Les agents IA incontrôlés deviennent un risque commercial pour les entreprises
L’essor rapide des agents IA expose les entreprises à de nouveaux risques de sécurité et de gouvernance. Selon le Cyber Pulse Report de Microsoft, une part croissante des organisations déploie ces outils sans encadrement suffisant, accentuant les menaces liées à la protection des données, au contrôle des accès et à la conformité.
Une gouvernance insuffisante de l’IA et des agents autonomes représente un risque commercial élevé. Selon le dernier Cyber Pulse Report de Microsoft, la prochaine phase de déploiement de ces technologies exige une réaction rapide et l’implication d’équipes informatiques capables d’en assurer la supervision, le contrôle et la sécurité.
D’après les données de Microsoft, plus de 80% des entreprises du Fortune 500 déploient déjà des agents IA dans leurs activités. Dans la région EMEA, cette proportion atteint environ 42%. Ces agents sont intégrés à un large éventail de processus métiers, tandis que leur déploiement progresse plus vite que les capacités de gouvernance et de sécurité. Sans encadrement strict des équipes IT, ils peuvent accéder à des données sensibles, interagir avec d’autres agents ou prendre des décisions aux conséquences importantes. Ce phénomène appelé «shadow AI» introduit donc de nouvelles dimensions de risque, précisent les auteurs.
Le Cyber Pulse Report souligne également que 29% des collaborateurs utilisent déjà des agents d’IA non autorisés dans le cadre de leur travail. Résultat: des fonctions d’IA sont exploitées sans contrôles adéquats, ni garanties suffisantes en matière de gestion des accès, de protection des données et de conformité réglementaire.
Des contre-mesures pour réduire les risques
Pour limiter ces risques, Microsoft plaide pour un renforcement de l’observabilité et de la gouvernance des agents IA. Le Cyber Pulse Report recommande notamment la mise en place d’un registre centralisé, conçu comme une source unique de référence pour l’ensemble des agents utilisés dans une organisation. Un tel dispositif permet d’éviter une prolifération incontrôlée, de clarifier les responsabilités et d’identifier rapidement les agents non autorisés, susceptibles d’être restreints ou isolés.
L’éditeur insiste également sur l’importance d’un contrôle rigoureux des accès. Comme pour les utilisateurs humains ou les applications, les agents doivent être soumis à une gestion des identités fondée sur le principe du moindre privilège, afin de limiter leur accès aux seules ressources strictement nécessaires. Cette approche doit s’accompagner d’une visibilité accrue grâce à des outils de suivi en temps réel, capables de mettre en lumière les interactions entre agents, données et systèmes, et de détecter plus rapidement les dérives ou comportements à risque.
Enfin, Microsoft souligne la nécessité d’un cadre interopérable et sécurisé, permettant aux agents de fonctionner sur différentes plateformes sous une gouvernance unifiée. Des mécanismes de sécurité intégrés doivent ainsi faciliter l’identification rapide des agents compromis ou mal configurés et permettre une réponse immédiate en cas d’incident.
La firme de Redmond recommande en outre d’appliquer aux agents IA, comme aux collaborateurs, le principe du Zero Trust: droits d’accès minimaux, vérification explicite et présomption de compromission. Les entreprises qui intègrent ces principes dès le début du déploiement, y compris pour les utilisateurs non humains, progresseront plus rapidement et renforceront la confiance dans leurs systèmes d’IA, conclut le rapport.
L’actualité IT en Suisse et à l’international, avec un focus sur la Suisse romande, directement dans votre boîte mail > Inscrivez-vous à la newsletter d’ICTjournal, envoyée du lundi au vendredi!
