Agentic AI : vers une cybersécurité plus autonome, plus agile, mieux gouvernée

L'IA agentique est une avancée majeure, surtout dans sa capacité à décider et agir de manière autonome... pour une cybersécurité plus autonome.

Depuis quelques années, le paysage de la cybersécurité est confronté à une double pression : d’un côté, l’explosion de la complexité des systèmes d’information – cloud, travail hybride, multiplication des endpoints – et de l’autre, une sophistication croissante des menaces. Les cybercriminels ont affiné leurs méthodes : ils utilisent des outils légitimes à des fins malveillantes, se déplacent latéralement dans les environnements, exploitent des failles zero-day avant leur divulgation, et développent des malwares polymorphes qui échappent aux détections classiques.

Dans ce contexte, les approches traditionnelles de cybersécurité – basées sur des règles fixes, des signatures ou des scénarios prédéfinis – ne suffisent plus. Une nouvelle génération de technologies s’impose : l’intelligence artificielle agentique, ou agentic AI. Elle représente une avancée majeure, non seulement en matière d’automatisation, mais surtout dans la capacité à décider et agir de manière autonome en fonction d’objectifs de protection clairement définis. Loin d’être une vision futuriste, cette technologie est déjà en cours de déploiement dans plusieurs environnements critiques.

Une intelligence qui observe, apprend… et agit

L’intelligence artificielle n’est pas une nouveauté dans le domaine de la cybersécurité. Les algorithmes de machine learning sont utilisés depuis plusieurs années pour analyser de grands volumes de données, détecter des comportements anormaux ou classer des fichiers suspects. Cependant, l’IA agentique va bien au-delà de l’analyse. Elle est conçue pour observer des environnements en temps réel, apprendre en continu des comportements normaux et anormaux, puis prendre des décisions autonomes pour répondre à des menaces ou à des situations critiques.

C’est cette capacité à passer de l’analyse à l’action qui la distingue fondamentalement. Une IA agentique n’attend pas qu’un opérateur valide chaque étape : si elle identifie un comportement potentiellement malveillant – comme une tentative de déplacement latéral sur le réseau, une exfiltration de données suspecte ou l’utilisation d’un compte compromis – elle peut enclencher des actions immédiates : suspension d’un compte, isolement d’une machine, restriction de privilèges, création d’un ticket d’investigation prioritaire, etc.

Cette agilité est cruciale face à des attaquants qui eux-mêmes automatisent de plus en plus leurs offensives. Les campagnes malveillantes s’adaptent dynamiquement à la défense, changent d’infrastructure rapidement (notamment via l’usage de CDN ou d’hébergement cloud éphémère), et s’appuient sur des outils natifs des systèmes pour échapper à la détection. Dans ce contexte mouvant, l’agentic AI permet une réponse plus rapide, plus ciblée et mieux contextualisée que ne le permettrait une intervention humaine classique.

Dans les environnements de Managed Detection and Response (MDR), l’agentic AI peut jouer un rôle central. Elle assiste les analystes en automatisant les premières étapes du tri des alertes, en construisant des corrélations entre événements, en formulant des hypothèses d’attaque, voire en exécutant les premières mesures de remédiation. Cette collaboration homme-machine libère du temps aux équipes pour se concentrer sur les incidents complexes, tout en réduisant le temps de réponse global.

Mais cette autonomie doit être encadrée. Il ne s’agit pas de déléguer l’ensemble de la chaîne décisionnelle à une IA, mais de définir précisément les cas dans lesquels l’IA peut agir seule, et ceux qui nécessitent une validation humaine. L’un des modèles efficaces consiste à découper les réponses en plusieurs étapes : l’IA traite l’urgence (ex. : bloquer un accès), tandis que les décisions structurelles ou sensibles reste entre des mains humaines.

Une gouvernance éthique et une coopération inter-organisationnelle à bâtir

L’introduction d’intelligences artificielles autonomes dans la cybersécurité ne peut se faire sans une réflexion éthique rigoureuse. Une IA, même bien entraînée, n’est pas infaillible : elle peut générer des faux positifs, réagir de manière excessive, ou être exposée à des données biaisées. Le risque de prendre une décision erronée – suspendre un utilisateur à tort, bloquer un service critique – n’est jamais nul.

Pour limiter ces dérives, plusieurs mesures de gouvernance sont indispensables. La première consiste à cloisonner les modèles : il est risqué d’entraîner une IA sur des données trop généralistes, sans finalité précise. Il vaut mieux concevoir des agents spécialisés, avec des périmètres d’intervention bien définis, et une compréhension étroite de leur domaine d’action. Cela limite à la fois les erreurs d’interprétation, mais aussi les risques de manipulation par des adversaires qui chercheraient à empoisonner les données d’entraînement.

Deuxième principe clé : la traçabilité. Chaque décision prise par un agent doit pouvoir être expliquée, auditable, et surtout corrigeable en cas d’erreur. On parle ici d’IA explicable (explainable AI), qui permet aux équipes de comprendre pourquoi une action a été déclenchée, avec quels critères, et selon quelle logique de priorité.

Enfin, la protection de la vie privée doit rester un principe fondamental. Les IA utilisées pour des fonctions publiques (par exemple, des moteurs de recherche de documentation, ou des assistants internes) ne doivent jamais avoir accès à des données sensibles, personnelles ou confidentielles. Une séparation stricte des environnements – entre fonctions publiques et systèmes critiques – est nécessaire pour éviter les fuites ou les usages détournés.

Mais au-delà des aspects techniques et éthiques, c’est également l’opportunité d’une cybersécurité collaborative qui se dessine grâce à l’IA agentique. Avec des protocoles d’interopérabilité comme le Model Context Protocol (MCP), les intelligences artificielles peuvent désormais échanger des signaux de compromission, partager des modèles de détection, ou enrichir mutuellement leurs capacités d’analyse. Cette approche collaborative et interconnectée de la cybersécurité – où les systèmes apprennent ensemble, réagissent plus vite, et construisent une résilience partagée – pourrait constituer l’un des grands bouleversements positifs des prochaines années.

L’intelligence artificielle agentique n’est pas une simple évolution de l’automatisation. Elle introduit une nouvelle approche de la cybersécurité : plus dynamique, plus réactive, et davantage capable de faire face à des menaces évolutives. Mais son efficacité repose sur un équilibre subtil : celui de l’autonomie contrôlée, de la collaboration avec l’humain, et d’une gouvernance solide.

Il ne s’agit pas de remplacer les experts, mais de leur donner des outils plus puissants et plus agiles, pour qu’ils puissent se concentrer là où leur expertise est la plus précieuse. Dans un monde numérique où les menaces ne cessent de s’adapter, l’agentic AI offre aux organisations un levier stratégique pour renforcer leur posture de défense, gagner en réactivité, et anticiper les crises avant qu’elles ne se déclenchent.