La prolifération des agents d'IA crée de nouveaux risques pour plus de 150 000 bots d'entreprise

La prolifération des agents d'IA autonomes, avec une prévision de 150 000 bots en activité dans une entreprise moyenne du Fortune 500 d'ici deux ans, crée un défi de gestion et de cybersécurité important qui menace d'éclipser les gains de productivité.

« Parce que tout le monde peut le faire, nous allons probablement nous retrouver avec beaucoup de personnes possédant les mêmes types d'agents », a déclaré Michael Friedlander, directeur de l'information pour les Amériques chez Magnum Ice Cream, au Wall Street Journal, soulignant la nature décentralisée du problème.

Des entreprises comme Lyft, DaVita et Fair Isaac (FICO) naviguent déjà dans cette « prolifération des agents d'IA », alimentée par la facilité de création de bots avec des plateformes comme Claude Cowork d'Anthropic. Les employés de l'entreprise de soins rénaux DaVita ont créé plus de 10 000 agents d'IA. Selon le cabinet d'études de marché Gartner, seules 13 % des organisations estiment avoir mis en place une gouvernance adéquate des agents d'IA aujourd'hui.

Ce manque de gouvernance crée un risque financier et de sécurité important, les agents redondants faisant grimper les coûts informatiques et les bots mal configurés exposant des systèmes internes sensibles — une menace qui, selon Microsoft, est déjà activement exploitée par des attaquants.

Le double tranchant de la démocratisation de l'IA

Le cœur du problème réside dans l'accessibilité même qui rend les outils d'IA attractifs. Les plateformes d'entreprises comme Anthropic et les frameworks open-source comme OpenClaw et AutoGen Studio de Microsoft permettent aux employés non techniques de construire et de déployer facilement des agents pour des tâches telles que le résumé d'e-mails, l'écriture de code ou l'analyse de données. Chez FICO, des dizaines de nouveaux agents sont créés quotidiennement à travers la hiérarchie de l'entreprise, a déclaré le DSI Mike Trkay.

Si cela peut favoriser l'innovation, cela mène aussi au chaos. Plusieurs agents peuvent effectuer la même tâche, augmentant inutilement les coûts de jetons et de calcul. Pire encore, ils peuvent produire des résultats contradictoires à partir des mêmes données, sapant la prise de décision. Pour gérer cela, DaVita a développé une plateforme interne pour gérer les coûts de jetons et freiner les agents sous-performants, tandis que Lyft crée une plateforme centralisée avec des contrôles informatiques.

De la prolifération aux mauvaises configurations exploitables

Le risque le plus grave de la croissance incontrôlée des agents se situe dans la cybersécurité. Selon une étude de Microsoft Defender for Cloud, de nombreux déploiements d'IA sont précipités en production sur des plateformes cloud-native comme Kubernetes avec une authentification faible ou inexistante. Ces « mauvaises configurations exploitables » créent des chemins d'attaque à faible effort et à fort impact.

Des chercheurs ont découvert des outils d'IA open-source populaires déployés avec des paramètres par défaut non sécurisés. Mage AI, une plateforme de pipeline de données et d'IA, exposait une interface utilisateur Web sans authentification permettant l'exécution de code arbitraire avec des privilèges d'administrateur de cluster. Bien que le problème ait été corrigé depuis, il a été observé comme étant activement exploité. De même, le framework kagent pour l'exécution d'agents d'IA sur Kubernetes manquait d'authentification par défaut, permettant à des utilisateurs anonymes de déployer des charges de travail malveillantes si l'application était exposée publiquement.

Ces vulnérabilités peuvent permettre à des attaquants de réaliser une exécution de code à distance, de voler des identifiants et d'accéder à des outils et des données internes sensibles sans utiliser d'exploits zero-day sophistiqués. Microsoft a découvert que 15 % des serveurs Model Context Protocol (MCP) déployés à distance, qui permettent aux agents d'interagir avec des outils externes, n'étaient pas sécurisés et permettaient un accès non authentifié aux systèmes RH internes et aux dépôts de code privés.

Une stratégie de « défense en profondeur » pour la sécurité des agents

Pour contrer la prolifération, les experts en sécurité recommandent une stratégie de « défense en profondeur » axée sur la couche applicative, là où les concepteurs ont le plus de contrôle. Cette approche va au-delà de la simple confiance dans les fonctions de sécurité probabilistes du modèle d'IA lui-même et met en œuvre des contrôles structurels dans la manière dont les agents sont construits et gouvernés.

Les architectes de sécurité de Microsoft préconisent quatre modèles de conception clés. Premièrement, concevoir les agents comme des microservices, avec des responsabilités étroites et des autorisations isolées, afin de limiter le rayon d'impact de toute compromission unique. Cela contre le mode de défaillance de l'« agent universel », où un bot dispose d'un accès trop large.

Deuxièmement, appliquer une politique de moindre privilège, où les agents commencent avec zéro autorisation et ne reçoivent explicitement accès qu'aux outils et données spécifiques requis pour une tâche. Troisièmement, mettre en œuvre des examens déterministes avec intervention humaine (human-in-the-loop ou HITL) pour les décisions à enjeux élevés. Crucialement, les déclencheurs de l'examen humain doivent être définis dans le code et appliqués par l'application, et non laissés au raisonnement de l'agent.

Enfin, l'établissement de l'identité de l'agent comme primitive de sécurité de base est critique. Chaque agent doit avoir une identité unique et vérifiable, distincte de l'utilisateur qui l'a créé. Cela permet des autorisations granulaires, une gouvernance du cycle de vie et des pistes d'audit claires, garantissant que même si des milliers d'agents sont déployés, leurs actions peuvent être suivies, gérées et, si nécessaire, révoquées.

Cet article est uniquement à titre informatif et ne constitue pas un conseil en investissement.