Shadow agentic : comment réduire le déploiement incontrôlé d'agents IA
L’IA agentique est le buzzword de ces derniers mois. Avec cette évolution naturelle de l’IA générative, l’intelligence artificielle change d’échelle. Alors que ChatGPT, Claude ou Gemini suivent nos instructions à la lettre pour générer du code, créer des visuels ou résumer des documents, les agents autonomes sont capables, comme leur nom l’indique, de prendre des décisions en temps réel et d’exécuter des tâches en toute autonomie, sans supervision humaine. La machine ne se contente plus de répondre à nos injonctions mais agit en classant nos mails ou en modifiant une fiche client dans un CRM.
Encore émergent, le phénomène est appelé à se généraliser. Selon une étude du cabinet McKinsey, 23% des organisations interrogées déclarent avoir déjà mise en place un système d’IA agentique. Adecco a déjà recours à ces collaborateurs virtuels pour assurer la préqualification des candidats pour un poste donné. Bouygues Telecom a, lui, déployé une armée d’agents IA pour améliorer son expérience client.
Mais si l’IA agentique multiplie les promesses de gains de productivité, elle augmente, dans le même temps, la surface d’exposition aux risques des organisations. Faisant appel à des grands modèles de langage (LLM), l’IA agentique hérite tout d’abord de toutes les menaces cyber qui pèsent sur l’IA générative comme les attaques par prompt injection. A cela s’ajoutent des risques spécifiques liés à l’autonomisation des agents. Pour mener à bien leurs missions, ils vont devoir, comme leurs collègues humains, manipuler des fichiers, lire des courriels, se connecter à des bases de données et à des applications d’entreprise de type CRM et ERP.
Fuite de données et risque réputationnel
"Le risque le plus connu est celui de la fuite de données mais il y a aussi le risque réputationnel avec l’envoi possible de messages inappropriés à des clients", avance Tanguy Duthion, CEO d’Avanoo, éditeur d’une plateforme française de protection contre le shadow IT et le shadow AI. A partir d’une injection d’invites, un cybercriminel peut manipuler un agent et lui demander de réaliser des actions nuisibles ou non autorisées, comme supprimer une base de données ou exfiltrer des données.
Une mauvaise configuration des agents autonomes peut exposer en clair des identifiants et des clés API. Un agent compromis peut, par ailleurs, dissimuler une charge malveillante qui explosera le moment venu. Moins lourd de conséquences, des agents "zombies" peuvent provoquer un déni de service en sursollicitant les ressources d’un système informatique. Enfin, l’orchestration de multiples agents, se coordonnant entre eux, fait planer la possibilité d’un risque systémique.
La menace peut aussi venir de l’intérieur. Alors que la DSI commence seulement à juguler le phénomène de "shadow AI" en mettant à la disposition des salariés des ChatGPT privatisés et sécurisés que se profile le "shadow agentic". Des employés auront rapidement compris l’intérêt de faire travailler des agents virtuels à leur place. C’est tout particulièrement le cas des jeunes actifs de la génération Z qui ont le réflexe IA pour résoudre les problèmes de leur vie personnelle comme professionnelle.
Quelques heures pour créer un agent
Avec un outil de no-code comme n8n, Make ou Zapier, un utilisateur averti peut créer en quelques heures un workflow certes basique mais qui interagira avec OneDrive ou Gmail exposant potentiellement les données de son employeur. "Qu’un employé utilise un outil no code dit quelque chose, cela devrait alerter la DSI", juge Tanguy Duthion. Il y a aussi des outils dédiés à la création d’agents comme le tant redouté OpenClaw. Une fois installé sur un terminal, celui-ci en prend le contrôle complet. Connecté à 1Password, Slack ou Microsoft Teams, il va lire les messages de l’utilisateur, naviguer sur le web, effectuer les transactions demandées mais aussi prendre des initiatives, pour le meilleur ou le pire. Un véritable cauchemar de RSSI.
Cette nouvelle menace est à rapprocher des navigateurs dopés à l’IA générative et agentique. L’an dernier, Perplexity AI et OpenAI on lancés respectivement Comet et ChatGPT Atlas. Ces browsers d’un nouveau genre ont pour particularité de surfer en toute autonomie sur internet et, pour réaliser les tâches demandées, d’accéder à des données sensibles comme l’historique de navigation, des identifiants ou des informations provenant d’applications tierces telles une messagerie ou un calendrier.
Dans sa lutte contre ce shadow agentic, une entreprise a la possibilité d’imposer une ou plusieurs plateformes agentiques dument validées. Une manière de déporter le risque cyber sur les fournisseurs spécialisés considérant qu’ils intègrent nativement des mécanismes de sécurité. Les éditeurs Salesforce, Notion, ServiceNow ou Workday et les hyperscalers Microsoft Azure, Google Cloud ou AWS multiplient les agents pour automatiser les processus métiers.
Tous ces acteurs sont toutefois américains hébergeant des IA américaines, ce qui expose leurs clients aux lois extraterritoriales étatsuniennes de type Cloud Act ou Fisa. Pour réduire le risque d’enfermement propriétaire et de dépendance technologique, il est possible de passer par des plateformes souveraines et "IA agnostiques" comme celles proposées par les français Prism.ai, Konverso ou Illuin Technology.
Un cadre de gouvernance dédié à la Self AI
La mise à disposition de ce type de solution de création d’agents IA présente l’avantage de ne pas brider l’innovation tout en limitant le recours à des techniques de contournement de la part des employés. Des entreprises font le choix de restreindre son accès à quelques utilisateurs avertis tandis que d’autres, comme Bouygues Telecom ou EDF, l’ont ouverte à l’ensemble de leur effectif.
Quelle que soit l’option retenue, une stratégie de "Self AI " suppose de placer un cadre de gouvernance. Avant d’être mis en production, les agents seront soumis à une instance de contrôle qui s’assure qu’ils sont sécurisés, pertinents fonctionnellement et ne font pas doublons avec des agents déjà créés. S’ils présentent un intérêt collectif, ces agents validés seront partagés au reste de l’entreprise via un "store" interne.
"Il est essentiel de cartographier les cas d’usage de l’IA agentique puis de poser les règles sur ce qui est autorisé et interdit", insiste Tanguy Duthion. Il préconise de dispenser des actions de sensibilisation sur les opportunités offertes par les agents autonome mais aussi sur leurs limites et les risques induits. L’instauration d’une charte IA, annexée au contrat de travail ou au règlement intérieur, permet, par ailleurs, de responsabiliser le collaborateur. En cas de non-respect, il peut lui être opposable juridiquement.
Approche Zero Trust appliquée à l’IA agentique
Au-delà de ces enjeux organisationnels, une entreprise doit mettre en place des dispositifs techniques pour gérer les droits d’accès des utilisateurs, superviser l’utilisation des agents et garantir la conformité aux politiques de l’entreprise et au cadre réglementaire (RGPD, AI Act). Mais comment savoir, à tout moment, quel agent fait quoi, à quel moment et avec quelles données ?
Pour Tanguy Duthion, il n’existe pas encore de plateforme d’observabilité unique qui permette de monitorer les différentes catégories d’agents déjà mentionnées, qu’ils soient créés en local, proposés en mode SaaS ou orchestrés. Faute de mieux, il convient de jongler avec une panoplie d’outils dédiés à la surveillance web, au poste de travail (EDR), au contrôle des flux sortants (DLP) ou au serveur MCP (MCP management). Pour rappel, le Model Context Protocol permet aux agents IA de se connecter aux applications métiers, aux services cloud ou aux bases de données.
"Les agents IA permettant d’exécuter des actions en tout autonomie, il convient de protéger les mouvements de données qu’il s’agisse de pousser un fichier, de le télécharger ou de le transférer vers l’extérieur, estime, de son côté, Sébastien Baron, directeur technique de Mimecast, un éditeur français spécialisé dans la protection des e-mails et des solutions e collaboration. Depuis une messagerie peuvent transiter des contenus sensibles comme des factures, des bulletins de paie ou des rapports patients."
Pour Sébastien Baron, l’approche Zero Trust qui repose, entre autres, sur les principes du moindre privilège, de la sécurité centrée sur les données et de la surveillance continue, peut parfaitement s’appliquer à l’IA agentique. "Par défaut, aucun agent n’est autorisé puis on ouvre les vannes au compte-goutte. Seuls les agents validés par l’entreprise et correctement configurés pour interagir avec l’écosystème applicatif peuvent être mis en production.".