LLMs, Autonomous Agents and Non-Human Identities: AI’s New Attack Surface

La montée en puissance des systèmes d’intelligence artificielle générative transforme radicalement les enjeux de cybersécurité. Selon le cabinet Gartner, 40 % des applications d’entreprise intégreront des agents IA dédiés à des tâches spécifiques d’ici 2026, contre moins de 5 % en 2025. Et d’ici 2028, les écosystèmes d’agents IA permettront à des réseaux d’agents spécialisés de collaborer dynamiquement entre plusieurs applications et fonctions métier, afin de permettre aux utilisateurs d’atteindre leurs objectifs sans interagir individuellement avec chaque application.

Mais la diffusion de l’IA dans les entreprises progresse plus vite que leur capacité à sécuriser les systèmes associés. Dans son rapport State of Cybersecurity Resilience 2025, Accenture estime que 90 % des organisations ne disposent pas de la maturité nécessaire pour répondre aux menaces cyber liées à l’IA, tandis que 77 % ne possèdent pas les pratiques de sécurité data et IA permettant de protéger les modèles, les pipelines de données et les infrastructures cloud.

Par ailleurs, la plupart des stratégies de sécurité actuelles demeurent centrées sur les utilisateurs humains, générant un décalage dangereux face à l’émergence de ces nouvelles entités numériques autonomes. « L’autonomisation croissante des systèmes agentiques ouvre de nouvelles opportunités, à condition qu’elle s’accompagne de cadres de contrôle adéquats », soulignent les auteurs d’un livre blanc publié par Sopra Steria et intitulé « IA Agentique : la nouvelle ère des agents autonomes en cybersécurité ».

Cartographier les risques cyber liés aux LLM et agents IA

Les LLM (Large Language Model) constituent des systèmes d’intelligence artificielle basés sur des réseaux de neurones de type transformer, capables de comprendre et de générer du langage naturel. Leur nature probabiliste et non déterministe les rend toutefois hautement manipulables. « Nous ne venons pas simplement déposer ou développer une application dans un écosystème : nous mettons en œuvre un système doté de capacités de raisonnement et capable d’interagir avec des êtres humains », explique Pierrick Conord, Directeur d’Agence Adjoint chez Sopra Steria.

Concernant les LLM, plusieurs attaques doivent être distinguées. L’injection de prompt, tout d’abord, qui consiste à formuler des instructions en langage naturel pour contourner les garde-fous, détourner le comportement du modèle ou provoquer la divulgation d’informations sensibles. Ensuite, l’empoisonnement des données d’entraînement, qui vise à introduire des contenus manipulés dans les corpus utilisés pour entraîner ou affiner le modèle. Il peut altérer ses réponses ou implanter des portes dérobées, notamment via des jeux de données, modèles préentraînés ou composants tiers insuffisamment contrôlés.

Le vol de modèle relève d’une autre logique : il consiste à extraire ou reproduire un modèle propriétaire, via une API, un accès interne compromis ou des requêtes répétées. Enfin, les usages en production exposent les organisations aux hallucinations contrôlées, à la manipulation d’agents autonomes, de plugins ou de connecteurs et à des élévations de privilèges.

Risques liés aux systèmes agentiques : l’autonomie comme facteur de risque

Un système agentique diffère fondamentalement d’un simple LLM. Il dispose en effet d’objectifs, d’une planification, d’une mémoire, d’un accès à des applications tierces, et de déclencheurs qui peuvent lancer des actions sans invite d’un utilisateur. Traversant plusieurs systèmes, il peut modifier des données réelles. « Avec les agents IA, la sécurité ne consiste plus seulement à filtrer des réponses, mais à gouverner l’intention, l’action et la preuve », avance Pierrick Conord.

Par ailleurs, un système agentique agit avec sa propre identité, non humaine (NHI, Non-Human Identity), ou via une délégation, ce qui représente un enjeu de sécurité majeur. Sans gouvernance appropriée, les identités non humaines peuvent très facilement devenir des comptes fantômes ou des backdoors. Depuis quelques années, elles prolifèrent à un rythme effréné. Le spécialiste en cybersécurité Chris Hughes évaluait déjà en 2024 le ratio identités machines / employé à 50 pour 1. Un an plus tard, le cabinet Entro Security observe des environnements où plus de 140 identités non humaines sont recensées par utilisateur.

Dès lors, la question de la responsabilité se pose avec acuité. Pierrick Conord illustre cette problématique : « Imaginons une intelligence artificielle utilisée dans un domaine lié à la construction ou au façonnement de pièces industrielles. Nous pouvons très bien avoir des tentatives visant à altérer son raisonnement pour modifier des schémas ou des plans. Résultat : toute une chaîne de fabrication peut se retrouver bloquée ». 

Sans journalisation ni attribution claire, l’entreprise se retrouve en zone grise, avec des impacts financiers et des risques de non-conformité aux réglementations comme l’AI Act, le RGPD, NIS2 (directive sur la sécurité des réseaux et des systèmes d’information) ou DORA (Digital Operational Resilience Act).

Modéliser les menaces propres aux LLM

L’émergence des systèmes d’IA agentique nécessite l’adoption de cadres méthodologiques spécifiques pour en assurer la sécurisation. Plusieurs frameworks, existants ou en cours de développement, structurent désormais l’approche des organisations. Le framework AI TRiSM (AI Trust, Risk and Security Management) du Gartner constitue un référentiel structuré qui rappelle que la sécurité des agents repose sur le socle traditionnel (réseau, IAM, durcissement), complété par deux couches supplémentaires propres à l’IA : la gouvernance de l’information (provenance, politiques de données, rétention) et le contrôle à l’exécution permettant de surveiller et bloquer les actions de l’agent, tout en produisant une preuve opposable.

Le framework MAESTRO de la Cloud Security Alliance propose un modèle de threat modeling en sept couches spécifiquement adapté aux agents IA. Cette approche couvre l’autonomie, l’apprentissage, les interactions multi-agents et la chaîne d’approvisionnement via une défense en profondeur sur l’ensemble du cycle de vie des agents. Les sept couches adressent successivement les modèles de fondation, la gestion des données, le framework des agents, le déploiement et l’infrastructure, l’évaluation et l’observabilité, la sécurité et la conformité, puis l’écosystème d’agents.

La matrice MITRE ATLAS permet quant à elle d’identifier précisément les techniques d’attaque employées par les assaillants sur les systèmes d’intelligence artificielle et de prioriser les actions de sécurisation. Enfin, l’OWASP (Open Worldwide Application Security Project) travaille actuellement sur un système de scoring des vulnérabilités IA, appelé AIVSS (AI Vulnerability Scoring System), qui vient compléter le CVSS traditionnel, jugé insuffisant pour évaluer les risques propres à l’IA. 

Des cyber-analystes augmentés par l’IA

Ces frameworks gagnent à être combinés plutôt qu’utilisés isolément. AI TRiSM offre le langage commun tandis que MAESTRO, MITRE ATLAS et OWASP AIVSS fournissent les cadres opérationnels de mise en œuvre. Dans le cadre des missions d’accompagnement de ses clients, Sopra Steria a développé une approche qui s’appuie sur ces référentiels. Cela lui permet d’assister ses analystes en cybersécurité à travers un système multi-agents orchestré.

« Nous avons conçu un système multi-agents, organisé autour d’un orchestrateur chargé de coordonner plusieurs agents spécialisés. Par exemple, un agent spécialisé sur les techniques d’attaque MITRE va précisément agréger, lire et comprendre les formats de MITRE sur les matrices d’attaque et identifier les patterns les plus utilisés et les plus pertinents. Cette information sera ensuite transmise à un autre agent spécialisé sur la menace », détaille Pierrick Conord. Cette organisation permet d’analyser automatiquement les dossiers d’architecture et de fournir un tableau d’évaluation des risques identifiés pour chaque projet au regard du contexte de l’entreprise cliente.

L’approche maintient systématiquement un contrôle humain sur les décisions critiques. « Une IA générative est créée pour répondre systématiquement. Si vous lui demandez n’importe quoi, elle répondra potentiellement n’importe quoi (hallucinations). Nous travaillons sur de nombreux entraînements en amont pour nous assurer de la pertinence des réponses. Un important travail a été réalisé sur de multiples scénarios, contre-validés par des experts seniors disposant de l’expérience nécessaire », précise Pierrick Conord.