80% des entreprises du Fortune 500 utilisent des agents IA actifs : L’observabilité, la gouvernance et la sécurité façonnent la nouvelle frontière
Aujourd’hui, un nouveau rapport Cyber Pulse est publié pour fournir aux dirigeants des informations pratiques et des conseils sur les nouveaux risques en matière de cybersécurité. L’une des préoccupations les plus pressantes concerne la gouvernance des agents IA et autonomes. Les agents IA se développent plus rapidement que certaines entreprises ne peuvent les percevoir, et cet écart de visibilité constitue un risque commercial.
Tout comme les humains, les agents IA nécessitent une protection grâce à une observabilité, une gouvernance et une sécurité solides, en utilisant les principes du Zero Trust. Comme le souligne le rapport, les organisations qui réussiront dans la prochaine phase d’adoption de l’IA seront celles qui agiront rapidement et rassembleront les équipes commerciales, informatiques, de sécurité et de développement pour observer, gouverner et sécuriser leur transformation IA.
L’essor des agents IA humains
La croissance des agents IA s’étend sur de nombreuses régions du monde, des Amériques à l’Europe, au Moyen-Orient et à l’Afrique (EMEA), en passant par l’Asie. Selon Cyber Pulse, des secteurs leaders tels que le logiciel et la technologie (16 %), la manufacture (13 %), les institutions financières (11 %) et le commerce de détail (9 %) utilisent des agents pour soutenir des tâches de plus en plus complexes, comme la rédaction de propositions, l’analyse de données financières, le tri des alertes de sécurité, l’automatisation des processus répétitifs, et l’extraction d’insights à la vitesse machine.
Ces agents peuvent fonctionner en mode assistif, répondant aux demandes des utilisateurs, ou de manière autonome, exécutant des tâches avec un minimum d’intervention humaine. Contrairement aux logiciels traditionnels, les agents sont dynamiques. Ils agissent, décident et accèdent aux données, interagissant de plus en plus avec d’autres agents. Cela change fondamentalement le profil de risque.
Le point aveugle : croissance des agents sans observabilité, gouvernance et sécurité
Malgré l’adoption rapide des agents IA, de nombreuses organisations peinent à répondre à des questions basiques :
- Combien d’agents fonctionnent dans l’entreprise ?
- Qui les possède ?
- Quelles données touchent-ils ?
- Quels agents sont sanctionnés et lesquels ne le sont pas ?
Cette préoccupation n’est pas hypothétique. L’IA non sanctionnée introduit de nouvelles dimensions de risque. Les agents peuvent hériter des permissions, accéder à des informations sensibles et générer des résultats à grande échelle, parfois en dehors de la visibilité des équipes informatiques et de sécurité.
Pourquoi l’observabilité est primordiale
Vous ne pouvez pas protéger ce que vous ne pouvez pas voir, et vous ne pouvez pas gérer ce que vous ne comprenez pas. L’observabilité est un plan de contrôle à travers tous les niveaux de l’organisation (IT, sécurité, développeurs et équipes IA) pour comprendre :
- Quels agents existent
- Qui les possède
- Quels systèmes et données ils touchent
- Comment ils se comportent
Le rapport Cyber Pulse décrit cinq capacités essentielles que les organisations doivent établir pour une véritable observabilité et gouvernance des agents IA :
- Registre : Un registre centralisé agissant comme une source unique de vérité pour tous les agents.
- Contrôle d’accès : Chaque agent est gouverné par les mêmes contrôles d’accès appliqués aux utilisateurs humains.
- Visualisation : Des tableaux de bord en temps réel fournissent des informations sur l’interaction des agents avec les personnes et les données.
- Interopérabilité : Les agents fonctionnent sur des plateformes Microsoft, des cadres open-source et des écosystèmes tiers sous un modèle de gouvernance cohérent.
- Sécurité : Des protections intégrées garantissent la sécurité des agents contre les abus internes et les menaces cybernétiques externes.
Gouvernance et sécurité : deux éléments complémentaires
Une clarification importante émerge du rapport Cyber Pulse : la gouvernance et la sécurité sont liées, mais ne sont pas interchangeables. La gouvernance définit la propriété, la responsabilité, la politique et la supervision, tandis que la sécurité applique des contrôles, protège l’accès et détecte les menaces.
Les risques liés à l’IA doivent être traités comme un risque d’entreprise majeur, aux côtés des risques financiers, opérationnels et réglementaires. Une sécurité et une gouvernance solides font plus que réduire les risques ; elles permettent la transparence, qui devient rapidement un avantage concurrentiel.