Agentic AI : Expansion de la surface d’attaque des infrastructures critiques au-delà de la gouvernance
À la fin de l’hiver, deux développements significatifs sont survenus à quelques semaines d’intervalle. Amazon a élargi son agent de santé AI, intégré à One Medical, à plus de 200 millions de membres Prime, donnant au système l’autorité autonome d’interpréter les résultats de laboratoire, de gérer les rendez-vous et de prendre en charge les prescriptions 24 heures sur 24, sans qu’un clinicien soit impliqué dans chaque interaction de routine.
La même semaine, un rapport de menace de Booz Allen Hamilton a révélé que le temps moyen nécessaire à un attaquant pour obtenir un accès initial et commencer à se déplacer latéralement dans un réseau avait chuté à moins de 30 minutes, avec les cas les plus rapides mesurés en secondes.
Des technologies en évolution
Ces deux développements représentent deux courbes qui se sont maintenant croisées, et l’espace entre elles est, pour le moment, largement non gouverné.
Agentic AI, un logiciel qui ne se contente pas de répondre aux requêtes mais qui prend des actions autonomes, prend des décisions et initie des processus au nom des organisations, a évolué de programmes pilotes à une infrastructure opérationnelle en un peu plus d’un an.
Dans le secteur de la santé, les agents AI sont intégrés dans le soutien à la décision clinique, le routage des patients, l’interprétation des résultats de laboratoire et la gestion des médicaments. Dans les services financiers, ils s’occupent de la détection de la fraude, des approbations de prêts et des décisions de trading en temps réel.
Dans les environnements technologiques industriels et opérationnels, les systèmes AI gèrent la distribution d’énergie, le contrôle des processus de fabrication et les opérations des installations. L’agent AlphaEvolve de Google, qui a récupéré 0,7 % des ressources informatiques mondiales de Google et a accéléré un composant critique de l’infrastructure Gemini de 23 %, illustre le motif à son niveau le plus conséquent : l’AI optimise désormais les systèmes qu’elle exploite.
Modification du modèle de sécurité
Les secteurs critiques tels que la santé, les services financiers et l’énergie sont parmi les 16 secteurs d’infrastructure critique désignés dans le cadre du DHS. Lorsque les agents AI deviennent intégrés dans la couche opérationnelle de ces secteurs, la sécurité change de manière à ce que les cadres existants peinent à s’adapter.
Un agent AI compromis à l’intérieur du flux de travail clinique d’un hôpital ne représente pas un incident de malware traditionnel. C’est un décideur corrompu opérant à l’intérieur d’une infrastructure critique. Un attaquant n’a pas nécessairement besoin de pénétrer le réseau sous-jacent. Il lui suffit d’atteindre l’agent.
Dans certains cas, il n’a même pas besoin d’y parvenir : en intégrant des instructions malveillantes dans le contenu que l’agent traite, par une technique appelée injection de prompt, il peut induire l’agent à prendre des actions autonomes nuisibles. Ce vecteur n’est plus théorique.
Une menace en évolution
En septembre 2025, Anthropic a documenté publiquement la première cyberattaque à grande échelle où un système AI a exécuté la majorité de l’opération de manière autonome. Un groupe soutenu par l’État chinois a utilisé Claude Code, l’agent de codage AI d’Anthropic, pour infiltrer environ 30 cibles mondiales, y compris des institutions financières, des agences gouvernementales, de grandes entreprises technologiques et des fabricants chimiques.
Les attaquants ont manipulé Claude en déguisant l’opération en tests de cybersécurité légitimes, induisant l’agent à cartographier la topologie du réseau, identifier les systèmes de grande valeur et effectuer des mouvements latéraux sans intervention humaine soutenue.
Défis de gouvernance
Le rapport de menace de Booz Allen Hamilton de mars 2026 met la dimension chronologique en termes précis. Le temps moyen de rupture des attaquants est tombé à moins de 30 minutes en 2025, contre des semaines, des mois ou des jours dans les années précédentes.
Les adversaires utilisent l’AI pour automatiser la reconnaissance, accélérer l’identification des vulnérabilités, créer des ingénieries sociales à grande échelle et exécuter des mouvements latéraux avant que la plupart des centres d’opérations de sécurité aient terminé la première triage.
Les opérations de défense fonctionnent encore sur des chronologies humaines : des jours pour détecter, des jours pour remédier, des semaines pour patcher. Lorsque la cible est un système IT traditionnel, cet écart est sévère mais gérable avec le bon investissement. Lorsque la cible est un agent AI ayant accès à des dossiers patients, des protocoles de traitement ou des paramètres de contrôle industriel, les conséquences de cet écart vont au-delà de la perte de données.
Recommandations
Trois changements pourraient réduire substantiellement le risque dans le cadre de l’autorité politique existante, sans attendre une législation complète, qui prendra du temps. Premièrement, le DHS et le CISA devraient passer de conseils volontaires à des exigences minimales de sécurité obligatoires pour les agents AI déployés dans les infrastructures critiques. Ces exigences devraient inclure, au minimum, des protections contre l’injection de prompt, des mécanismes de contournement humain documentés pour les décisions conséquentes, des journaux d’audit pour toutes les actions autonomes des agents et une architecture d’isolation qui limite le rayon d’action lorsque l’agent est compromis.
Deuxièmement, les opérateurs d’infrastructures critiques dans les secteurs les plus conséquents devraient être tenus de réaliser des évaluations de risque spécifiques à l’AI qui prennent en compte à la fois la probabilité et l’impact de la compromission des agents.
Troisièmement, les agences de gestion des risques sectoriels responsables de chaque secteur d’infrastructure critique devraient recevoir une autorité explicite et des ressources dédiées pour évaluer les déploiements d’agents AI au sein de leurs secteurs et établir des normes de sécurité appropriées.
Le secteur privé ne reste pas inactif. Le lancement par Booz Allen d’une suite de produits de défense cybernétique agentique au RSA Conference cette semaine est un signal de marché : le risque est suffisamment réel pour que des entrepreneurs fédéraux sophistiqués construisent des produits pour y faire face, en l’absence de toute exigence réglementaire.
La courbe de déploiement et la courbe d’attaque se sont croisées. Le travail de gouvernance en cours est conséquent et doit aller plus vite. La question est de savoir si le plancher sera établi avant qu’un adversaire ne démontre, à grande échelle dans un secteur à haute conséquence, ce qui se passe lorsqu’il n’est pas encore en place.