Une faille critique dans les systèmes d’IA connectés aux infrastructures d’entreprise
Lors d’un exercice de red teaming contre un agent d’assistance IT interne, connecté à des outils standard comme ServiceNow, SharePoint et un annuaire d’entreprise, l’agent a réussi en deux heures à reconstituer une réorganisation en cours dont aucun intervenant n’avait l’autorisation de discuter. Toutes les actions étaient conformes aux politiques, chaque étape était traçable. Ce scénario illustre un problème fondamental : les contrôles de sécurité actuels ne sont pas conçus pour gérer des systèmes autonomes.
L’illusion de la sécurité par conception
Les discussions sur les risques des IA se concentrent souvent sur les hallucinations ou les jailbreaks. Pourtant, le vrai défi réside dans la gouvernance de l’exécution : quelles actions sont permises, jusqu’où s’étendent les accès, et peut-on retracer les chaînes d’actions ? C’est là que la plupart des organisations sont vulnérables.
Un constat alarmant : selon les données ETR présentées lors du RSAC 2026, 37% des organisations ont déjà déployé ou testent activement des agents IA, tandis que seulement 3% disposent de contrôles de sécurité spécifiques à ces agents. La majorité des entreprises utilisent donc des systèmes non conçus pour gérer ces nouvelles menaces.
Les limites des contrôles traditionnels
Face aux risques de prompt injection, les entreprises privilégient le filtrage des entrées. Pour les accès des agents, elles resserrent les contrôles d’identité afin de limiter l’impact en cas de compromission. Ces approches, bien que pertinentes, sont appliquées au mauvais niveau.
Une étude d’OpenAI en mars 2026 a révélé que les attaques sophistiquées ressemblent de plus en plus à du social engineering. Une attaque déguisée en email RH a réussi dans 50% des cas, malgré toutes les défenses activées. La conclusion est claire : la défense ne peut reposer uniquement sur le filtrage des entrées.
Les contrôles d’identité, eux aussi, reposent sur une hypothèse obsolète : ils évaluent qui accède à quoi, mais pas ce qu’un système fait sur une chaîne d’actions. Un agent avec accès légitime à un annuaire, un outil de gestion de projet et un calendrier peut croiser ces données pour obtenir des conclusions sensibles, sans que chaque accès individuel ne soit problématique.
L’effet mosaïque : une menace sous-estimée
Ce phénomène, connu dans les domaines du renseignement et de la vie privée, décrit comment l’agrégation d’informations individuellement permises peut mener à des conclusions bien plus sensibles. En février 2026, le NIST a publié un document conceptuel proposant d’adapter les frameworks d’identité et d’autorisation pour les IA agentives, précisément parce que les cadres existants ne sont pas conçus pour des acteurs non humains autonomes.
Un paysage de menaces en mutation
Les vulnérabilités exposées par les agents ne sont pas nouvelles : permissions trop larges, récupération excessive de données, connecteurs mal configurés. Ce qui a changé, c’est que les agents exploitent ces failles en continu et à une vitesse machine. Des recherches présentées lors de la Black Hat USA ont confirmé cette tendance.
Conclusion : vers une refonte des contrôles de sécurité
Les organisations doivent repenser leurs stratégies de défense. Les systèmes doivent être conçus pour limiter l’impact des manipulations, même lorsqu’elles réussissent. Les contrôles d’identité doivent évoluer pour évaluer les actions en chaîne prises au nom d’une identité. Enfin, il est crucial de reconnaître que la latence humaine, autrefois un frein accidentel, était en réalité une propriété de sécurité essentielle. Sans elle, les agents IA peuvent naviguer dans les workflows sans la moindre friction, exposant des failles que nos systèmes actuels ne sont pas équipés pour gérer.