IA agentique : quelles menaces pour quelles parades ?

Un buzzword chasse l’autre. Après l’engouement autour de l’IA générative voici que débarque l’IA agentique. Elle en est son l’évolution naturelle tout en démultipliant ses performances. Alors que les grands modèles de langage (LLM) ne font « que » répondre à nos prompts, les agents d’IA sont capables de planifier, raisonner et d’exécuter des tâches de manière autonome, sans supervision humaine ou du moins la plus limitée possible.

Cette IA agentique est une promesse d’importants gains de productivité en entreprise. Une armée d’agents autonomes vont se coordonner et réaliser un enchaînement d’opérations. Par exemple, un ensemble d’IA coordonnées orchestrera les différentes étapes d’un parcours d’intégration. Elles s’assureront que la nouvelle recrue a accompli les formalités administratives auprès des RH et des services généraux, rencontré ses managers, suivi la formation de mise à niveau et qu’elle dispose d’un poste de travail configuré avec les droits d’accès afférents à son profil.

Pour l’heure, l’IA agentique est encore émergente. Selon Deloitte, un quart des entreprises utilisant l’IA générative lanceront, cette année, des projets pilotes ou des preuves de concept (POC) autour de l’IA agentique, et ce chiffre doublera en 2027. La nouvelle vague technologique est ensuite appelée à déferler. 

D’ici 2028, Gartner prévoit qu’un tiers des applications logicielles d’entreprise incluront des agents d’IA, contre moins de 1 % en 2024. « Ce qui permettra à 15 % des décisions professionnelles quotidiennes d’être prises de manière autonome », estime le cabinet d’études. Salesforce, ServiceNow, Workday… La plupart des éditeurs de logiciels BtoB ont déjà intégré l’IA agentique à leur portfolio.

Faire sortir l’agent autonome de son rôle

Qui dit nouvelles technologies dit nouvelles menaces. Tout d’abord l’IA agentique hérite de toutes les vulnérabilités de l’IA générative – les agents étant basés sur des LLM – à commencer par les attaques par « prompt injection ». Leur autonomie rend toutefois ce type d’attaque d’autant plus dangereux. À partir d’une injection d’invites, un cybercriminel va manipuler un agent et lui demander de réaliser des actions nuisibles ou non autorisées, comme éteindre des serveurs. Le script à exécuter  sera dissimulé dans une image ou une suite de caractères invisibles.

Ce détournement du rôle de l’agent peut être lourd de conséquences. « Des cyberattaquants peuvent supprimer une base de données ou modifier le contenu de documents dans un workflow, observe David Kopp, expert cybersécurité chez Trend Micro. Le logiciel de recrutement qui fait un « screen » de CV poussera des candidatures infectées. Le recruteur qui les consulte ne trouvera rien d’anormal alors que l’IA y verra un jeu d’instruction à exécuter. »

Des agents IA compromis peuvent cacher des charges utiles malveillantes, prêtes à exploser le moment venu, ou conduire à l’exfiltration de données sensibles sans aucune action malheureuse d’un utilisateur humain. De quoi donner un coup de vieux aux campagnes de phishing. L’attaque par empoisonnement (data poisoning) introduit, elle, de fausses informations dans les résultats générés aux utilisateurs. De manière plus anecdotique, des agents d’IA « zombies » peuvent entraîner un déni de service par une consommation malveillante des ressources système.

Des machines élevées au rang d’administrateur

Une fois l’état de la menace posé, quelles parades mettre en place ? Le principal point de vigilance porte sur la gestion des identités. Se présentant comme des « collaborateurs virtuels », les agents autonomes doivent avoir accès au système d’information ou à des services cloud par API. Selon le rapport  CyberArk 2025 Identity Security Landscape, les identités machines, principalement portées par le cloud et l’IA, sont désormais nettement plus nombreuses que les identités humaines dans un rapport de 82 pour 1 ! 

L’IA agentique ne fera qu’amplifier le problème de l’étalement des privilèges non sécurisés. Pour fonctionner efficacement, certains agents IA exigent des accès « administrateur système » pour accéder au fonds documentaire de l’entreprise, aux carnets d’adresses ou à la messagerie. Pour éviter cette dérive, « il convient de bien définir le rôle occupé par l’agent et lui attribuer les droits d’accès et les privilèges associés comme on le fait à une nouvelle recrue », avance Pierre Codis, AVP of sales nordics & southern Europe de Keyfactor. Le robot n’accède ainsi qu’aux informations et aux ressources dont il a besoin pour accomplir sa tâche. Par exemple, un agent ayant accès à une messagerie ne pourra envoyer des e-mails qu’à une liste de destinataires bien spécifiques.

VP solution engineers EMEA pour CyberArk, Jean-Christophe Vitu abonde dans son sens. « Il faut appliquer les principes de la gestion des identités humaines mais avec une volumétrie qui s’annonce bien supérieure. Selon le principe du « just in time », les agents se verront accorder les bons privilèges, les permissions nécessaires et suffisantes à un instant t pour effectuer les actions pour lesquelles ils sont habilités. Quelle donnée critique est partagée et peut donc être potentiellement exfiltrée ? »

Dans un livre blanc, Trend Micro conseille de mettre en place une architecture baptisée LEAN pour contrer les menaces de type prompt injection, assurer l’intégrité et la confidentialité des données, renforcer le contrôle d’accès et réduire les risques liés au phénomène d’hallucination. MITRE, connu pour son framework ATT&CK, a développé une base de connaissances spécifique aux LLM. Appelée MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems), elle peut s’appliquer à l’IA agentique. 

Une absence de standards et de gouvernance

L’approche Zero Trust qui consiste à n’accorder aucune confiance par défaut à un utilisateur, qu’il soit un humain ou une machine, trouve également sa pertinence pour sécuriser les projets d’IA agentique. Rappelons que ce modèle repose sur trois principes fondamentaux que sont l’accès au moindre privilège, l’authentification forte et la surveillance en continu pour détecter rapidement les comportements suspects et y répondre tout aussi rapidement.

Dans cet esprit Zero Trust, Pierre Codis préconise de gérer la sécurité des agents d’IA comme on le fait des machines virtuelles, des containers ou des micro-services en mettant en place une infrastructure à clés publiques (PKI) reposant sur le certificat numérique X.509. Prêchant pour sa paroisse, il rappelle l’intérêt de se doter d’une solution de CLM (Certificate Lifecycle Management) qui va orchestrer le cycle de vie des certificats, réduisant le risque de vulnérabilité introduit par des certificats obsolètes ou en voie d’expiration. Un protocole comme ACME (Automated Certificate Management Environment), utilisé dans le monde des micro-services, pourrait s’étendre aux agents virtuels.

Technologie émergente, l’IA agentique manque de standards. Deux protocoles sont en passe de le devenirmais ils n’intègrent pas encore le niveau de sécurité attendu. Lancé officiellement fin 2024 et développé par Anthropic, le Model Context Protocol (MCP) vise à connecter de façon universelle les agents aux applications métiers, aux bases de données ou aux services cloud sans passer par une myriade de connecteurs. Agent2Agent (A2A) est, lui, un protocole d’orchestration conçu par Google pour faire converser les agents d’IA entre eux.

Le contrôle d’accès, seul, ne suffit pas. Une fois en production, les agents doivent être surveillés comme le lait sur le feu. Selon le triptyque « auditer, tracer, corréler », Jean-Christophe Vitu conseille de mettre en place un système de supervision continue. « Si un agent sort de son rôle prédéfini, il est automatiquement bloqué et isolé. »À chaque entreprise de dresser sa liste d’interdits en fonction de ses risques métiers et opérationnels.

De son côté, David Kopp pointe « un risque de défaut de gouvernance entre les équipes IT qui déploient les agents IA de leur côté puis les équipes sécurité qui arrivent au moment de la mise en production et doivent revoir tout le code. Il ne faudrait pas reproduire les incompréhensions en interne comme au début du cloud avant l’approche DevSecOps. »

« Machine contre machine »

Si l’IA agentique est appelée à se généraliser en entreprise, elle est déjà dans les mains des attaquants qui en tirent tout le potentiel. En se dotant d’une armée d’agents dévoués à leur cause, les cybercriminels peuvent automatiser des opérations de hacking complètes, de la collecte des données de leurs cibles jusqu’à la personnalisation poussée à l’extrême des campagnes d’hameçonnage.

Une fois la proie repérée, un agent lance un scan de vulnérabilités puis un autre établit le plan d’attaque en fonction des failles détectées. « L’IA agentique permet d’orchestrer des attaques à grande échelle, observe Blandine Delaporte, senior director, solutions engineering chez SentinelOne. Elle offre un gain de temps tel que les attaquants n’ont même plus besoin de déterminer les cibles. »

Et si elle est détectée par une IA défensive, l’IA malveillante va modifier son scénario. « C’est machine contre machine, poursuit Blandine Delaporte. L’IA agentique offre une capacité d’adaptation pour contourner les défenses en place et prendre des décisions autonomisées comme lancer un exploit. »

Pour l’experte, il faut combattre l’IA agentique par l’IA agentique. De fait, un après l’autre, les éditeurs spécialisés enrichissent leurs offres d’agents d’IA. En avril dernier, SentinelOne lançait ainsi « Purple AI Athena », sa technologie d’IA agentique « capable de raisonner, décider et agir de manière autonome » pour tendre vers un SOC autonome. Plus récemment, Trend Micro dévoilait une nouvelle technologie d’IA agentique, « Agentic SIEM », « conçue pour résoudre les problèmes traditionnels liés à la gestion des informations et des événements de sécurité ».