IA agissante : Gartner alerte sur une vague d’incidents de sécurité en entreprise

Share on Pinterest Share on LinkedIn

L’intelligence artificielle vient de franchir une ligne rouge en entreprise. Longtemps cantonnée au rôle d’assistante qui rédige, résume ou traduit, elle se mue désormais en acteur autonome capable d’interroger un CRM, de lancer une API de paiement, de modifier un ticket ou de déclencher un workflow complet sans intervention humaine. Cette mutation vers ce que l’on nomme l’IA agissante (ou agentic AI) promet des gains de productivité massifs. Elle ouvre aussi, selon Gartner, une ère inédite d’incidents de sécurité. Dans ses dernières prévisions publiées en avril 2026, le cabinet d’analyse tire la sonnette d’alarme : d’ici 2028, un quart des applications d’IA générative en entreprise connaîtront plusieurs incidents par an, et la surface d’attaque change radicalement de nature. Exfiltration de données, injection de prompts, identités non humaines incontrôlées, décisions automatisées sans traçabilité : la gouvernance classique de la cybersécurité est débordée.

L’analyse Gartner : des chiffres qui donnent le ton

Le verdict du cabinet Gartner est sans appel. Selon ses dernières projections, 25 % des applications d’IA générative en entreprise connaîtront au moins cinq incidents de sécurité mineurs par an d’ici 2028, contre seulement 9 % en 2025. Plus inquiétant encore, 15 % de ces applications subiront au moins un incident grave par an d’ici 2029, contre 3 % aujourd’hui. Un bond qui traduit moins une dégradation des outils qu’une explosion de leur périmètre d’action.

Cette prévision repose sur un constat simple : chaque agent déployé multiplie les connexions aux données internes, aux outils externes et aux systèmes critiques. Gartner pointe directement la responsabilité du Model Context Protocol (MCP), cette norme ouverte introduite par Anthropic fin 2024 et désormais adoptée par OpenAI, qui permet à un modèle de dialoguer avec une infinité de sources et d’outils. Pensé pour l’interopérabilité et la flexibilité, le MCP a été conçu sans mécanisme de sécurité fort par défaut. Résultat : chaque nouveau connecteur devient une porte potentielle, et la majorité des défaillances ne surviendront pas lors de scénarios extrêmes, mais dans des usages quotidiens parfaitement banals.

Le cabinet prévient également que cette explosion ne touchera pas uniquement les géants technologiques. Les PME et ETI, souvent moins équipées en équipes SOC, seront particulièrement exposées, d’autant plus qu’elles adoptent massivement les agents pour compenser des déficits de main-d’œuvre qualifiée.

Qu’est-ce que l’IA agissante, et en quoi diffère-t-elle de l’IA générative ?

La distinction est capitale pour comprendre la nature du risque. L’IA générative classique produit du contenu : un texte, une image, du code, un résumé. Elle ne sort jamais du périmètre de la conversation. Un utilisateur lit la réponse, décide, et agit lui-même. L’IA agissante, au contraire, exécute. Elle ne se contente pas de recommander une action, elle la réalise. Elle écrit dans une base de données, envoie un e-mail, signe un contrat numérique, bloque un compte utilisateur, achète un service cloud ou transfère un fichier.

Techniquement, un agent combine généralement trois briques : un LLM (grand modèle de langage) qui raisonne, un orchestrateur qui décompose la tâche en étapes, et une série d’outils accessibles via API, protocoles MCP ou plugins. Cette architecture permet des enchaînements complexes : un agent commercial peut lire un CRM, générer une proposition, l’envoyer au client, attendre la réponse, puis créer automatiquement la commande dans l’ERP. Cette chaîne d’actions autonomes, que l’on appelle parfois agentic workflow, brouille totalement la frontière traditionnelle entre système informatique et utilisateur.

C’est précisément ce brouillage qui rebat les cartes de la cybersécurité. Jusqu’à présent, on protégeait des machines et on authentifiait des humains. Avec les agents, il faut désormais authentifier, autoriser et auditer des entités logicielles qui décident par elles-mêmes. Un défi qui pousse les équipes sécurité vers des modèles inédits de gouvernance des identités, comme l’illustre l’essor des agents autonomes de Microsoft Copilot Studio.

Les nouveaux risques introduits par l’IA agissante

Exfiltration de données par combinaison de sources

Le premier risque, et le plus sous-estimé, est celui de l’exfiltration silencieuse. Un agent peut lire une documentation interne confidentielle, la croiser avec du contenu externe, puis transmettre le résultat à un service tiers pour « enrichissement ». Chaque étape, prise isolément, paraît légitime. C’est leur combinaison qui crée la fuite. Gartner qualifie cette configuration de « zone interdite » : tout flux qui mélange accès à des données sensibles, ingestion de contenu non vérifié et communication sortante doit être considéré comme à haut risque par défaut.

Prompt injection : la nouvelle faille OWASP n°1

L’injection de prompt est désormais classée au sommet des menaces par la Fondation OWASP pour les applications basées sur les LLM. Le principe : un attaquant glisse, dans un document, un e-mail, une page web ou même une image, des instructions cachées destinées à l’agent. Quand ce dernier ingère le contenu, il les exécute comme s’il s’agissait d’ordres légitimes. Un document PDF piégé peut ainsi ordonner à l’agent de transférer la base clients vers un serveur externe, ou de supprimer des tickets en silence. Dans un environnement agissant, cette manipulation ne produit plus une réponse textuelle erronée : elle déclenche une action réelle dans le SI.

Actions non autorisées et escalade de privilèges

Beaucoup d’organisations déploient leurs premiers agents avec des droits d’administration élargis, pour « voir ce qu’ils peuvent faire ». Cette approche, confortable en phase pilote, devient catastrophique en production. Un agent mal calibré peut cumuler les rôles d’un commercial, d’un contrôleur de gestion et d’un administrateur système. Une simple mauvaise interprétation de consigne, ou un prompt injecté, suffit alors à déclencher une escalade de privilèges que l’IAM traditionnel n’est pas conçu pour détecter.

Identités non humaines : le chaînon manquant

Les agents constituent une nouvelle catégorie d’identités, ni humaines ni machines au sens classique. Gartner parle d’identités non humaines (NHI), et estime qu’elles dépasseront en nombre les identités humaines dans la plupart des entreprises d’ici 2027. Or, ces agents héritent souvent d’un compte de service générique, sans MFA, sans rotation de secrets, sans journalisation fine. Un angle mort béant pour les équipes de cybersécurité d’entreprise, habituées à un modèle Zero Trust pensé pour des humains.

Des incidents déjà observés sur le terrain

L’alerte de Gartner ne relève pas de la prospective pure. Plusieurs incidents documentés en 2025 et début 2026 illustrent déjà la typologie des défaillances à venir. Un grand cabinet de conseil européen a vu son agent juridique générer automatiquement des notes fiscales erronées, envoyées à des clients réels avant détection. Une banque asiatique a identifié un agent de support qui, manipulé par un utilisateur mal intentionné via une demande de ticket, avait exfiltré des données personnelles vers une adresse e-mail contrôlée par l’attaquant.

Dans le secteur public, un pilote d’agent RH aux États-Unis a brièvement modifié les droits d’accès de plusieurs dizaines d’employés après avoir mal interprété une consigne ambiguë. Plus récemment, des chercheurs en sécurité ont publié des proof-of-concepts démontrant qu’il était possible de piéger des agents connectés via MCP à des serveurs tiers compromis, en injectant des instructions cachées dans les métadonnées de fichiers anodins. Autant de cas qui préfigurent ce que Gartner anticipe à grande échelle.

Gouvernance et contrôle : repenser l’IAM pour les agents

Un IAM dédié aux agents

Les grandes plateformes de gestion d’identité (Okta, Microsoft Entra, Ping Identity) déploient désormais des modules spécifiques aux identités d’agents. L’objectif : attribuer à chaque agent un identifiant unique, un cycle de vie contrôlé, des secrets rotés automatiquement et des périmètres d’action délimités. Chaque appel d’API doit être authentifié non pas au nom de l’utilisateur déclencheur, mais au nom de l’agent, ce qui permet de tracer précisément qui a fait quoi dans un agentic workflow.

Journaux d’audit et traçabilité

La traçabilité des décisions prises par un agent devient un impératif réglementaire. Les entreprises doivent conserver non seulement le résultat d’une action, mais aussi le prompt d’origine, le contexte récupéré, les appels d’outils effectués et la chaîne de raisonnement. Cette exigence, déjà portée par l’AI Act européen pour les systèmes à haut risque, pousse l’émergence de nouvelles solutions d’observabilité spécifiques à l’IA, capables de corréler logs LLM, logs applicatifs et logs IAM en une timeline unique.

Principe du moindre privilège

La règle d’or reste la plus ancienne : donner à chaque agent le strict minimum de droits dont il a besoin, pour la durée précise de sa tâche. En pratique, cela implique de préférer des tokens courts, de recourir à des permissions granulaires par outil, et de cloisonner les agents par domaine fonctionnel plutôt que de déployer un super-agent omniscient. Cette discipline freine temporairement l’innovation, mais réduit massivement le rayon d’explosion en cas d’incident.

Recommandations pour les DSI et les CISO

Face à cette nouvelle donne, les directions informatiques et les responsables sécurité doivent agir sans attendre l’arrivée des incidents. Première priorité : établir un inventaire exhaustif des agents déployés dans l’organisation, y compris ceux mis en place par des équipes métier sans supervision IT (le fameux shadow AI). Chaque agent doit avoir un propriétaire métier identifié, un périmètre documenté et une date de revue.

Deuxième axe : appliquer à chaque serveur MCP les règles d’un fournisseur critique. Cela signifie revue de code, audit de sécurité, surveillance continue et politique de mise à jour formalisée. Les vulnérabilités dans les connecteurs tiers vont devenir, selon Gartner, l’un des vecteurs d’attaque majeurs de 2027. Les équipes doivent également définir des zones interdites claires : pas d’agent qui combine à la fois accès à des données sensibles, ingestion de contenu externe non vérifié et capacité à écrire vers l’extérieur.

Enfin, la formation des équipes devient un investissement non négociable. Les développeurs doivent maîtriser les patterns de sécurité propres aux LLM, les administrateurs doivent savoir configurer des garde-fous (guardrails), et les métiers doivent comprendre les limites des agents qu’ils utilisent. Le CISO qui attend que son premier incident d’agent survienne pour s’organiser aura, selon Gartner, un à deux ans de retard sur la menace.

Questions fréquentes

Qu’est-ce qui distingue concrètement l’IA agissante de l’IA générative classique ?
L’IA générative produit du contenu (texte, image, code) et s’arrête là. L’IA agissante exécute des actions dans les systèmes réels : elle appelle des API, modifie des bases de données, envoie des e-mails, déclenche des workflows. Cette capacité à agir change radicalement le profil de risque, car une erreur ne produit plus une mauvaise réponse, mais une action concrète dans le SI.

Pourquoi Gartner prévoit-il une explosion des incidents d’ici 2028 ?
Parce que la surface d’attaque explose en même temps que le déploiement des agents. Chaque nouvel agent ajoute des connecteurs, des identités non humaines et des flux automatisés. Le Model Context Protocol, pensé pour l’interopérabilité, ne prévoit pas de sécurité forte par défaut, et la plupart des entreprises déploient leurs agents plus vite qu’elles ne durcissent leur gouvernance.

Qu’est-ce qu’une identité non humaine (NHI) et pourquoi faut-il s’en préoccuper ?
Une identité non humaine désigne un agent, un script, un service ou un bot qui accède au SI avec ses propres droits. Gartner estime que ces identités dépasseront en nombre les identités humaines d’ici 2027. Or, elles sont souvent moins bien protégées : pas de MFA, peu de rotation de secrets, journalisation lacunaire. Elles représentent un angle mort majeur pour la cybersécurité.

Comment se protéger contre la prompt injection ?
Plusieurs bonnes pratiques existent : filtrer et nettoyer systématiquement les contenus ingérés par les agents, séparer clairement les instructions système des données utilisateur, mettre en place des garde-fous (guardrails) qui bloquent les actions à fort impact sans validation humaine, et maintenir un principe de moindre privilège strict. Aucune solution unique n’élimine complètement le risque, mais leur combinaison le réduit considérablement.

Faut-il ralentir le déploiement des agents en entreprise ?
Gartner ne recommande pas de freiner l’adoption, mais de l’accompagner d’une gouvernance adaptée. L’enjeu est d’éviter le pilotage à vue : inventaire des agents, propriétaires identifiés, revue de sécurité systématique des serveurs MCP, IAM dédié aux identités non humaines et journalisation complète. Les entreprises qui investissent dès 2026 dans cette gouvernance absorberont bien mieux la vague d’incidents annoncée.

Source : Gartner

Share on Pinterest Share on LinkedIn

Maria Lafaye D.

Journaliste spécialisé dans les technologies, le cloud et l'intelligence artificielle, qui rédige en français à l'aide de l'IA pour des médias tels que Actualité Cloud.

le dernier

Google soutient un centre de données construit avec 2 000 téléphones Pixel recyclés

Micron et Anthropic concluent un accord pour intensifier l’IA avec davantage de mémoire

YMTC cède le contrôle de XMC et accélère la réorganisation chinoise des puces mémoire

Arm dépasse 45 % des revenus mondiaux des serveurs : l’IA restructure les data centers

Málaga TechPark : data center 150 MW et pari sur imec

NVIDIA Blackwell-Next dans Linux : CXL, virtualisation GPU