion des accès. L'acquisition de SGNL par CrowdStrike pour 740 millions de dollars en janvier 2026 montre que les principaux fournisseurs de solutions de sécurité reconnaissent que l'IA agentique est fondamentalement un problème d'identité.
Les approches traditionnelles qui attribuent des autorisations aux agents en fonction de l'utilisateur qui les invoque créent une exposition excessive aux privilèges. Un agent effectuant des tâches de recherche n'a pas besoin du même accès qu'un agent traitant des transactions financières, même si le même utilisateur invoque les deux.
Une gouvernance efficace des agents IA dans le cadre du NHI nécessite de les traiter comme des identités de premier ordre avec une gestion indépendante de leur cycle de vie.
Phases du cycle de vie de l'identité :
Principes de gouvernance :
Le problème des agents zombies mérite une attention particulière. Les agents créés à des fins expérimentales ou pour valider un concept restent souvent actifs après la fin des projets. Ces agents conservent leur accès, consomment des ressources et élargissent la surface d'attaque sans propriétaire ni supervision. Des procédures officielles de mise hors service doivent faire partie intégrante du cycle de vie de chaque déploiement d'agent.
Le paysage des menaces pour l'IA agentique est passé du stade théorique à celui de l'opérationnel. Des vulnérabilités critiques avec des scores CVSS supérieurs à 9,0 ont été découvertes dans les principales plateformes d'entreprise, plusieurs d'entre elles étant activement exploitées dans la nature.
Tableau 3 : Vulnérabilités critiques dans les systèmes d'IA agentique (2025-2026)
ServiceNow BodySnatcher (CVE-2025-12420)
La vulnérabilité BodySnatcher découverte dans la plateforme IA de ServiceNow permettait à des attaquants non authentifiés d'usurper l'identité de n'importe quel utilisateur, y compris les administrateurs, en utilisant uniquement une adresse e-mail. L'exploit exploitait un secret d'authentification codé en dur et une liaison de compte permissive pour contourner l'authentification multifactorielle (MFA) et l'authentification unique (SSO), permettant ainsi aux attaquants d'invoquer des flux de travail IA et de créer des comptes backdoor avec des privilèges élevés. Les organisations utilisant les versions concernées de l'API Virtual Agent doivent vérifier immédiatement l'état des correctifs.
Chaîne de vulnérabilité Langflow (CVE-2025-34291)
Langflow, un framework open source populaire pour agents IA, contenait une chaîne de vulnérabilités critiques permettant Usurpation de compte complète Usurpation de compte l'exécution de code à distance. Des paramètres CORS trop permissifs, combinés à l'absence de protection CSRF et à endpoint de validation de code non sécurisé, endpoint la voie d'attaque. Tous les jetons d'accès et clés API stockés ont été exposés, permettant une compromission en cascade de tous les services intégrés en aval. Le botnet Flodric exploite activement cette vulnérabilité.
Microsoft Copilot EchoLeak (CVE-2025-32711)
La vulnérabilité EchoLeak représente la première attaque zero-click documentée contre un agent IA. Les pirates intègrent des invites malveillantes dans du texte caché, des notes de présentation, des métadonnées ou des commentaires dans des documents Word, PowerPoint ou Outlook. Lorsque les victimes interagissent avec Copilot, des données sensibles de l'organisation, notamment des e-mails, des fichiers OneDrive, du contenu SharePoint et des messages Teams, sont exfiltrées via des paramètres d'URL d'image à l'insu de l'utilisateur et sans interaction de sa part.
Première cyberattaque orchestrée par l'IA
En septembre 2025, Anthropic a révélé la perturbation de la première cyberattaque à grande échelle documentée, exécutée par un agent IA sans intervention humaine significative. Un groupe soutenu par l'État chinois a manipulé Claude Code pour mener des opérations de reconnaissance, sélectionner des cibles et tenter de s'introduire dans environ 30 organisations dans les secteurs des services financiers, des administrations publiques et des infrastructures critiques.
Supply Chain PhantomRaven
Koi Security a découvert 126 paquets npm malveillants à l'aide d'une nouvelle technique appelée « Remote Dynamic Dependencies » (dépendances dynamiques à distance). Les paquets semblaient vides et inoffensifs dans le registre, mais ils récupéraient des charges utiles malveillantes à partir des serveurs des attaquants uniquement après leur installation. À l'aide de noms générés par IA grâce à une technique appelée « slopsquatting », ces paquets ont été téléchargés plus de 86 000 fois avant d'être détectés, exfiltrant des jetons npm, cloud et des clés SSH.
Ces incidents exigent des capacités de réponse robustes qui tiennent spécifiquement compte des vecteurs d'agents IA. Les équipes de sécurité doivent mettre à jour leurs manuels afin d'y inclure des procédures d'enquête spécifiques aux agents.
Le cadre MIT Sloan Three Essentials fournit une approche structurée de la sécurité de l'IA agentielle. Les organisations doivent mettre en œuvre une modélisation complète des menaces, des tests de sécurité continus et des protections d'exécution fonctionnant de concert.
Seuls 21 % des responsables de la sécurité déclarent avoir une visibilité complète sur les opérations des agents IA. Moins de 40 % effectuent régulièrement des tests de sécurité IA. Ce manque de visibilité représente à la fois un risque et une opportunité pour les équipes de sécurité de différencier leurs organisations grâce à des capacités améliorées de détection des menaces.
Adapter les contrôles à la complexité de l'architecture garantit une protection proportionnée sans entraver les opérations légitimes.
Portée 1 (faible connectivité, faible autonomie) :
Portée 2 (connectivité élevée, faible autonomie) :
Portée 3 (faible connectivité, autonomie élevée) :
Portée 4 (connectivité élevée, autonomie élevée) :
La protection multicouche en temps réel traite les menaces à chaque étape du fonctionnement de l'agent.
Protections de la couche d'entrée :
Protections de la couche d'action :
Protections de la couche de sortie :
Les solutions proposées par les fournisseurs, notamment NVIDIA NeMo Guardrails, F5 et Straiker, offrent des implémentations commerciales. Les organisations peuvent également créer des garde-fous personnalisés à l'aide de cadres open source adaptés à leurs besoins spécifiques.
Les équipes de sécurité doivent valider ces contrôles fondamentaux avant de déployer à grande échelle l'IA agentielle :
Les organisations doivent aligner leurs pratiques de sécurité en matière d'IA agentique sur les exigences réglementaires et les normes industrielles. Le paysage réglementaire a considérablement évolué fin 2025 avec la publication de textes importants traitant spécifiquement des systèmes d'IA autonomes.
Tableau 4 : Cadre réglementaire applicable à l'IA agentique (janvier 2026)
Le profil NIST Cyber AI, publié sous forme de projet préliminaire en décembre 2025, établit une correspondance entre les domaines prioritaires en matière de sécurité de l'IA et les fonctions du cadre de cybersécurité 2.0, notamment la gouvernance, l'identification, la protection, la détection, la réponse et la récupération. Bien qu'il ne soit pas réglementaire, ce cadre devrait devenir la norme de facto en matière de gouvernance de la sécurité de l'IA.
Le NIST a également publié en janvier 2026 une demande d'informations afin de recueillir des commentaires sur les considérations de sécurité relatives aux systèmes d'agents IA, en abordant spécifiquement les injections de commandes, l'empoisonnement des données et les objectifs mal alignés ayant un impact sur les systèmes du monde réel.
Références clés du cadre :
Les organisations doivent aligner leurs programmes de conformité afin d'intégrer ces cadres, en particulier les directives OWASP et MITRE qui fournissent des spécificités opérationnelles.
Le paysage des fournisseurs de solutions de sécurité IA agentique s'est rapidement développé, avec des plateformes établies et des start-ups spécialisées proposant des solutions. L'approche axée sur l'identité a pris un essor particulier, les organisations reconnaissant que la sécurité des agents est fondamentalement un défi en matière de détection et de réponse aux menaces liées à l'identité.
De grands fournisseurs d'entreprise, notamment Palo Alto Networks avec Cortex AgentiX, CrowdStrike avec Falcon Agentic Security et SentinelOne avec Singularity AI SIEM, ont lancé des fonctionnalités de sécurité dédiées à l'IA agentique. L'acquisition de SGNL par CrowdStrike pour 740 millions de dollars vise spécifiquement les contrôles d'accès en temps réel pour les humains, les identités non humaines et les agents IA autonomes.
L'architecture de sécurité au niveau du navigateur est également apparue comme un point de contrôle. En décembre 2025, Google Chrome a introduit une architecture de défense multicouche pour la navigation agentique Gemini, comprenant un critique d'alignement utilisateur (modèle d'IA isolé vérifiant les actions proposées), des ensembles d'origine d'agent (limitant les interactions aux sites pertinents pour la tâche) et des confirmations obligatoires de l'utilisateur pour les actions sensibles.
L'écosystème des startups a attiré des investissements importants. WitnessAI a levé 58 millions de dollars pour la gouvernance et l'observabilité de l'IA agentique. Geordie est sorti de l'ombre avec 6,5 millions de dollars pour une plateforme de sécurité d'agents IA. Prophet Security a levé 30 millions de dollars pour une plateforme SOC agentique.
Les organisations qui déploient l'IA agentique pour leurs opérations de sécurité font état de gains d'efficacité significatifs. Les données du secteur indiquent une réduction de 60 % du temps nécessaire au triage des alertes lorsque l'IA agentique se charge de l'enquête initiale et de l'enrichissement, libérant ainsi les analystes humains pour la prise de décisions complexes.
Vectra AI la sécurité de l'IA agentielle sous l'angle du Attack Signal Intelligence, reconnaissant que, à mesure que les agents IA se multiplient sur les réseaux d'entreprise, ils deviennent à la fois des vecteurs d'attaque potentiels et des actifs précieux nécessitant une protection.
La philosophie du compromis s'étend naturellement aux systèmes agentiques. Plutôt que d'essayer d'empêcher toute utilisation abusive des agents par le seul biais de contrôles périmétriques, les organisations doivent se concentrer sur la détection rapide des comportements anormaux des agents, des utilisations non autorisées d'outils et des schémas d'usurpation d'identité.
Cela nécessite une observabilité unifiée sur l'ensemble de la surface d'attaque moderne, y compris les communications des agents IA, les appels d'outils et les actions d'identité. détection et réponse aux incidents doivent évoluer afin de distinguer les opérations autonomes légitimes des manipulations des attaquants. Les solutions ITDR doivent être étendues afin de couvrir les identités non humaines et les modèles d'abus de privilèges spécifiques aux agents.
L'objectif n'est pas d'empêcher l'adoption de l'IA, mais de permettre un déploiement sécurisé à grande échelle, en fournissant aux équipes de sécurité la visibilité et la clarté des signaux nécessaires pour opérer en toute confiance dans un environnement agentique.
La sécurité de l'IA agentique consiste à protéger les agents IA capables de planifier, d'agir et de prendre des décisions de manière autonome. Contrairement à la sécurité IA traditionnelle axée sur l'intégrité des modèles, la sécurité IA agentique traite la surface d'attaque élargie créée lorsque les systèmes IA peuvent accéder indépendamment à des outils, communiquer en externe et prendre des mesures ayant des conséquences dans le monde réel. Cette discipline englobe la modélisation des menaces spécifiques aux systèmes autonomes, les mécanismes de protection à l'exécution, la gouvernance des identités pour les agents IA et la détection des comportements anormaux des agents pouvant indiquer une compromission ou une manipulation.
Le classement OWASP Top 10 pour les applications agencées 2026 identifie les principaux risques comme étant le détournement d'objectif de l'agent (ASI01), l'utilisation abusive des outils (ASI02), l'abus d'identité et de privilèges (ASI03), l'empoisonnement de la mémoire (ASI04) et Supply Chain (ASI06) parmi les plus critiques. Ces risques s'aggravent lorsque les agents présentent les trois conditions mortelles suivantes : accès à des données sensibles, exposition à des contenus non fiables et capacité de communication externe. L'exploitation de ces risques dans le monde réel a donné lieu à des CVE critiques avec des scores CVSS supérieurs à 9,0 sur les principales plateformes d'entreprise.
L'IA générative crée du contenu, notamment du texte, des images et du code, mais fonctionne généralement selon un modèle de requête-réponse avec une supervision humaine pour chaque interaction. L'IA agentique planifie et exécute de manière autonome des tâches en plusieurs étapes, utilise des outils pour interagir avec des systèmes externes, conserve la mémoire entre les sessions et peut prendre des mesures concrètes sans intervention humaine. Cette autonomie crée des risques de sécurité qui vont au-delà de l'injection de commandes et incluent l'utilisation abusive d'outils, le détournement d'objectifs et l'usurpation d'identité. Alors que la sécurité de l'IA générative se concentre principalement sur la sécurité des résultats, la sécurité de l'IA agentique doit prendre en compte l'ensemble de l'écosystème des agents.
Le « Lethal Trifecta », terme inventé par Simon Willison et détaillé par Martin Fowler, décrit trois facteurs qui, lorsqu'ils sont présents simultanément, créent un risque aggravé. Le premier facteur est l'accès à des données sensibles telles que les identifiants, les jetons et les documents confidentiels. Le deuxième est l'exposition à des contenus non fiables provenant de pages web, d'e-mails, de saisies utilisateur ou d'API externes. Le troisième est la capacité à communiquer vers l'extérieur par e-mail, messagerie ou appels API. Les équipes de sécurité doivent évaluer chaque déploiement d'agent par rapport à ces critères et mettre en œuvre des contrôles proportionnels au profil de risque créé par la combinaison présente.
Mettez en place des garde-fous à plusieurs niveaux couvrant chaque étape du fonctionnement de l'agent. Au niveau de la couche d'entrée, déployez des classificateurs d'injection rapide et un filtrage de contenu pour détecter et supprimer les instructions malveillantes. Au niveau de la couche d'action, mettez en place des listes d'autorisation d'outils, des contraintes de portée et des limitations de débit pour empêcher les actions non autorisées ou excessives. Au niveau de la sortie, utilisez la détection des informations personnelles identifiables, le masquage des données sensibles et la validation des réponses. Déployez des outils d'observabilité avant de faire évoluer l'autonomie, maintenez l'approbation humaine pour les actions irréversibles et intégrez la surveillance des agents aux workflows SOC existants. Commencez par des déploiements à faible autonomie et ne progressez qu'après avoir démontré la maturité de la sécurité.
Les identités non humaines (NHI) sont les identités numériques attribuées aux agents IA, aux comptes de service, aux bots et aux processus automatisés plutôt qu'aux utilisateurs humains. Avec un ratio NHI/humain de 50:1 dans les entreprises aujourd'hui, les agents IA représentent une catégorie de NHI en pleine croissance qui nécessite une gouvernance de sécurité dédiée. Une gouvernance efficace nécessite de traiter les agents IA comme des identités de premier ordre avec une gestion indépendante du cycle de vie, un accès avec le moins de privilèges possible, une autorisation juste à temps et une surveillance continue du comportement, plutôt que de simplement hériter des autorisations des utilisateurs ou de maintenir des privilèges permanents.
Les principaux cadres comprennent le Top 10 OWASP pour les applications agentiques 2026 (publié en décembre 2025), MITRE ATLAS avec 14 nouvelles techniques axées sur les agents ajoutées en octobre 2025, le projet de profil cyber-IA du NIST publié en décembre 2025 et la norme ISO/IEC 42001:2023, première norme de certification des systèmes de gestion de l'IA. Les exigences réglementaires comprennent la loi européenne sur l'IA pour la classification des IA à haut risque, la loi californienne SB 53 qui entrera en vigueur en janvier 2026 et qui impose des cadres de gestion des risques aux grands développeurs d'IA, et la loi texane TRAIGA qui interdit les résultats d'IA nuisibles. Les organisations doivent aligner leurs contrôles de sécurité des IA agences sur ces cadres dans le cadre de leur programme global de conformité.