Les agents AI créent une nouvelle surface d’attaque : comment les entreprises bâtissent leur défense

À mesure que les entreprises déploient massivement des agents IA pour travailler aux côtés des humains, elles peuvent involontairement ouvrir la porte à de nouveaux types de cyberattaques. Les agents non protégés sont susceptibles de manipulation et peuvent accéder à des systèmes critiques et aux secrets commerciaux — sans être détectés par les équipes de sécurité. Le problème central réside dans le concept d'Identités Non-Humaines (NHI).

Il s'agit de tokens, clés API, comptes de service et autres mécanismes par lesquels les systèmes logiciels — y compris les agents IA — s'authentifient et interagissent avec d'autres services. Dans plusieurs grandes entreprises modernes, les NHI dépassent déjà en nombre les comptes humains. La transition vers l'IA agentic, selon les prévisions de MIT Technology Review, rendra cet écart exponentiel.

Chaque identificateur est un point d'entrée potentiel. Si un agent fonctionne avec des privilèges excessifs ou ses credentials sont compromises, un attaquant obtient non seulement accès à un compte, mais à l'ensemble de l'infrastructure avec laquelle l'agent interagit. Pendant ce temps, les outils de surveillance traditionnels configurés pour suivre les actions humaines ne détectent tout simplement pas de telles menaces.

Les experts soulignent plusieurs directions pour construire une protection au niveau des agents. D'abord — le principe du moindre privilège : un agent ne doit avoir que les droits nécessaires pour une tâche spécifique, rien de plus. Deuxièmement — audit et rotation des NHI au même titre que les mots de passe humains.

Troisièmement — mettre en œuvre des politiques de confiance zéro pour chaque interaction d'agent : aucune requête n'est considérée comme sûre par défaut. Une menace distincte est celle des attaques par injection de prompt, au cours desquelles des instructions malveillantes sont intégrées dans les données d'entrée de l'agent et le forcent à exécuter des actions non autorisées. C'est particulièrement dangereux lorsque l'agent a accès aux bases de données d'entreprise ou aux outils d'automatisation.

La transition vers l'IA agentic n'est pas simplement un changement technique ; c'est une reconceptualisation du modèle même de sécurité d'entreprise. Les entreprises qui ne mettront pas en place une gestion des Identités Non-Humaines dès maintenant risquent de rencontrer des violations extrêmement difficiles à attribuer et à enquêter. La gouvernance pour l'IA agentic devient non pas une option, mais une exigence fondamentale.