Le Point Aveugle de la Gouvernance de l’IA Agentique
Dans le monde de la cybersécurité et de la technologie, la gouvernance est un concept fondamental, souvent souligné par les leaders du secteur. L’importance de la gouvernance en matière de cybersécurité est mise en avant par des organismes comme la CISA (Cybersecurity and Infrastructure Security Agency) qui définissent la gouvernance comme une stratégie globale intégrée aux opérations organisationnelles, visant à prévenir les interruptions dues à des menaces ou attaques cybernétiques.
De même, la gouvernance de l’IA est un sujet de préoccupation croissant, avec de nombreuses publications et cadres appelant à son instauration. Le rapport sur le coût d’une violation de données d’IBM en 2025 a même souligné le gap de supervision de l’IA, indiquant que 97 % des organisations avaient subi un incident de sécurité lié à l’IA sans avoir de contrôles d’accès appropriés.
Un Écart Critique en Gouvernance de l’IA
Un des principaux problèmes réside dans le manque de gouvernance spécifique pour l’IA agentique, un domaine qui transforme réellement les environnements d’entreprise grâce à l’autonomie et aux actions des systèmes d’IA. Bien que l’on parle de la décennie des agents, les ressources disponibles sur la gouvernance de l’IA ne mentionnent pas les agents autonomes.
Les trois ressources les plus citées en matière de gouvernance de l’IA – le cadre de gestion des risques de l’IA NIST, le règlement de l’UE sur l’IA, et l’ISO 42001 – ne font aucune mention de l’IA agentique. Ce manque de références aux systèmes autonomes et aux interactions entre agents représente un échec structurel dans le paysage de la gouvernance.
Les Risques Associés à l’IA Agentique
Les systèmes d’IA agentique ne se contentent pas de fournir des résultats basés sur des entrées, mais prennent des décisions et effectuent des actions qui peuvent avoir des conséquences réelles. Les risques liés à ces agents, tels que l’accès direct aux systèmes et données, ainsi que les interactions externes, augmentent considérablement la surface d’attaque potentielle.
Des organisations comme la National Association of Corporate Directors (NACD) signalent que la conformité réglementaire devient plus complexe dans un monde où des systèmes d’IA effectuent des milliers d’actions quotidiennes sans révision humaine.
Un Manque d’Adaptation
Les publications de gouvernance actuelles ont été écrites à une époque où l’IA se concentrait principalement sur des modèles générateurs. Les préoccupations liées à la sécurité, l’alignement et les biais sont toujours valables, mais les risques posés par l’IA agentique sont exponentiellement plus importants.
Les modèles d’IA traditionnels peuvent avoir des impacts limités, mais les agents autonomes, qui agissent sans intervention humaine, modifient radicalement le profil de risque. La gouvernance actuelle ne peut pas suivre le rythme de cette évolution.
Construire une Gouvernance pour l’IA Agentique
Les organisations doivent reconnaître ces lacunes et développer leurs propres approches de gouvernance centrées sur l’IA agentique. Cela implique d’établir des contrôles de gouvernance axés sur l’autonomie des agents, les interactions entre agents, et le suivi comportemental en temps réel.
En attendant que les normes et cadres évoluent, la responsabilité incombe aux entreprises de s’assurer qu’elles ne se fient pas uniquement à des documents qui ne prennent pas en compte les agents autonomes. Ignorer cette réalité peut conduire à des décisions fatales sur la gestion des risques liés à l’IA.