Technologies

Monitoring des agents IA : le défi qui attend tous les RSSI

Le déploiement d’agents IA en production doit pousser les RSSI à déployer un monitoring temps réel de leurs actions et à définir des alertes signalant leurs comportements suspects. (Photo : Jason Yuen/Unsplash)

La surveillance temps réel du comportement des agents au sein des systèmes d'information sera le prochain défi majeur pour les RSSI. Et étendre les principes de sécurité conçus pour les employés à ces bots ne suffira pas.

PublicitéDes agents IA opèrent déjà au sein des systèmes d'entreprise, effectuant discrètement certaines tâches autrefois réalisées par les employés : programmation, rédaction d'e-mails, récupération de fichiers et connexion aux systèmes internes. Il leur arrive aussi de commettre des erreurs coûteuses. Chez Meta, une employée a ainsi demandé à un assistant IA de gérer sa boîte de réception. Il l'a supprimée. Chez Amazon, un agent a décidé de manière autonome de démanteler et de reconstruire un environnement de déploiement, rendant un service AWS indisponible pendant 13 heures.

Ces incidents illustrent un changement plus profond auquel les responsables de la sécurité sont confrontés : les logiciels autonomes agissent désormais au sein des environnements d'entreprise avec de véritables autorisations, avec de réelles conséquences sur les performances ou la disponibilité des données et systèmes.« Les agents sont comme des adolescents, tranche Joe Sullivan, ancien RSSI d'Uber, de Cloudflare et de Facebook, et aujourd'hui à la tête de Joe Sullivan Security « Ils ont tous les accès, mais aucun discernement. »

Déployer la sécurité temps réel

Jusqu'alors, la plupart des efforts de sécurisation de l'IA se sont concentrés sur la prévention : analyse des modèles, filtrage des prompts et analyse du code généré par l'IA avant sa mise en production. Mais à mesure que les entreprises déploient des agents autonomes interagissant directement avec leurs systèmes internes, certains responsables de la sécurité affirment que le véritable risque se déplace. « En matière de sécurité, on part toujours du principe que la prévention est vouée à l'échec, explique Joe Sullivan. C'est pourquoi la détection et le monitoring sont tout aussi importantes. »

La rapidité et l'autonomie des agents d'IA impliquent que les erreurs ou les actions inattendues peuvent se propager rapidement à travers les systèmes. C'est pourquoi un nombre croissant de RSSI se rallient, au moins conceptuellement, à ce que Joe Sullivan appelle la sécurité en temps réel, c'est-à-dire la surveillance continue des agents pendant leur fonctionnement au sein des environnements d'entreprise. En termes simples, la sécurité en temps réel se concentre sur le comportement du logiciel pendant son exécution, plutôt que de se limiter à son évaluation avant déploiement.

Prolonger les principes existants ne suffit pas

Les RSSI ont consacré des années à encadrer le comportement humain au sein des réseaux d'entreprise. Ils disposent de la gestion des identités, du contrôle d'accès basé sur les rôles, de l'analyse du comportement des utilisateurs et d'outils de détection sur les terminaux. La question est de savoir si ces mêmes principes - et ces mêmes outils de suivi adaptés aux employés - peuvent être étendus aux agents IA. Les responsables de la sécurité qui étudient le sujet affirment que cette déclinaison n'est que partielle. Les principes traditionnels restent conceptuellement pertinents, mais les mécanismes nécessaires à l'observation du comportement des agents sont fondamentalement différents.

Publicité« Le quoi n'est pas nouveau, c'est le comment qui l'est », explique ainsi Hanah-Marie Darley, cofondatrice et directrice de l'IA chez l'éditeur de solutions de gouvernance pour l'IA Geordie AI. Selon celle-ci, il faut d'abord s'interroger sur l'accès aux données, c'est-à-dire les informations comportementales de l'agent, principalement via les journaux d'activité. « Or, toutes les plateformes d'agents IA ne garantissent pas l'accès à ces journaux, ni même leur disponibilité », souligne-t-elle.

La quête des logs

Les outils de sécurité traditionnels ont été conçus pour intercepter le comportement humain aux points de contrôle périmétriques, là où les employés accèdent à Internet, se connectent aux systèmes ou transfèrent des données. Les agents, quant à eux, contournent souvent ces points de contrôle. Ils opèrent via des appels API et des connexions MCP qui peuvent échapper aux outils de sécurité chargés de signaler les comportements anormaux.

De plus, ils génèrent une activité considérablement plus importante. Là où un employé classique produit entre 50 et 100 événements de journalisation en deux heures, un agent peut en générer 10 à 20 fois plus dans le même laps de temps. Et - point crucial - ils ne produisent souvent aucun log. Certaines plateformes d'agents génèrent par défaut des journaux d'audit robustes. D'autres non. Les agents de programmation peuvent écraser leurs propres journaux de session lors de la relecture d'une session précédente, ce qui signifie qu'une équipe de sécurité enquêtant sur un incident peut constater que l'historique des événements a été effacé. « Disposer de ces journaux est souvent plus complexe qu'il n'y paraît, car tous les agents n'en possèdent pas nativement », explique Hanah-Marie Darley.

Le problème de l'inventaire

Avant de pouvoir surveiller l'activité des agents, un RSSI doit surtout commencer par relever un défi fondamental : savoir quels agents existent. Ce besoin apparemment simple est plus difficile à appréhender qu'il n'y paraît. Dans de nombreuses grandes entreprises, le nombre d'agents prolifère plus vite que ne peut le recenser un inventaire centralisé. Les équipes marketing déploient des assistants IA. Les services RH utilisent des agents pour la présélection des CV. Les ingénieurs exécutent des agents de programmation avec un accès étendu au système de fichiers. Les employés hors DSI connectent des outils de productivité IA, tels que des preneurs de notes, des gestionnaires de courriels et des assistants de planification, aux comptes de l'entreprise, souvent sans l'approbation formelle du service informatique.

« Les RSSI sont actuellement confrontés à une question cruciale de la part de leur conseil d'administration et de leur PDG, résume Joe Sullivan. Quelles IA sont actuellement exécutées au sein de l'entreprise ? Il est impératif de répondre à cette question : quelles IA sont utilisées et à quoi servent-elles ? » Sans inventaire, la surveillance comportementale est dénuée de tout point d'ancrage. Les équipes de sécurité peuvent certes consulter les journaux des agents connus, mais les agents non répertoriés sont précisément ceux qui sont les plus susceptibles d'entraîner des conséquences indésirables.

Hanah-Marie Darley recommande de commencer par un inventaire structuré, idéalement à l'aide d'outils spécifiquement conçus pour la découverte d'agents. En effet, les systèmes de gestion d'applications généralistes ne permettent souvent pas de visualiser les agents hébergés dans le cloud, les dépôts de code ou les plateformes SaaS. « Commencez par un seul système, conseille-t-elle. Cela vous permettra d'appréhender l'échelle, d'identifier les responsables et de vous familiariser avec les outils dont vous avez réellement besoin.»

À quoi ressemble la surveillance en temps réel ?

Une fois que l'organisation sait où se trouvent ses agents, elle peut se concentrer sur le quoi et sur le comment de la mise en oeuvre d'une surveillance temps réel. Elia Zaitsev, directeur technique de CrowdStrike, explique que les outils existants de détection et de réponse aux incidents pour les terminaux (EDR) capturent déjà les comportements nécessaires au suivi des agents IA. Ils instrumentent les systèmes d'exploitation comme un enregistreur de données de vol, enregistrant chaque application exécutée, chaque fichier auquel elle accède, chaque connexion réseau établie et chaque commande générée.

L'EDR de CrowdStrike, par exemple, construit un graphe des menaces : une carte interactive des comportements et de leurs causes en amont. Si une connexion réseau suspecte est détectée, ce graphe peut remonter jusqu'à l'application ou l'agent à l'origine de la chaîne. « La technologie EDR peut associer ce comportement final au fait qu'il provient d'une application pilotée par un système d'IA, explique le CTO de l'éditeur. Un pare-feu vous indique simplement qu'un élément de cet ordinateur tente de communiquer avec un modèle d'IA dans le cloud. L'EDR vous permet d'affirmer : cette application spécifique communique avec ce modèle donné. »

Pour les agents IA en particulier, ce fonctionnement permet de créer un nouvel ensemble de contrôles. Un système qui reconnaît une application d'agent connue (Claude Code, Codex d'OpenAI, OpenHands) peut lui appliquer une politique différente de celle qu'il appliquerait à la même application exécutée sous contrôle humain. « Certaines activités peuvent sembler anodines si elles sont réalisées par un humain, mais s'il s'agit d'un agent IA en qui je n'ai pas forcément confiance, je peux souhaiter appliquer des politiques différentes en temps réel », précise Elia Zaitsev.

Corriger le maximum de failles lors du développement

Toutes les entreprises n'utiliseront pas uniquement des agents IA prêts à l'emploi. Nombre d'entre elles vont en développer elles-mêmes. Dans ce cadre, la surveillance en temps réel ne signifie pas que les bonnes pratiques des phases de build (analyse du code, évaluation des modèles avant déploiement et vérification des prompts) soient obsolètes. « Il est essentiel de corriger un maximum de failles le plus tôt possible. Le coût moyen d'une faille de sécurité détectée en temps réel est de 4 000 $, contre 40 $ lors des phases de développement », souligne Varun Badhwar, PDG de l'éditeur Endor Labs (sécurité applicative).

Varun Badhwar utilise l'analogie d'une chaîne de production automobile : les contrôles qualité en amont sont toujours bien moins coûteux que le rappel de 70 000 voitures en circulation. Son approche est simple : intégrer la sécurité en amont et la protéger en aval. Il s'agit d'intégrer un maximum de contrôles de sécurité au processus de développement afin de détecter les problèmes pendant la conception des agents, et non après leur exécution. Ensuite, la surveillance en temps réel constitue un dernier rempart de sécurité, car certaines failles passeront toujours entre les mailles du filet, et les vulnérabilités zero-day, par définition, ne peuvent être anticipées lors de la conception.

Pour les RSSI, le changement de posture qu'induisent l'arrivée des agents en production ne se résume pas à l'installation d'un nouvel outil, mais plutôt à une nouvelle façon d'appréhender les risques liés à l'IA. Au lieu de se concentrer uniquement sur la conception des agents, les équipes de sécurité ont de plus en plus besoin de visibilité sur leur comportement une fois intégrés aux systèmes de l'entreprise. La voie à suivre pour les RSSI ne réside ni dans les produits, ni dans une refonte complète de l'infrastructure existante. Il s'agit plutôt d'une extension méthodique des pratiques de sécurité à une nouvelle catégorie d'acteurs, selon le modèle de défense en profondeur combinant sécurité by-design et observabilité.

RSSI : par où démarrer ?

Les experts estiment que les points de départ suivants constituent de premières étapes pratiques pour la mise en oeuvre de la sécurité en temps réel pour la plupart des RSSI :

- Commencez par dresser un inventaire. Choisissez un système (une plateforme SaaS majeure, vos dépôts de code, votre parc de terminaux) et cartographiez les agents qui y opèrent. Identifiez les propriétaires, les permissions et les protocoles. Sans visibilité, rien n'est possible.

- Étendez la surveillance comportementale aux agents. Que ce soit par le biais de l'EDR, d'outils de sécurité dédiés aux agents ou d'une combinaison de ces solutions, définissez un comportement normal. Avec quels systèmes chaque agent doit-il interagir ? Quelles données doit-il traiter ? Avec qui doit-il communiquer ? Tout écart par rapport à cette base de référence doit vous alerter.

- Définissez des politiques spécifiques aux agents. N'appliquez pas aux agents les mêmes contrôles qu'aux employés. Leurs schémas d'accès, leurs profils de risque et leurs modes de défaillance diffèrent. Les outils compatibles avec les agents peuvent adapter les politiques de sécurité selon que l'application soit pilotée par l'IA ou non.

- Anticipez les incidents. Sachez comment neutraliser un agent malveillant sans effacer les traces de son comportement. Les journaux d'activité doivent être stockés dans des espaces de stockage distincts et protégés en écriture, et non pas uniquement dans le système de journalisation natif de la plateforme agentique, où les risques d'écrasement de données sont réels.

- Prévoyez des solutions d'IA pour résoudre les problèmes liés à l'IA. Recruter ne suffira pas à gérer le volume de données. Les équipes de sécurité auront besoin d'automatisation pour surveiller les systèmes fonctionnant à la vitesse des machines.