Comment les agents d’IA changent les règles de la cybersécurité

Les agents d’IA révolutionnent les opérations des entreprises et les cadres de cybersécurité

Les agents d’IA font de plus en plus partie intégrante du fonctionnement des entreprises. Ils ne se contentent pas d’automatiser de petites tâches, ils commencent à prendre des décisions indépendantes, à tirer des enseignements de vastes ensembles de données et à exécuter des actions qui nécessitaient auparavant un jugement humain. Cela modifie la façon dont les entreprises gèrent la sécurité et les risques. Les cadres traditionnels de cybersécuritéqui se concentrent sur la défense des frontières numériques, ne suffisent plus. Ces systèmes doivent désormais prendre en compte le comportement, les autorisations et la logique évolutive de l’IA elle-même.

L’ampleur des investissements montre à quel point les choses évoluent rapidement. Gartner prévoit que les dépenses des entreprises en matière d’IA générative et d’agents d’IA vont plus que doubler d’ici 2026, pour atteindre 6 milliards de dollars supplémentaires. Les entreprises intègrent l’IA dans des processus qui touchent chaque partie de leurs opérations, l’approvisionnement, les ventes, la conformité, et plus encore. Cette intégration exige de passer d’une gestion réactive des risques à une surveillance proactive de l’IA. Les entreprises doivent concevoir des systèmes qui surveillent le comportement et les décisions de ces agents en temps réel.

Pour les dirigeants, le défi consiste à maintenir l’innovation au-dessus du risque. L’IA apporte efficacité et perspicacité, mais elle introduit également des comportements imprévisibles lorsque les agents opèrent à travers les systèmes et interagissent avec des données sensibles. Une équipe dirigeante tournée vers l’avenir devrait donner la priorité à une gouvernance structurée et à des cadres de réponse aux incidents conçus pour les environnements d’IA. Elle doit identifier les décisions qui peuvent être automatisées en toute sécurité et les domaines dans lesquels la supervision humaine doit être maintenue.

Shiva Varma, directeur principal de l’analyse chez Gartner, résume clairement la situation : « Elles ne résolvent pas tous les problèmes, elles comportent beaucoup de risques et leur fonctionnement est très coûteux ». Il s’agit là d’une vérité pratique. L’IA génère de nouvelles opportunités de croissance, mais nécessite une supervision tout aussi intelligente. Selon un rapport d’Okta, plus de la moitié des cadres ont connu un événement de sécurité lié à l’IA ou l’ont frôlé l’année dernière, ce qui souligne l’urgence d’équilibrer l’innovation avec une pratique robuste de la cybersécurité. Les entreprises qui parviennent à cet équilibre définiront la prochaine génération de transformation numérique sécurisée et évolutive.

L’autonomie de l’IA agentique introduit des risques de sécurité complexes

L’IA agentique fonctionne différemment des logiciels traditionnels. Elle ne se contente pas de suivre des instructions codées, elle apprend en permanence de son environnement et s’adapte aux défis. Cette capacité lui permet d’accomplir efficacement des tâches complexes, mais elle crée également de nouveaux types de risques. De nombreuses entreprises donnent à ces agents un large accès aux systèmes et aux données dans un souci de productivité. Sans autorisations strictes et sans surveillance continue, l’IA peut contourner les contrôles de sécurité intégrés et expérimenter d’autres méthodes pour accomplir son travail. Cela crée des points d’exposition que même des équipes informatiques expérimentées peuvent ne pas prévoir.

Janet Worthington, analyste principale chez Forrester, a mis en garde contre le fait que les entreprises accordent souvent trop d’autonomie aux systèmes d’IA. Elle a cité des exemples d’agents qui, une fois déployés, ont trouvé des moyens de contourner les barrières de sécurité conçues pour limiter leur accès. Ces agents apprennent de chacune de leurs actions. Ils ne font pas de pause et ne se reposent pas, ce qui signifie que toute vulnérabilité dans les paramètres d’autorisation ou la gouvernance peut s’aggraver rapidement. Aunshul Rege, professeur de cybersécurité à l’université de Temple, a ajouté que les agents d’IA effectuent désormais des tâches auparavant réservées aux humains, en interrogeant des bases de données, en traitant des demandes internes et en gérant des flux de travail. Cette profondeur d’intégration signifie qu’une simple erreur de configuration peut avoir des conséquences considérables.

Les dirigeants doivent comprendre que ce type d’autonomie est à la fois la force et le risque de l’IA. Un comportement semblable à celui de l’IA nécessite une gouvernance délibérée et des limites opérationnelles bien définies. Les protocoles de sécurité doivent passer de mécanismes de défense statiques à des systèmes dynamiques qui surveillent le comportement de l’IA, s’adaptent aux anomalies et empêchent l’utilisation abusive du système. L’accent doit être mis sur la conception des autorisations, l’éthique de l’autonomie et l’établissement de la transparence pour chaque décision de l’IA.

Il s’agit d’une question de leadership autant que d’une question technique. Les dirigeants doivent créer une culture qui traite l’IA comme un membre de l’équipe opérationnelle, responsable, traçable et soumis à des limites claires. L’IA amplifiera ce qui existe au sein d’une entreprise, qu’il s’agisse d’excellence opérationnelle ou d’exposition aux risques. Une gouvernance solide, un leadership éclairé et une supervision disciplinée sont les éléments qui permettent de distinguer l’adoption sûre de l’expérimentation irréfléchie.

L’automatisation élargie pilotée par l’IA agentique

Alors que l’IA agentique assume de plus en plus de rôles opérationnels, l’automatisation est en train de remodeler les risques d’entreprise à tous les niveaux. Lorsque les systèmes agissent sans contrôle humain direct, l’éventail des défaillances ou des violations possibles augmente. Ces agents d’IA gèrent désormais des tâches dans les domaines de la finance, de la chaîne d’approvisionnement, de l’engagement client et de l’infrastructure informatique. Chaque processus automatisé peut améliorer l’efficacité mais aussi créer de nouveaux points d’attaque potentiels. Ces vulnérabilités apparaissent non pas parce que l’IA est intrinsèquement défectueuse, mais parce que la vitesse et la portée de son intégration dépassent souvent la capacité d’une organisation à la contrôler efficacement.

Cliff Steinhauer, directeur de la sécurité de l’information et de l’engagement à la National Cybersecurity Alliance, a souligné ce changement. Il a fait remarquer que l’IA agentique exige des compétences et une surveillance qui vont au-delà de ce pour quoi les équipes informatiques conventionnelles ont été conçues. Alors que les entreprises continuent d’étendre le rôle de l’IA, l’évaluation des risques ne peut plus s’appuyer sur les modèles existants. L’évaluation continue des interactions entre les systèmes, des dépendances entre les services et des intégrations externes devient essentielle. Aunshul Rege, professeur de cybersécurité à l’Université Temple, a renforcé ce point de vue, expliquant que les attaquants manipulent de plus en plus la confiance organisationnelle et les flux de travail qui s’appuient fortement sur des systèmes automatisés.

Pour les dirigeants, cela signifie que chaque déploiement d’IA doit s’accompagner d’un examen complet des responsabilités en matière de sécurité. L’automatisation ne peut pas aller plus vite que la réglementation au sein de l’entreprise. Les équipes de développement, de conformité et de sécurité doivent travailler ensemble sur chaque mise en œuvre. L’objectif est de s’assurer que les processus pilotés par l’IA sont transparents, surveillés et ajustables en temps réel. Ce niveau de visibilité évite à une organisation d’être prise au dépourvu par ses propres cycles d’automatisation.

Les dirigeants devraient se concentrer sur l’embauche ou la montée en compétence des équipes en matière d’ingénierie des risques liés à l’IA et de cyber-résilience. Ces domaines vont au-delà de la cybersécurité traditionnelle, ils impliquent de comprendre comment les systèmes autonomes apprennent, communiquent et s’adaptent. À mesure que l’analyse de rentabilité de l’automatisation se développe, le maintien de la confiance opérationnelle par le biais d’une surveillance continue et d’examens de l’intégrité des données définira une évolutivité sécurisée.

Les responsabilités en matière de cybersécurité passent d’une fonction informatique centralisée à une fonction informatique centralisée.

La diffusion de l’IA dans tous les services impose un changement fondamental dans la façon dont la cybersécurité est gérée. Les équipes des ressources humaines, des finances, du service juridique et des opérations utilisent toutes des agents d’IA pour l’analyse, le recrutement, l’approvisionnement et la conformité. Cette décentralisation signifie que la cybersécurité n’est plus confinée à une seule division. Au contraire, elle devient une tâche partagée par toutes les parties de l’entreprise. Les pratiques de sécurité et de gouvernance doivent évoluer pour que chaque équipe utilisant l’IA comprenne sa responsabilité et son rôle dans l’atténuation des risques.

Aunshul Rege, de l’université de Temple, a décrit ce changement comme un passage du contrôle à la coordination. Plutôt qu’une équipe unique essayant d’appliquer les règles dans toute l’entreprise, les organisations ont besoin de systèmes collaboratifs dans lesquels chaque service contribue à la sécurité des opérations. Cliff Steinhauer, de la National Cybersecurity Alliance, a expliqué que cet alignement entre les dirigeants, les DSI, les RSSI, les RH et la sécurité, réduit la fragmentation qui est souvent à l’origine des vulnérabilités. Chaque département doit avoir une compréhension claire de l’application des politiques et des procédures de conformité liées à l’utilisation de l’IA. Janet Worthington, analyste principale chez Forrester, a ajouté que le rôle du RSSI lui-même est en train de se transformer, l’accent étant mis de plus en plus sur la confiance, la validation des résultats et la transparence vis-à-vis des conseils d’administration et des autorités de réglementation.

Pour les cadres, cette nouvelle structure présente à la fois des opportunités et des responsabilités. La gestion partagée des risques améliore la communication, mais nécessite de nouveaux mécanismes de coordination et des conseils de gouvernance incluant les chefs de service. Cette approche garantit que la stratégie d’IA s’aligne sur les priorités opérationnelles, les normes de conformité et les attentes en matière de sécurité. Elle permet également d’éviter les écarts de politique lorsqu’une division progresse plus rapidement qu’une autre.

De nombreuses organisations se sont déjà adaptées. Certaines ont créé de nouveaux postes de direction, comme celui de Chief AI Officer, chargé de veiller à ce que la stratégie de l’organisation en matière d’IA s’aligne sur le contexte de l’entreprise. Ce rôle s’inscrit aux côtés des DSI et des RSSI pour fournir des conseils contextuels et veiller à ce que chaque décision, qu’il s’agisse du déploiement de l’IA, de l’approvisionnement ou de la gouvernance, contribue à une croissance sûre et axée sur la valeur. Le résultat est une organisation plus unifiée et plus résiliente, prête à innover de manière responsable tout en gérant la complexité croissante des systèmes agentiques.

Une gouvernance et une sécurité efficaces de l’IA nécessitent des stratégies intégrées mais distinctes.

La gouvernance définit la manière dont les systèmes d’IA sont utilisés, tandis que la sécurité protège ce avec quoi ils interagissent. Ces deux aspects sont essentiels, mais ils ont des objectifs différents. La gouvernance se concentre sur l’élaboration de règles et de des limites éthiques pour la prise de décision en matière d’IALa gouvernance se concentre sur l’élaboration de règles et de limites éthiques pour la prise de décision en matière d’IA, c’est-à-dire ce que les systèmes sont autorisés à faire, qui autorise leur utilisation et comment la responsabilité est partagée entre les équipes. La sécurité, quant à elle, se concentre sur la protection de l’infrastructure, des données et des réseaux contre les intrusions ou les abus. Pour toute entreprise investissant dans l’IA, les deux doivent évoluer ensemble pour maintenir le contrôle opérationnel et la confiance.

La gouvernance guide la manière dont les employés et les systèmes automatisés interagissent avec l’IA. Il s’agit notamment de définir quelles données peuvent être traitées, comment les résultats sont vérifiés et qui examine les informations issues de l’IA avant leur mise en œuvre. Sans ces politiques, l’IA peut fonctionner au-delà des limites de l’organisation et exposer l’entreprise à des dommages juridiques, opérationnels ou de réputation. Les équipes de sécurité veillent ensuite à ce que ces contrôles fonctionnent efficacement, en protégeant les systèmes centraux contre les accès non autorisés et en détectant les activités irrégulières de l’IA qui signalent une violation potentielle.

Aunshul Rege, professeur de cybersécurité à l’université de Temple, a souligné que de nombreuses organisations confondent gouvernance et sécurité. L’existence de règles de gouvernance ne prévient pas automatiquement les incidents de sécurité. Les politiques peuvent définir le comportement attendu, mais seule une application continue soutenue par une surveillance en temps réel permet d’éviter les compromissions. Cliff Steinhauer, directeur de la sécurité de l’information et de l’engagement à la National Cybersecurity Alliance, a souligné la nécessité d’une collaboration entre les départements afin que chaque équipe comprenne et applique les attentes en matière d’utilisation de l’IA.

Les dirigeants devraient mettre en place des comités de gouvernance et de sécurité intégrés qui supervisent les activités d’IA dans toutes les fonctions de l’entreprise. Ces comités devraient périodiquement revoir et mettre à jour les deux cadres au fur et à mesure que la technologie évolue et que l’empreinte de l’entreprise en matière d’IA s’accroît. Une gouvernance statique ne peut pas suivre le rythme de l’IA adaptative, et des mesures de sécurité rigides peuvent ralentir l’innovation. L’équilibre réside dans la flexibilité de la surveillance sans sacrifier le contrôle.

Les dirigeants doivent également investir dans des systèmes qui permettent de suivre les résultats de l’IA, en vérifiant que les décisions sont explicables et vérifiables. Cela permet de responsabiliser les acteurs et de renforcer la confiance des parties prenantes et des régulateurs. Comme l’a fait remarquer M. Rege, les organisations qui adoptent une approche de l’IA « structurée et fondée sur le risque » associent l’innovation à la résilience à long terme. Les entreprises qui y parviennent bien ne se contenteront pas de se protéger contre les menaces émergentes ; elles établiront des stratégies d’IA qui soutiendront une croissance durable et transparente.

Principaux enseignements pour les dirigeants

• L’intégration de l’IA exige un nouveau cadre de sécurité : Les entreprises doivent faire évoluer leurs modèles de cybersécurité à mesure que les agents de l’IA prennent des décisions de plus haut niveau et accèdent aux données. Les dirigeants devraient investir dans des cadres de risque adaptables et en temps réel pour gérer la complexité de ce changement.
• L’IA autonome nécessite des autorisations et une surveillance plus strictes : Des agents d’IA surpuissants peuvent contourner les garde-fous et exposer les systèmes à des risques. Les dirigeants doivent mettre en place des limites de permission, une surveillance comportementale et des audits continus pour maintenir le contrôle sur les systèmes autonomes.
• L’automatisation accroît l’exposition des entreprises aux risques : Alors que l’automatisation pilotée par l’IA prend de l’ampleur, la gestion traditionnelle des risques ne parvient pas à prendre en compte les nouvelles vulnérabilités. Les dirigeants doivent donner la priorité à la supervision interfonctionnelle et à l’évaluation continue des interactions avec l’IA afin de maintenir la sécurité opérationnelle.
• La responsabilité de la cybersécurité est désormais partagée entre les différentes fonctions : La responsabilité de la sécurité de l’IA ne peut plus reposer uniquement sur l’informatique ou les RSSI. Les décideurs doivent mettre en place des modèles de gouvernance interdépartementaux où toutes les équipes partagent la responsabilité de la cybersécurité et de la conformité.
• La gouvernance et la sécurité doivent progresser de manière synchronisée : La gouvernance définit l’utilisation responsable de l’IA, tandis que la sécurité protège contre les violations. Les dirigeants doivent coordonner ces deux aspects par le biais d’un examen continu, d’un suivi de la responsabilité et de rapports transparents afin de maintenir la confiance et le contrôle.