Technologies

IA agentique : le futur cauchemar des RSSI ?

---

Autonomes, adaptatifs et interconnectés, les systèmes d'IA agentique sont à la fois un facteur de productivité et un multiplicateur de risques cyber. Pour sécuriser leur activité, les approches traditionnelles de sécurité pourraient ne pas suffire.

PublicitéLes entreprises utiliseront sans aucun doute l'IA agentique pour un nombre croissant de workflows et de processus, notamment dans le développement logiciel, le support client, ou dans l'évolution de la robotisation des processus (RPA) et l'assistance aux employés. Sauf que ces déploiements annoncés soulèvent bien des questions pour les RSSI et leurs équipes : quels sont les risques de cybersécurité liés à l'IA agentique ? Quels efforts supplémentaires mettre en oeuvre pour concrétiser les ambitions de leur organisation en matière d'IA agentique ?

Dans un rapport de 2024 analysant la façon dont les acteurs malveillants pourraient exploiter l'IA en 2025, Cisco Talos souligne que les systèmes et modèles d'IA capables d'agir de manière autonome pour atteindre leurs objectifs sans intervention humaine pourraient mettre en péril les organisations qui ne sont ni préparées ni équipées pour gérer les systèmes agentiques et leurs compromissions éventuelles.

« À mesure que les systèmes agentiques s'intègrent de plus en plus à des services et des fournisseurs divers, les risques d'exploitation ou de vulnérabilité se multiplient, écrivent les auteurs du rapport. Les systèmes agentiques peuvent également être capables de mener des attaques en plusieurs étapes, de trouver des moyens créatifs d'accéder à des systèmes de données à accès restreints, d'enchaîner des actions apparemment anodines pour bâtir des séquences dangereuses ou d'apprendre à échapper à la détection des services de défense des réseaux et systèmes. »

Nouvelle catégorie de risques cyber

Il est clair que l'IA agentique constituera un défi majeur pour les équipes de cybersécurité et que les RSSI doivent prendre part au débat concernant cette technologie, à mesure que leurs organisations l'adoptent. C'est d'autant plus vrai que de nombreuses entreprises se sont lancées dans les déclinaisons de l'IA sans vraiment se soucier de renforcer leurs systèmes.

Alors que les entreprises adoptent l'IA agentique pour améliorer leur efficacité, leur prise de décision et leur automatisation, « elles doivent également faire face à une nouvelle catégorie de risques cyber, explique Sean Joyce, responsable de la cybersécurité et de la confidentialité au sein du cabinet de conseil PwC. Contrairement aux modèles d'IA traditionnels qui répondent à des sollicitations directes, ces systèmes peuvent agir de manière autonome pour atteindre des objectifs généraux, prendre des décisions, interagir avec d'autres systèmes et adapter leur comportement au fil du temps. » Pour les RSSI, « comprendre et atténuer ces risques émergents est essentiel pour favoriser une adoption sûre et responsable de l'IA », souligne Sean Joyce.

Voici quelques-uns des principaux enjeux et risques impliqués.

Publicité1 Manque de visibilité et essor du shadow IA

Les RSSI n'aiment pas travailler dans le brouillard, et c'est l'un des risques liés à l'IA agentique. Elle peut être déployée de manière autonome par des équipes, voire des utilisateurs individuels, via diverses applications, sans supervision adéquate des services IT et cyber. Cela crée des « agents d'IA fantômes » qui peuvent fonctionner sans contrôles basiques, tels que l'authentification, ce qui rend difficile le suivi de leurs actions et de leur comportement. Cela peut entraîner des risques de sécurité importants, car des agents invisibles peuvent introduire des vulnérabilités.

« Le manque de visibilité engendre plusieurs risques pour les organisations, notamment des risques de sécurité, des problèmes de gouvernance/conformité, des risques opérationnels et un manque de transparence, qui peut entraîner une perte de confiance des employés, des fournisseurs, etc., et freiner l'adoption de l'IA », explique Reena Richtermeyer, associée chez CM Law, qui représente des développeurs d'IA ainsi que de grandes entreprises et entités gouvernementales mettant en oeuvre l'IA.

« Le principal problème que nous constatons est véritablement le manque de visibilité », souligne Wyatt Mayham, consultant en IA au sein du cabinet de conseil Northwest AI. L'IA agentique débute souvent en périphérie du réseau, lorsque des utilisateurs configurent ChatGPT et d'autres outils pour automatiser certaines tâches, explique-t-il. « Et ces agents ne sont ni approuvés, ni contrôlés par la DSI, ce qui signifie qu'ils ne sont ni enregistrés, ni versionnés, ni gouvernés », précise le consultant. Les RSSI sont habitués aux logiciels SaaS déployés sans approbation ; ils doivent désormais composer avec le Shadow IA

« Les organisations ignorent souvent où ces systèmes sont implémentés, qui les utilise et leur degré d'autonomie, explique Pablo Riboldi, RSSI chez BairesDev, une société de développement logiciel nearshore. Il en résulte un problème majeur de shadow IT, car les équipes de sécurité peuvent ignorer les agents qui prennent des décisions en temps réel ou accèdent à des systèmes sensibles sans contrôle centralisé. »

2 Davantage d'autonomie signifie davantage de risques

L'IA agentique permet de laisser la technologie prendre des décisions et agir sans supervision humaine. Ce qui se traduit aussi par des risques cyber. « Les systèmes d'IA agentique sont axés sur les objectifs, explique Sean Joyce. Lorsque ceux-ci sont mal définis ou ambigus, les agents peuvent agir de manière non conforme aux normes de sécurité ou d'éthique de l'entreprise. »

Par exemple, si un agent reçoit l'ordre de réduire le « bruit » dans le centre des opérations de sécurité, il risque d'interpréter cela de manière trop littérale et de supprimer des alertes valides dans le but de rationaliser les opérations, laissant l'organisation aveugle lors d'une intrusion, souligne l'expert de PwC.

Les systèmes d'IA agentique étant conçus pour agir de manière indépendante, sans gouvernance solide, cette autonomie peut rapidement devenir un handicap, ajoute Pablo Riboldi. « Un agent apparemment inoffensif recevant des instructions vagues ou mal définies peut outrepasser ses limites, lancer des workflows, altérer des données ou interagir avec des systèmes critiques de manière imprévue », énumère le RSSI.

Dans un environnement d'IA agentique, « on rencontre beaucoup d'actions effectuées de façon autonome, sans supervision », explique Wyatt Mayham. « Contrairement à l'automatisation traditionnelle, les agents font des choix qui peuvent impliquer de cliquer sur des liens, d'envoyer des e-mails ou de déclencher des workflows. Tout cela repose sur un raisonnement probabiliste. Lorsque ces choix sont erronés, il est difficile d'en déterminer la cause. Nous avons constaté que certains de nos clients exposaient accidentellement des URL internes sensibles par méconnaissance de la signification des implications d'un 'partage sécurisé' ».

3 Systèmes multi-agents : des partages indésirables de données 

Les systèmes multi-agents sont très prometteurs pour l'entreprise, mais l'interaction et le partage de données entre agents IA présentent des risques liés à la sécurité, à la confidentialité et peuvent déboucher sur des conséquences imprévues, explique Reena Richtermeyer de CM Law. « Ces risques découlent de la capacité de l'IA à accéder à de vastes volumes de données, de son autonomie et de la complexité à gouverner des systèmes d'IA multi-agents », explique-t-elle.

Par exemple, les agents d'IA peuvent accéder à des informations sensibles, parfois soumises à des contrats ou à une réglementation stricte, et les traiter. Ce qui peut entraîner une utilisation ou une divulgation de ces informations et, potentiellement, engager la responsabilité de l'organisation, reprend l'avocate.

« Dès qu'une configuration multi-agents est mise en place, un risque de coordination s'installe », renchérit Wyatt Mayham de Northwest AI. « Un agent pourrait étendre la portée d'une tâche d'une manière imprévue, qu'un autre agent n'a pas été formé à gérer. Sans sandboxing, cela peut entraîner un comportement imprévisible du système, surtout si les agents ingèrent de nouvelles données issues d'un fonctionnement en production.»

Car les agents collaborent souvent avec d'autres agents pour effectuer des tâches, ce qui engendre des chaînes de communication et de prise de décision complexes, explique Sean Joyce de PwC. « Ces interactions peuvent propager des données sensibles de manière imprévue, créant des risques de conformité et de sécurité », précise-t-il. Par exemple, un agent du service client résume les informations de compte pour un agent interne chargé de l'analyse de la rétention client. Ce second agent stocke les données dans un emplacement non protégé pour une utilisation ultérieure, violant ainsi les politiques internes de gestion des données.

4 Intégration de tiers : les risques de la supply chain logicielle de l'IA

Les agents peuvent également intégrer et partager des données avec les applications de partenaires via des API. Un défi supplémentaire pour les RSSI, car l'intégration avec des services et des fournisseurs multiples et variés peut augmenter les risques et introduire de nouvelles vulnérabilités.

L'IA agentique s'appuie fortement sur les API et les intégrations externes, note Pablo Riboldi (BairesDev). « Plus un agent accède à des systèmes divers, plus son comportement devient complexe et imprévisible, ajoute-t-il. Ce scénario introduit des risques sur la supply chain logicielle, car une vulnérabilité dans un service tiers pourrait être exploitée ou déclenchée par inadvertance via des interactions agentiques sur différentes plateformes. »

De nombreux agents lancés en phase pilote ou en expérimentation s'appuient sur des API fragiles ou non documentées, ou sur l'automatisation des navigateurs, explique Wyatt Mayham (Northwest AI). « Nous avons constaté des cas où des agents divulguent des jetons via des intégrations mal définies, ou exfiltrent des données via des chaînes de plugins non anticipées. Plus la stack de fournisseurs est fragmentée, plus la surface d'exposition à ce type de problème est grande », ajoute-t-il.

« Chaque point d'intégration élargit la surface d'attaque et peut introduire des vulnérabilités dans la supply chain, abonde Sean Joyce (PwC). Par exemple, un agent d'IA s'intègre à une plateforme RH d'un fournisseur pour automatiser l'onboarding des salariés. Or, l'API de ce fournisseur présente une vulnérabilité connue, un attaquant peut alors l'exploiter pour s'offrir un accès aux systèmes RH internes par déplacement latéral. »

De nombreux outils agentiques s'appuient sur des bibliothèques et des frameworks d'orchestration Open Source, qui peuvent receler des vulnérabilités inconnues des équipes de sécurité, ajoute encore Sean Joyce.

5 Les attaques multi-étapes brouillent la frontière entre erreur et exploit

Les systèmes agentiques recèlent également un potentiel pour mener des attaques multi-étapes et trouver de nouveaux moyens d'accéder à des systèmes de données à accès restreints en échappant à la détection des outils de sécurité.

« À mesure que les systèmes agentiques gagnent en sophistication, ils peuvent développer ou apprendre par inadvertance des comportements sophistiqués qui imitent les attaques multi-étapes, explique Pablo Riboldi. Pire encore, ils peuvent involontairement découvrir des moyens de contourner les méthodes de détection traditionnelles, non pas parce qu'ils sont malveillants, mais parce que leur comportement, axé sur l'atteinte d'objectifs, encourage l'évasion. » Ce qui brouille la frontière entre erreur et exploit, explique le RSSI. Et complique la tâche des équipes de sécurité pour déterminer si un incident est issu d'une attaque, s'il s'agit d'un comportement émergent, ou les deux.

Ce type de risque « est moins théorique qu'il n'y paraît », reconnaît Wyatt Mayham. Lors de tests en laboratoire, nous avons vu des agents solliciter des chaines d'outils de manière inattendue, non pas de manière malveillante, mais plutôt créative. Imaginez maintenant que cette même capacité de raisonnement soit exploitée pour sonder des systèmes, tester des terminaux et éviter les outils de détection basés sur des schémas prédéfinis. »

Comme l'IA agentique peut apprendre des feedbacks qu'elle reçoit, elle pourrait modifier son comportement pour éviter de déclencher les systèmes de détection, intentionnellement ou non, souligne Sean Joyce. « Cela représente un sérieux défi pour les outils traditionnels de détection et de réponse aux incidents basés sur des règles », dit-il. Un agent pourrait déterminer que certaines actions déclenchent des alertes sur telle plateforme de détection des menaces sur les endpoints et ajuster sa méthode pour rester sous les radars, de la même manière qu'un logiciel malveillant s'adapte aux analyses antivirus.

A nouveau paradigme, nouveaux modèles de défense

L'IA agentique est un modèle très attractif pour les entreprises, affirme Sean Joyce (PwC), mais aussi un défi en matière de cybersécurité. « Son autonomie, son adaptabilité et son interconnectivité en font à la fois un multiplicateur de productivité et un vecteur d'attaque potentiel, résume-t-il. Pour les RSSI, les modèles de sécurité traditionnels ne suffisent plus. »

Selon lui, une stratégie de défense robuste de l'IA agentique doit inclure les fondamentaux suivants :
- Observabilité et télémétrie en temps réel ;
- Politiques de gouvernance rigoureuses ;
- Pratiques de développement sécurisées by-design ;
- Coordination entre les équipes de sécurité, la DSI, le département data et la conformité

« En adoptant une approche de sécurité proactive et multicouche et en intégrant la gouvernance d'emblée, les organisations peuvent tirer parti des promesses de l'IA agentique tout en minimisant les risques qu'elle comporte », assure Sean Joyce.

Article rédigé par

Bob Violino, CSO (adapté par Reynald Fléchaux)

Partager cet article