Retour au blog

Les agents IA deviennent des employés. Il faut commencer à les sécuriser comme des employés.

L'injection de prompt n'est plus toute l'histoire. Quand les agents IA obtiennent des outils, de la mémoire et de l'autonomie, la sécurité doit gouverner l'ensemble du système—pas seulement le modèle.

L'industrie de l'IA a passé les dernières années à obséder sur l'injection de prompt—craignant qu'un prompt malveillant ne pousse un chatbot à produire une réponse involontaire.

Mais l'injection de prompt n'est plus toute l'histoire.

Les systèmes d'IA d'aujourd'hui évoluent rapidement d'assistants passifs en agents autonomes. Ils ne se contentent plus de répondre aux questions. Ils accèdent aux fichiers, analysent les e-mails, invoquent des API, exécutent des workflows en plusieurs étapes et prennent des décisions opérationnelles pour le compte des utilisateurs.

Dès qu'un système d'IA acquiert la capacité d'agir, le manuel de sécurité change complètement.

Un récent article USENIX Security 2026, SoK: Attack and Defense Landscape of Agentic AI Systems par Kim et al., propose l'une des analyses les plus complètes de la sécurité des agents à ce jour. Les chercheurs ont examiné 128 articles académiques, identifié 51 techniques d'attaque et 60 stratégies de défense, et proposé un cadre pour comprendre les défis de sécurité émergents des systèmes d'IA autonomes.

Leur conclusion centrale est simple :

Pour les organisations qui conçoivent, déploient ou s'appuient sur des produits alimentés par l'IA, cela devrait servir d'appel au réveil.

Plus un agent IA gagne en autonomie, plus sa surface d'attaque s'agrandit.

Pourquoi la sécurité des agents est différente

Les logiciels traditionnels suivent une logique prédéfinie. Les applications LLM traditionnelles produisent surtout du texte. Les systèmes agentiques fonctionnent autrement.

Ils combinent des modèles de langage avec des outils externes, des systèmes de mémoire, des bases de données, des API et des capacités de décision autonomes. Un agent d'entreprise peut lire un e-mail entrant, récupérer des informations dans la documentation interne, interroger un CRM, mettre à jour une base de données et envoyer une réponse—le tout dans un seul workflow.

Cette flexibilité rend les agents si puissants. C'est aussi ce qui les rend difficiles à sécuriser.

L'article USENIX affirme que se concentrer uniquement sur la sécurité du modèle est insuffisant. La sécurité doit être évaluée sur l'ensemble de l'écosystème de l'agent : le modèle, sa mémoire, ses outils, ses sources de données et les actions qu'il peut effectuer.

Les sept dimensions du risque agentique

Les chercheurs identifient sept dimensions clés qui influencent la posture de sécurité d'un agent :

  • Input Trust — D'où provient l'information ?
  • Data Access Sensitivity — À quelles informations l'agent peut-il accéder ?
  • Workflow Autonomy — Peut-il décider seul de la prochaine action ?
  • Action Capability — Peut-il modifier, supprimer ou transmettre des données ?
  • Memory Persistence — L'information persiste-t-elle entre les sessions ?
  • Tool Availability — Quels systèmes externes peut-il invoquer ?
  • User Interface Power — Quelle influence a-t-il sur les décisions des utilisateurs ?

Comparez un chatbot de support client et un assistant exécutif autonome.

Chaque capacité supplémentaire augmente l'utilité. Mais elle élargit aussi la surface d'attaque et crée de nouvelles opportunités d'abus, de manipulation ou de comportement involontaire.

La sécurité devient moins une question de protection du modèle et plus une question de gouvernance d'un système complexe.

Le contexte devient la nouvelle frontière de sécurité

Pendant des décennies, la cybersécurité s'est concentrée sur trois principes : confidentialité, intégrité et disponibilité. Ces principes restent essentiels.

Mais l'IA agentique introduit un nouveau défi : la sécurité contextuelle.

Un agent peut disposer d'une authentification forte, de communications chiffrées et de contrôles d'accès stricts, et échouer pourtant de façon catastrophique parce qu'il agit sur des informations malveillantes ou manipulées.

Imaginez un agent traitant un PDF apparemment inoffensif téléversé par un tiers. Des instructions cachées dans le document disent à l'agent d'ignorer les consignes précédentes, de récupérer des informations sensibles et de les transmettre ailleurs.

Cette distinction compte, car de nombreuses attaques IA émergentes exploitent les flux d'information plutôt que les vulnérabilités logicielles.

Le système n'a pas été compromis par des identifiants volés.

L'infrastructure n'a pas été violée.

L'agent a simplement suivi le mauvais contexte.

Pour les systèmes agentiques, le contexte devient une frontière de sécurité aussi importante que l'authentification, le chiffrement ou la segmentation réseau.

Pourquoi la mémoire crée de nouveaux risques

La mémoire IA est souvent présentée comme une fonctionnalité d'expérience utilisateur. L'argument est simple : une meilleure mémoire permet une meilleure personnalisation.

Mais la mémoire crée aussi de la persistance. Et la persistance crée du risque.

L'article USENIX met en lumière la façon dont des attaquants peuvent tenter d'empoisonner des mémoires à long terme avec des instructions malveillantes ou des informations trompeuses. Une fois écrit dans la mémoire, ce contenu peut influencer des décisions futures longtemps après la fin de l'interaction d'origine.

Contrairement à une attaque temporaire par injection de prompt, l'empoisonnement de la mémoire peut persister à travers les workflows, les utilisateurs et le temps. Le résultat est un défi de sécurité fondamentalement différent.

La mémoire n'est plus seulement une fonctionnalité de confort.

La mémoire est une infrastructure.

Et l'infrastructure exige une gouvernance.

Les agents les plus dangereux sont ceux qui ont des permissions

Les plus grands risques de l'IA agentique ne viennent pas nécessairement de l'intelligence du modèle. Ils viennent de l'autorité qui lui est accordée.

Un modèle qui génère un paragraphe incorrect est gênant. Un agent avec accès aux dossiers clients, aux documents internes, aux systèmes financiers, aux plateformes de communication et aux outils d'automatisation peut avoir des conséquences réelles.

À mesure que les organisations connectent des agents à des systèmes de plus en plus puissants, l'attention doit passer de la capacité du modèle au contrôle opérationnel.

La question critique n'est plus : « Quelle est l'intelligence du modèle ? » C'est : « Que le modèle est-il autorisé à faire ? »

Construire des systèmes d'agents dignes de confiance

La leçon plus large de l'article est que la sécurité des agents exige une défense en profondeur.

Les organisations qui déploient des agents IA devraient prioriser :

  • Données de confiance vs. non fiables — Séparation forte entre sources de données
  • Limites de permission — Frontières explicites autour des actions des agents
  • Gouvernance de la mémoire — Contrôles pour les systèmes de mémoire à long terme
  • Approbation humaine — Validation pour les opérations à haut risque
  • Audit et observabilité — Journalisation et surveillance complètes
  • Politiques d'accès aux outils — Règles claires pour les intégrations externes

Ces principes reprennent des pratiques de cybersécurité bien établies, car les agents IA ressemblent de plus en plus à des employés plutôt qu'à des fonctionnalités logicielles.

La leçon la plus large

L'industrie décrit souvent les agents IA comme des employés numériques. Cette analogie devient de plus en plus juste.

Les employés reçoivent une formation. Les employés opèrent selon des politiques. Les employés ont des permissions définies. Les employés sont surveillés. Les employés peuvent faire des erreurs.

Les agents IA ne font pas exception. La seule différence : ils peuvent faire des erreurs à la vitesse de la machine.

Les produits IA les plus réussis de la prochaine décennie n'auront pas seulement les modèles les plus capables. Ils auront l'architecture de confiance la plus solide.

L'intelligence attire les utilisateurs.

La confiance les retient.

Protéger le contexte, pas seulement les données

Chez PrivateNote.ai, nous croyons que protéger le contexte devient aussi important que protéger les données elles-mêmes. À mesure que les systèmes d'IA accèdent à nos notes personnelles, aux connaissances métier et aux workflows opérationnels, la sécurité doit dépasser le stockage et le chiffrement pour inclure les informations que les agents consomment, mémorisent et sur lesquelles ils agissent.