Agent IA d'entreprise, les zones d'ombre de la sécurité derrière la productivité... l'écart de gouvernance s'élargit

Dans le contexte où les entreprises accélèrent l’intégration de l’intelligence artificielle (IA), les “agents autonomes” visant à améliorer l’efficacité du travail deviennent également de nouvelles vulnérabilités de sécurité. Il est particulièrement important de noter que de nombreuses entreprises ont déployé des agents IA dans leurs systèmes internes sans avoir mis en place un système de confiance et de gouvernance pour les gérer, ce qui est considéré comme un risque central.

Brian Palma, PDG de KnowBe4, a déclaré lors de l’événement KB4-CON 2026 : « Le problème fondamental dans le domaine de la sécurité aujourd’hui réside dans l’écart entre la vitesse d’introduction et celle de la construction d’un système de gouvernance. » Il a souligné que les entreprises doivent d’abord « identifier » et « comprendre » leurs agents IA en fonctionnement dans leurs systèmes. Il explique que l’approche à adopter vis-à-vis des agents IA doit être similaire à celle utilisée dans l’industrie de la sécurité pour les employés humains dans le passé. Cela signifie les considérer comme des actifs non entièrement formés, comprendre leur comportement avant de les protéger.

Palma compare les agents IA à des enfants en âge scolaire. Il explique qu’ils ne peuvent pas distinguer les instructions malveillantes et sont facilement induits en erreur par des commandes erronées ou du code malveillant. Il déclare : « La clé pour établir la confiance réside dans la ‘transparence’. » Il faut savoir précisément quels agents existent, à quels systèmes ils se connectent, et quels ressources ils peuvent accéder.

De « l’humain » à « l’agent IA »… Expansion du périmètre de gestion de la sécurité

Face à cette évolution, KnowBe4 étend sa plateforme de gestion des risques humains existante pour couvrir la sécurité des agents IA. Leur outil AIDA est une plateforme d’automatisation et de formation personnalisée à la sensibilisation à la sécurité pour les employés, tandis que leur nouveau « Gestionnaire de risques des agents » se concentre sur la gestion en liste des agents IA en fonctionnement dans l’environnement de l’entreprise, en identifiant leurs chemins de connexion et leurs droits d’accès, et en configurant des stratégies et des mécanismes de restriction.

Selon Palma, cet outil commence par dresser un inventaire des agents IA présents dans l’entreprise. Ensuite, il suit quels processus chaque agent utilise et où ils se connectent, par exemple aux systèmes de messagerie ou financiers. La dernière étape consiste à définir des « barrières » capables de distinguer ce que l’agent peut faire ou ne pas faire.

Cela indique que la stratégie de sécurité des entreprises évolue vers une structure de « double menace ». En effet, un même agent IA peut à la fois augmenter la productivité et servir de canal d’attaque pour les cybercriminels. Finalement, les entreprises doivent concevoir simultanément des stratégies de défense et d’exploitation.

Menaces IA de plus en plus sophistiquées… « Au cours de l’année prochaine, les incidents causés par des agents augmenteront »

KnowBe4 indique que ses modèles IA sont formés à partir de 15 années de données comportementales recueillies auprès de 70 000 organisations et plus d’un milliard d’utilisateurs. Palma souligne que c’est ce qui distingue leur approche de celle de leurs concurrents. Selon leur rapport « État des risques humains 2025 », 45 % des responsables de la cybersécurité considèrent la « menace IA en constante évolution » comme leur plus grand défi.

Il ajoute qu’avec la plateforme AIDA, le score de risque individuel a été réduit d’environ 4 points de pourcentage par rapport à une gestion manuelle. Cela montre que la formation de sécurité personnalisée basée sur l’IA a un impact positif sur l’amélioration des comportements réels des utilisateurs.

De plus, KnowBe4 étend son support, en partant de Microsoft Copilot, pour inclure Gemini, Claude et ChatGPT, afin de faire face à un environnement « multi-LLM ». Ils estiment que, puisque les entreprises ne se limiteront pas à un seul grand modèle de langage, la gestion des risques liés aux agents IA doit également pouvoir traiter plusieurs modèles simultanément.

Palma met en garde que, dans l’année à venir, le nombre d’incidents de sécurité d’entreprise causés directement par des agents IA pourrait augmenter considérablement. Il déclare : « Les agents élargissent la surface d’attaque. Leur déploiement est crucial et efficace, mais il comporte également de grands risques. »

L’attention portée à la sécurité de l’IA en entreprise dépasse désormais la simple question de « faut-il l’introduire » pour se concentrer sur « qui utilise quel type d’agent IA et où il est connecté ». Certains estiment que, pour qu’une stratégie IA axée sur la productivité et l’innovation soit efficace, il faut d’abord établir des systèmes de confiance et de contrôle, une idée qui gagne de plus en plus d’adhérents.

Remarque TP AI : Cet article est un résumé basé sur le modèle linguistique TokenPost.ai. Le contenu principal peut avoir été omis ou être inexact.