AI Act : les agents IA deviennent le vrai angle mort des RSSI

Bureaux avec écrans de suivi des agents IA
Image d'illustration. Les entreprises font face aux règles de l’IA. — ADN

L’entrée en vigueur pleine de l’AI Act remet une pression nette sur les entreprises. Le vrai sujet n’est plus l’adoption de l’IA, mais son contrôle.

En bref

  • L’AI Act durcit la pression dès le 2 août
  • Les agents IA échappent encore trop au contrôle
  • La gouvernance devient un impératif sécurité

Le 2 août, le sujet change de catégorie. Pour les entreprises actives en IA, la question n’est plus seulement de déployer vite, mais de prouver qu’elles gardent la main. Avec l’entrée en vigueur pleine de l’AI Act, les régulateurs de l’UE et les autorités nationales des 27 États membres pourront enquêter, restreindre et sanctionner des usages non conformes. Résultat, la gouvernance sort du confort des débats internes.

Le 2 août change la nature du sujet

Chez Keeper Security, Shane Barney, CISO du groupe, met le doigt là où ça fait mal. Dans son message autour de la Journée de la reconnaissance de l’IA, il dit en substance que la vraie question n’est pas ce que l’IA a rendu possible, mais ce qu’elle fait une fois installée dans l’environnement de l’entreprise. Et sa réponse est rude. Pour la plupart des équipes sécurité, le niveau de visibilité reste insuffisant.

On comprend l’alerte. Depuis deux ans, pas mal d’organisations ont surtout cherché à accélérer l’adoption. Mais un agent IA qui tourne dans un SI, ce n’est pas juste une fonction en plus. C’est une entité qui agit, accède, traite et parfois décide seule.

Le problème n’est pas l’outil, c’est l’identité

C’est sans doute le point le plus important. Les agents d’IA opèrent avec des accès privilégiés, manipulent des données sensibles et prennent des décisions de manière autonome, souvent avec un niveau de supervision comparable à celui d’un compte de service non surveillé. Vu du terrain sécurité, ce n’est pas un détail d’architecture. C’est une nouvelle surface de risque.

Du coup, continuer à regarder ces agents comme de simples outils serait une erreur. Keeper Security estime qu’il faut les traiter comme de nouvelles identités numériques, avec droits d’accès, obligations d’audit et capacité réelle de provoquer des dommages si rien n’encadre leur activité.

Le vrai signal faible est déjà visible

Le chiffre avancé par l’étude mondiale 2026 de Keeper mérite qu’on s’y arrête. 56 % des organisations citent le partage involontaire d’informations sensibles par les employés via des outils d’IA comme leur principale faille de sécurité.

Ce point est intéressant parce qu’il déplace le débat. Le problème n’est pas présenté comme un déficit technologique pur, mais comme un défaut de contrôle et de gouvernance, alors même que l’adoption continue d’accélérer.

Ce que les équipes sécurité doivent étendre maintenant

La feuille de route, elle, reste assez classique, et c’est justement ce qui la rend crédible. Il s’agit d’appliquer le privilège minimal, de maintenir des contrôles sur les identifiants et de disposer d’une traçabilité complète pour chaque identité du système, humaine ou non.

Bref, les fondamentaux ne changent pas. Ils s’étendent. Et c’est là que le message de Shane Barney tape juste, quand il résume l’enjeu ainsi : « les organisations savent-elles ce que fait l’IA une fois qu’elle est déployée au sein de leurs environnements ? » Pour beaucoup, clairement, pas encore assez.

Christophe Romei

Spécialiste BtB

X LinkedIn Site web Tous ses articles →
Une erreur dans cet article ?

Nous apportons le plus grand soin à chaque article et nous appuyons sur des sources fiables. Personne n'est à l'abri d'une erreur : si vous en repérez une, signalez-la, nous la corrigerons au plus vite.

Sujets
Agent IA Entreprise Regulation

Lisez Servicesmobiles.fr en priorité sur Google

Ajoutez-nous à vos sources préférées : nos articles remonteront plus haut dans votre actualité.

Ajouter à mes sources