Sécurité des agents IA : les 8 principaux outils et menaces pour 2026

En pratique, la sécurité des agents d'IA recouvre deux réalités différentes : verrouiller les agents autonomes déployés par votre organisation et utiliser ces agents pour exécuter des opérations de sécurité plus rapidement que les analystes humains.

Nous avons analysé huit plateformes dans les deux catégories, les vecteurs d'attaque les rendant nécessaires, et les délais de mise en conformité imposent désormais ce débat.

outils et plateformes de sécurité pour agents IA

Le marché est divisé en deux catégories.

• Catégorie 1 : Sécurisation des agents d’IA (AI-SPM et protection en temps réel) : Se concentre sur la sécurisation des agents d’IA que vous avez déployés : analyse des modèles avant le déploiement, contrôle des éléments auxquels les agents peuvent accéder et blocage des attaques telles que l’injection de prompts en temps réel.
• Catégorie 2 : Agents d'IA effectuant des opérations de sécurité (SOC agentiel) : Déploie des agents d'IA pour effectuer des opérations de sécurité de manière autonome, remplaçant ou augmentant les analystes humains dans les flux de travail SOC.

*Azure Registres ML uniquement, les modèles tiers ou auto-hébergés ne sont pas couverts.

• Gouvernance de l'identité des agents : surveillance des jetons OAuth, gouvernance de l'identité non humaine (NHI) et application du principe du moindre privilège pour les agents déployés.
• Sécurité MCP : surveillance native des connexions au serveur du protocole MCP (Model Context Protocol).
• Red Teaming multi-agents : simulation d'attaque multi-tours et multi-agents distincte du red teaming LLM standard.

1. Outils de gestion de la posture de sécurité par IA (AI-SPM)

Palo Alto Networks Prisma AIRS

Prisma AIRS (AI Runtime Security) est la seule plateforme de cette comparaison à revendiquer une couverture de bout en bout du cycle de vie de l'IA agentique, depuis l'analyse du modèle avant déploiement jusqu'à l'application en direct en tant que produit distinct de Prisma Cloud, l'offre CNAPP de la société. ¹

La passerelle d'agent IA (un plan de contrôle central appliquant des contrôles d'accès basés sur l'identité pour les agents autonomes lors de l'exécution en direct), la sécurité des artefacts d'agent (analyse de l'architecture avant le déploiement) et l'équipe rouge IA intégrée pour les systèmes multi-agents. ² La plateforme a intégré la solution de détection des vulnérabilités de sérialisation ModelScan de Protect AI suite à son acquisition par Palo Alto Networks en juillet 2025. L'intégration complète de la solution de sécurité des terminaux de Koi est en cours et son déploiement reste distinct au deuxième trimestre 2026. ³

Avantages :

• L'analyse des modèles d'IA avant déploiement détecte les falsifications de modèles, les scripts malveillants et les attaques par désérialisation.
• L'IA intégrée pour les tests d'intrusion prend en charge la simulation d'attaques en plusieurs tours et les tests de systèmes multi-agents.
• Les mécanismes de protection en cours d'exécution empêchent la manipulation des invites et l'exposition des données lors des interactions avec l'agent en direct. ⁴

Inconvénients :

• Les prix ne sont pas publiés ; des contrats d'entreprise sont requis.
• L'intégration des points de terminaison Koi est en cours ; les agents exécutés localement en dehors des périmètres cloud et SaaS nécessitent un déploiement séparé jusqu'à ce que celui-ci soit terminé.

Wiz AI-SPM

Le principal atout de Wiz AI-SPM réside dans le Wiz Security Graph, qui met en corrélation les risques liés à l'IA avec le contexte de l'infrastructure cloud sous-jacente. ⁵ Alors que la plupart des outils AI-SPM signalent les risques liés à l'IA de manière isolée, le graphique de sécurité montre qu'un modèle vulnérable est exécuté dans un VPC de production avec un contexte de sortie Internet qui modifie la priorité de correction.

La plateforme comprend Mika AI pour les requêtes de risque en langage naturel (« quels LLM accèdent aux bases de données de production ? »), Wiz Blue Agent pour l’investigation automatisée des menaces et Wiz Defend pour la protection en temps réel contre l’injection rapide et les comportements malveillants des agents. ⁶ Shadow AI discovery fonctionne sans agent, en scannant les référentiels de modèles Hugging Face à la recherche de code malveillant et de données d'entraînement pour l'exposition des PII.

Avantages :

• Génère une nomenclature d'IA (AI-BOM) couvrant les modèles, les frameworks et les dépendances qui alimentent chaque système d'IA. ⁷
• Détecte les charges de travail d'IA fantômes et les services d'IA non gérés sans déploiement d'agent. ⁸
• La corrélation code-cloud relie les risques liés à l'IA au niveau applicatif à la configuration de l'infrastructure, les rendant ainsi possibles.

Inconvénients :

• La gestion native de la posture de sécurité SaaS (SSPM) n'est pas incluse ; la couverture SaaS nécessite un outil supplémentaire.
• L'acquisition en cours Salesforce introduit une incertitude quant à la feuille de route pour les environnements non-Salesforce.

Sécurité Obsidian

Les agents d'IA d'entreprise opèrent au sein d'Office 365, Office 365, Workspace et de dizaines d'autres plateformes SaaS, accumulant des jetons OAuth et déplaçant des volumes de données qu'aucun utilisateur humain ne pourrait gérer. Obsidian Security est conçu spécifiquement pour cet environnement.

D'après les propres données de recherche d'Obsidian, 90 % des agents d'entreprise disposent de trop d'autorisations, les agents déplacent 16 fois plus de données que les utilisateurs humains et 53 % des agents d'IA accèdent à des informations sensibles. ⁹ La plateforme détecte les agents disposant de trop d'autorisations, identifie les compromissions de jetons, suit les mouvements de données d'application à application et fait apparaître les déploiements d'IA fantômes connectés aux comptes SaaS d'entreprise sans visibilité informatique.

Avantages :

• La gestion de la posture de sécurité SaaS (SSPM) fournit des vues constamment mises à jour des erreurs de configuration et des lacunes de conformité dans les applications SaaS.
• Détecte l'injection de prompts d'IA et les fuites de données au sein des applications SaaS GenAI, notamment Copilot et Agentforce.
• La gouvernance des identités non humaines couvre les applications connectées, les jetons OAuth et les comptes de service avec des profils comportementaux de référence. ¹⁰

Inconvénients :

• La couverture est axée sur le SaaS ; les organisations exécutant des agents d’IA dans une infrastructure auto-hébergée ou native du cloud ont besoin d’un outil distinct pour la visibilité de la couche infrastructure.
• Les prix ne sont pas affichés publiquement.

Microsoft Defender pour Cloud

Microsoft Le module de sécurité IA de Defender for Cloud étend la plateforme CSPM existante avec une détection des menaces spécifique à l'IA ; aucun déploiement supplémentaire n'est requis pour les organisations utilisant déjà Defender for Cloud. ¹¹ équipes gérant les agents AI Foundry, Copilot Studio ou les déploiements AI Foundry bénéficient d'une détection des menaces et d'une gestion de la posture au sein de la même console.

Le prix est l'un des rares chiffres publiés dans cette catégorie : 0,0008 $ par 1 000 jetons scannés par mois, avec les agents Foundry inclus sans frais supplémentaires et un essai de 30 jours limité à 75 milliards de jetons. ¹²

Le module s'intègre aux boucliers de sécurité de contenu IA Azure pour la détection de jailbreak et achemine les alertes de fuite de données, de vol d'identifiants et de comportement anormal de l'agent vers Microsoft Sentinel. ¹³ En mars 2026, Microsoft a lancé Agent 365, un plan de contrôle unifié pour gouverner et sécuriser les agents dans l'environnement Microsoft à 15 $ par utilisateur et par mois. ¹⁴

Avantages :

• Aucune infrastructure supplémentaire n'est requise pour les organisations natives Azure utilisant déjà Defender for Cloud CSPM.
• La tarification transparente basée sur des jetons permet d'estimer les coûts avant le déploiement.
• L'intégration de Prompt Shields gère nativement la détection du jailbreak et de l'injection de prompts. ¹⁵

Inconvénients :

• Les analyses de sécurité des modèles d'IA sont effectuées uniquement dans les registres et espaces de travail d'apprentissage automatique Azure, et non dans les registres de modèles tiers ou auto-hébergés. ¹⁶
• Valeur limitée pour les organisations exécutant des agents d'IA principalement en dehors de Azure

Couche cachée MLDR

Les outils de sécurité basés sur l'IA se concentrent sur le comportement des agents, l'accès aux données et l'injection de signaux. La solution HiddenLayer Machine Learning Detection and Response (MLDR) opère à un niveau plus profond : celui du modèle.

MLDR surveille les modèles en production afin de détecter les attaques d'évasion adverses qui manipulent les entrées pour provoquer une mauvaise classification, les attaques d'inversion de modèle qui reconstruisent les données d'entraînement à partir des sorties du modèle et les attaques d'inférence d'appartenance qui déterminent si des données spécifiques sont apparues lors de l'entraînement. ¹⁷ Il fonctionne sans agent, ne nécessitant ni accès aux données d'entraînement ni aux poids du modèle, ce qui le rend compatible avec les modèles propriétaires ou tiers.

L'analyse de la chaîne d'approvisionnement couvre les référentiels de modèles avant le déploiement, détectant les portes dérobées intégrées dans les fichiers de modèles sérialisés que la classe d'attaque MITRE ATLAS catalogue sous la référence AML.T0010 (compromission de la chaîne d'approvisionnement ML). ¹⁸ Le module de simulation d'attaques d'IA teste en continu les modèles déployés par les équipes rouges à mesure que les versions et les environnements changent. ¹⁹

Avantages :

• Détecte en temps réel les tentatives d'évasion, d'inversion de modèle et d'attaques par inférence d'appartenance, sans nécessiter d'accès aux données d'entraînement.
• L'analyse de la chaîne d'approvisionnement avant déploiement permet d'identifier les vulnérabilités de sérialisation et les portes dérobées dans les fichiers de modèles.
• Les garde-fous d'IA garantissent la conformité aux politiques d'exécution, notamment en prévenant les injections intempestives et les fuites de données. ²⁰

Inconvénients :

• Ne fournit pas de solution de gestion de la posture de sécurité SaaS ni de gouvernance des identités non humaines.
• Les prix ne sont pas affichés publiquement.

Garde Lakera

Lakera Guard s'interpose entre votre application GenAI et le LLM, interceptant chaque requête avant qu'elle n'atteigne le modèle et chaque réponse avant qu'elle ne soit renvoyée à l'utilisateur. ²¹ Sa base de données de renseignements sur les menaces s'appuie sur plus de 80 millions d'invites collectées grâce au défi public d'équipe rouge Gandalf, ce qui permet au moteur de détection d'être exposé à des modèles d'attaque que les équipes rouges internes aux entreprises rencontrent rarement. ²²

La plateforme couvre les 10 principaux risques OWASP LLM et fonctionne avec une latence inférieure à la milliseconde grâce à une conception axée sur les API, ce qui est important pour les applications destinées aux clients où la latence de détection influe directement sur le temps de réponse de l'utilisateur. ²³ Un niveau gratuit est disponible sur platform.lakera.ai, rendant l'intégration et les tests initiaux accessibles sans processus de vente.

Contexte de la recherche d'avril 2026 : Google et Forcepoint ont confirmé séparément que les charges utiles d'injection de prompt indirect sont désormais activement intégrées à grande échelle dans le contenu Web public, attendant que des agents d'IA les traitent. ²⁴ La détection d'injection indirecte de Lakera couvre cette classe d'attaques, y compris les charges utiles récupérées à partir d'URL externes que l'agent parcourt pendant l'exécution de la tâche.

Avantages :

• Niveau gratuit disponible pour le développement et les tests initiaux sans intervention du fournisseur.
• La détection indirecte par injection de prompts couvre les instructions malveillantes intégrées aux documents et récupérées sur le Web.
• Tests d'intrusion par IA avec gestion des vulnérabilités basée sur les risques et simulations d'attaques directes/indirectes. ²⁵

Inconvénients :

• N'effectue pas d'analyse préalable des fichiers de modèles d'IA ni de détection de portes dérobées.
• L'approche axée sur l'exécution signifie qu'elle ne peut pas évaluer les risques liés à l'infrastructure ou à la posture SaaS.

2. Plateformes SOC agentiques

CrowdStrike Falcon

Charlotte AI fonctionne comme une couche d'investigation et de réponse autonome au sein de la plateforme CrowdStrike Falcon, combinant EDR, XDR , SIEM et SOAR sous une interface en langage naturel conversationnel. ²⁶ Lorsqu'une alerte est déclenchée, Charlotte AI recueille des preuves, met en corrélation les données télémétriques des différents points de terminaison et identités, et présente un verdict avec un raisonnement, puis attend l'approbation de l'analyste avant d'exécuter des mesures de confinement.

Ce contrôle d'approbation est un choix architectural délibéré. La solution Agentic SOAR de CrowdStrike combine l'automatisation scriptée et le raisonnement de l'IA, avec des niveaux d'autonomie configurables : exécution supervisée pour les actions à fort impact, exécution autonome pour le confinement à faible risque. ²⁷ La plateforme utilise l'apprentissage par renforcement à partir des commentaires des analystes, améliorant ainsi la précision des décisions à mesure qu'elle accumule des connaissances institutionnelles spécifiques à l'environnement de chaque client.

CrowdStrike détient la certification ISO 42001 en matière de gouvernance de l'IA, étant le seul produit de cette comparaison à bénéficier d'une validation indépendante par un tiers de ses contrôles de gouvernance de l'IA. ²⁸ Lors de RSAC 2026, la société a annoncé Shadow AI Discovery s'étendant aux terminaux, aux environnements SaaS et cloud, identifiant plus de 1 800 applications d'IA exécutées sur des appareils d'entreprise au sein de sa base de clients. ²⁹

Avantages :

• La certification ISO 42001 en matière de gouvernance de l'IA fournit une validation par un tiers des contrôles de gestion de l'IA. ³⁰
• La recherche de menaces en langage naturel convertit les questions des analystes en requêtes structurées sur l'ensemble du lac de données Falcon.
• Les niveaux d'autonomie configurables permettent aux organisations de contrôler quelles actions nécessitent une approbation humaine. ³¹

Inconvénients :

• Charlotte AI ne fonctionne pas comme un garde-fou ou un pare-feu pour les applications GenAI tierces ; son objectif est la détection des menaces sur l'infrastructure, et non la sécurité des modèles d'IA.
• Le prix de départ est de 8,99 $ par terminal et par mois, un tarif qui augmente considérablement pour les grands parcs d'appareils. ³²

SentinelOne Purple AI

Purple AI est intégré à Singularity XDR plutôt que vendu comme un produit autonome, ce qui signifie que les analystes interagissent avec lui via la même interface que celle utilisée pour toutes leurs autres investigations. ³³ Un analyste demande « Quelle est la cause profonde de cette alerte ? » en langage naturel ; Purple AI interroge les données sous-jacentes, met en corrélation la télémétrie à travers les points de terminaison, le cloud et les systèmes d'identité, et renvoie une réponse avec des preuves sources jointes.

Ce modèle d'intégration contraste avec les outils d'investigation par IA qui nécessitent l'exportation des données vers un système distinct. Purple AI a accès à l'intégralité du lac de données Singularity et utilise l'apprentissage automatique à partir des données d'incidents antérieurs pour améliorer la précision des corrélations au fil du temps. ³⁴ La plateforme comprend un backend AI-SIEM natif pour l'ingestion à grande échelle, et Singularity Hyperautomation gère l'automatisation du flux de travail tout au long de la chaîne de réponse. ^{35 36}

Avantages :

• La détection des menaces en langage naturel traduit les questions en anglais courant en requêtes optimisées sur l'ensemble du lac de données de l'entreprise.
• La corrélation interdomaines couvre les terminaux, les ressources cloud et l'identité dans un flux de travail d'investigation unique.
• Le système backend AI-SIEM natif évite les pénalités de tarification par ingestion à grande échelle. ³⁷

Inconvénients :

• N'inspecte ni ne bloque les invites dans les applications GenAI déployées par le client ; l'accent est mis sur l'infrastructure et la télémétrie des points de terminaison.
• Tarifs réservés aux entreprises sur mesure ; aucune grille tarifaire publique n'est disponible.

Caractéristiques communes aux plateformes de sécurité des agents d'IA

Bien que couvrant différentes couches de la pile technologique, les huit plateformes de cette comparaison offrent toutes cinq fonctionnalités de base que les entreprises peuvent attendre de n'importe quel fournisseur d'entreprise de cette catégorie.

• La cartographie des actifs d'IA et d'apprentissage automatique (modèles déployés, agents, outils connectés et sources de données) est indispensable à tout programme de sécurité. Sans inventaire à jour, les équipes ne peuvent ni évaluer l'exposition aux risques ni appliquer les politiques de sécurité.
• La détection d'anomalies comportementales surveille les charges de travail de l'IA afin de déceler les écarts par rapport aux valeurs de référence établies. Le mécanisme varie (apprentissage automatique non supervisé chez Darktrace, seuils statistiques ailleurs), mais le résultat est le même : des alertes sont émises lorsqu'un agent effectue une action inattendue, comme interroger des bases de données auxquelles il n'a jamais accédé auparavant, réaliser des appels d'API inhabituels ou traiter des volumes de données hors des limites normales.
• L'intégration aux plateformes SIEM et SOAR permet d'alimenter les flux de travail de sécurité existants via des API documentées. Les organisations doivent vérifier si les fournisseurs prennent en charge l'intégration bidirectionnelle (envoi d'alertes au SIEM et réception des données enrichies en retour) plutôt que le simple transfert des journaux en lecture seule.
• La journalisation des audits de conformité enregistre les événements de sécurité, les actions des agents et les décisions d'accès dans des formats interrogeables. L'article 9 de la loi européenne sur l'IA, relatif aux systèmes d'IA à haut risque, et les critères SOC 2 Trust Services imposent tous deux cette capacité d'ici août 2026 aux organisations concernées. ³⁸
• Les flux de travail d'alerte et de notification permettent de détecter les menaces via des tableaux de bord, des e-mails, Slack ou l'intégration d'un système de gestion des tickets, afin que les équipes de sécurité reçoivent des informations exploitables plutôt que des journaux bruts.

menaces à la sécurité des agents d'IA

Les agents d'IA créent des surfaces d'attaque que les contrôles de sécurité traditionnels ne sont pas conçus pour gérer. Un système EDR basé sur les signatures détecte les logiciels malveillants. Cependant, il ne peut pas détecter un agent ayant reçu des instructions légitimes d'un document malveillant qu'il devait résumer, puis ayant utilisé ses propres identifiants légitimes pour exfiltrer des données. Les menaces suivantes justifient le recours à des outils spécialisés.

1. Injection rapide et jailbreak

L'injection de prompts consiste à intégrer des instructions malveillantes dans le contenu traité par les agents (pages web, courriels, pièces jointes PDF et résultats d'outils), ce qui les amène à exécuter des commandes non autorisées par l'opérateur. OWASP classe l'injection de prompts comme la principale vulnérabilité de son LLM Top 10 ; elle est présente dans plus de 73 % des déploiements d'IA en production évalués lors des audits de sécurité. ³⁹

La menace n'est plus théorique. En avril 2026, Google et Forcepoint ont publié indépendamment des preuves de l'existence de charges utiles d'injection indirecte de messages, intégrées à grande échelle dans du contenu web statique public (sites web, blogs et sections de commentaires), attendant d'être récupérées et traitées par des agents d'IA. ⁴⁰ Dix charges utiles actives confirmées ciblant des agents d'IA avec des objectifs incluant la fraude financière, la destruction de données et le vol de clés API ont été répertoriées au cours de la même période de recherche. ⁴¹

L'unité 42 a constaté que 85,2 % des tentatives d'injection dans le monde réel utilisent des techniques d'ingénierie sociale plutôt que de simples substitutions de commandes, y compris des méthodes de dissimulation telles que des caractères Unicode de largeur nulle et des charges utiles encodées en base64. ⁴² Une méta-analyse de 78 études publiée en janvier 2026 a révélé que les taux de réussite des attaques adaptatives contre les défenses de pointe dépassent 85 %. ⁴³

En 2025, Microsoft 365 Copilot a été trouvé vulnérable à CVE-2025-32711 (EchoLeak), une exploitation d'injection de prompt sans clic permettant l'exfiltration de données à distance via des emails conçus sans interaction de l'utilisateur. ⁴⁴ Le protocole de contexte de modèle (MCP) permet une classe d'attaques apparentée : l'empoisonnement d'outils, où des instructions malveillantes intégrées dans les métadonnées de l'outil demandent aux agents de transmettre des données sensibles à des points de terminaison contrôlés par l'attaquant. ⁴⁵

2. Compromission de jetons et vol d'identifiants

Les agents d'IA s'authentifient auprès des services externes à l'aide de jetons OAuth et de clés API. Ces identifiants confèrent à l'agent les mêmes autorisations que l'identité qu'ils représentent, et un attaquant qui les obtient hérite de ces autorisations sans déclencher l'authentification multifacteur (MFA), car le jeton lui-même constitue l'élément d'authentification.

La faille de sécurité survenue chez Salesloft/Drift en août 2025 illustre le risque en cascade. Des attaquants ont compromis l'intégration d'un agent de chat tiers et extrait des jetons d'actualisation OAuth, puis les ont utilisés pour usurper l'identité de l'application Drift auprès de plus de 700 environnements clients en aval pendant dix jours, accédant ainsi aux données Salesforce, aux comptes Workspace Google et aux identifiants cloud sans déclencher d'alertes d'authentification. ⁴⁶ La détection a échoué car les requêtes OAuth provenaient d'une identité d'application pré-approuvée identique au trafic légitime dans les journaux d'authentification standard. ⁴⁷

Une étude publiée début 2026 par l'Université de Californie à Santa Barbara et Fuzzland confirme ce constat au niveau de l'infrastructure. Les chercheurs ont acquis 28 routeurs API LLM payants et en ont récupéré 400 gratuits ; 9 d'entre eux injectaient activement du code malveillant dans les réponses des modèles. Un honeypot configuré avec la clé divulguée OpenAI a entraîné la destruction de 100 millions de jetons GPT et le détournement de 401 sessions, dont 401 fonctionnaient déjà en mode « YOLO » sans aucune validation humaine. ⁴⁸ Aucun fournisseur d'API LLM n'applique l'intégrité cryptographique sur le chemin de réponse, ce qui signifie qu'un routeur malveillant peut injecter des instructions dans les réponses du modèle et que l'agent les exécutera comme des appels d'outils légitimes.

3. Octroi excessif de permissions et élévation de privilèges

90 % des agents d'entreprise disposent de trop d'autorisations. ⁴⁹ Cela se produit pour des raisons structurelles : les plateformes SaaS utilisent par défaut des étendues OAuth larges lors de l'autorisation des agents, les agents héritent des autorisations des employés partis dont les comptes n'ont jamais été nettoyés et les autorisations s'accumulent sans examen à mesure que les agents sont affectés à de nouvelles tâches.

OWASP place l'excès d'agentivité parmi les trois principaux risques de sécurité liés à l'IA agentielle pour 2026, le définissant comme des agents possédant des capacités allant au-delà de ce qu'exigent les tâches. ⁵⁰ La conséquence de l'attaque est une élévation de privilèges sémantique : un agent chargé d'effectuer une tâche légitime acquiert de manière autonome un accès en dehors du cadre prévu par le biais de chaînes de décisions autonomes, sans qu'une seule étape ne déclenche une alerte de sécurité.

L'analyse d'Okta confirme que les agents d'IA doivent être traités comme des utilisateurs privilégiés soumis aux mêmes contrôles d'accès, politiques de rotation et pistes d'audit que ceux appliqués aux administrateurs humains, sachant que la plupart des organisations ne disposent actuellement pas de ces contrôles pour les identités non humaines. ⁵¹ entreprises gèrent désormais un ratio moyen d'identité machine/humain de 82:1, la prolifération des agents dépassant l'infrastructure de gouvernance. ⁵²

4. IA fantôme et déploiements d'agents non autorisés

Lorsqu'une unité commerciale connecte Agentforce à l'espace de travail de l'entreprise sans intervention du service informatique, un agent se retrouve avec un accès aux données SaaS de production, sans contrôle de sécurité, sans journalisation des accès et sans possibilité de révoquer rapidement les identifiants en cas de comportement inattendu. Quatre-vingt-sept pour cent des organisations ont activé Copilot, ce qui fait de la détection des agents fantômes une nécessité quasi universelle plutôt qu'un cas marginal. ⁵³

Les violations de données par Shadow AI coûtent en moyenne 670 000 $ de plus que les violations de données standard (4,63 millions de dollars contre 3,96 millions de dollars), en raison de la détection tardive due aux agents opérant en dehors des environnements surveillés. ⁵⁴ Soixante-trois pour cent des employés utilisant des outils d'IA collent des données sensibles de l'entreprise dans des comptes de chatbot personnels, créant des violations de résidence des données dont les équipes de conformité ne sont souvent pas conscientes jusqu'à ce qu'une violation les fasse apparaître. ⁵⁵

IDC prévoit que 60 % des échecs de l'IA en 2026 seront dus à des lacunes de gouvernance plutôt qu'à des problèmes de performance des modèles – une perspective qui déplace la responsabilité des fournisseurs d'IA vers les organisations qui déploient des agents sans contrôles adéquats. ⁵⁶

5. Attaques contre la chaîne d'approvisionnement de l'IA et falsification de modèles

Les entreprises qui utilisent des modèles provenant de Hugging Face, des packages PyPI pour les frameworks d'apprentissage automatique ou qui connectent des agents à des serveurs MCP tiers héritent des vulnérabilités présentes en amont. MITRE ATLAS répertorie ces techniques sous la référence AML.T0010 (Compromission de la chaîne d'approvisionnement en apprentissage automatique), documentant les portes dérobées dans les fichiers de modèles sérialisés, les données d'entraînement corrompues injectées dans les jeux de données publics et les dépendances malveillantes dans les packages des frameworks d'apprentissage automatique.

En février 2026, la campagne ClawHavoc a systématiquement infecté la plateforme de compétences OpenClaw, première plateforme d'agents d'IA attaquée à grande échelle. Plus de 1 100 compétences malveillantes ont été mises en ligne, se faisant passer pour des outils de productivité et de développement. Plusieurs d'entre elles sont devenues parmi les plus téléchargées de la plateforme avant d'être détectées. X-Force a confirmé plus de 21 000 cas exposés. ⁵⁷ Un audit simultané a révélé que 43 % des serveurs MCP disponibles publiquement contiennent des vulnérabilités d’exécution de commandes et que 36,7 % sont exposés à des attaques de falsification de requêtes côté serveur. ⁵⁸

Les attaques par empoisonnement de la mémoire injectent des instructions malveillantes dans la mémoire des agents, créant ainsi des compromissions persistantes qui s'activent des jours ou des semaines après l'infection initiale. Des recherches ont démontré des taux de réussite d'injection supérieurs à 95 % contre des agents de production, via une interaction basée uniquement sur les requêtes. ⁵⁹ Dans les systèmes multi-agents, un seul agent compromis a empoisonné 87 % de la prise de décision en aval en quatre heures. ⁶⁰

Cadres de conformité et de gouvernance pour la sécurité des agents d'IA

Les déploiements d'agents d'IA en entreprise sont confrontés à des exigences de conformité qui se chevauchent, issues des normes internationales, des réglementations sectorielles et des législations régionales, qui passent désormais du statut de recommandations volontaires à celui d'obligations exécutoires.

1. La norme ISO/IEC 42001 , publiée en décembre 2023, spécifie les exigences relatives aux systèmes de gestion de la criminalité artificielle (AIMS) avec 38 contrôles distincts couvrant l'évaluation des risques, la transparence et l'amélioration continue. La certification ⁶¹ est volontaire mais satisfait à plusieurs exigences de gestion de la qualité de la loi européenne sur l'IA. ⁶² Parmi les plateformes de cette comparaison, CrowdStrike Charlotte AI détient la certification ISO 42001, le seul produit avec cette validation d'audit indépendant spécifique. ⁶³
2. Le cadre de gestion des risques liés à l'IA du NIST (AI RMF 1.0) organise la gouvernance de l'IA en fonctions GOUVERNER, CARTOGRAPHIER, MESURER et GÉRER. ⁶⁴ En février 2026, le Centre pour les normes et l'innovation en IA (CAISI) du NIST a officiellement lancé l'Initiative sur les normes des agents d'IA, le premier programme du gouvernement américain dédié au développement de normes volontaires spécifiquement pour la sécurité de l'IA agentique. ⁶⁵ Un profil d'interopérabilité des agents d'IA avec des contrôles spécifiques pour l'authentification de l'identité de l'agent, le moindre privilège et la prévention des injections rapides est prévu pour le quatrième trimestre 2026. ⁶⁶ Le 7 avril 2026, le NIST a également publié une note conceptuelle pour un profil RMF d'IA sur l'IA digne de confiance dans les infrastructures critiques, signalant que l'IA agentique dans les secteurs réglementés est une priorité. ⁶⁷
3. L’application des exigences relatives aux systèmes d’IA à haut risque, conformément à la loi européenne sur l’IA, débutera le 2 août 2026. ⁶⁸ Les organisations utilisant des agents d'IA dans les secteurs de la finance, des RH, de la santé ou des infrastructures critiques doivent se conformer aux exigences d'évaluation de la conformité, les sanctions pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial en cas d'infraction. ⁶⁹ La loi exige que les systèmes d’IA à haut risque conservent une documentation technique, permettent une surveillance externe, mettent en œuvre une supervision humaine structurée avec des points d’intervention et comprennent des mécanismes de révocation pouvant interrompre rapidement le fonctionnement de l’agent. Les exigences de transparence de l'article ⁷⁰ y compris le marquage lisible par machine du contenu généré par l'IA, entreront également en vigueur en août 2026. Le Bureau de l'UE pour l'IA n'a pas encore publié de lignes directrices détaillées spécifiques aux systèmes d'agents, ce qui crée une incertitude en matière de conformité que les organisations doivent résoudre par leur propre interprétation des principes généraux de la loi. ⁷¹
4. Le Top 10 OWASP pour les applications agentiques 2026 , publié en décembre 2025, fournit la première taxonomie des risques de sécurité évaluée par des pairs à l'échelle mondiale pour les systèmes d'IA autonomes, développée avec la contribution de plus de 100 chercheurs en sécurité. Les dix catégories de risques (ASI01 à ASI10) couvrent ⁷² le détournement des objectifs des agents, l'utilisation abusive et l'exploitation des outils, l'abus de confiance déléguée et les vulnérabilités de la chaîne d'approvisionnement des agents. AWS, Microsoft, NVIDIA et GoDaddy ont chacun fait référence à ce cadre ou l'ont mis en œuvre en production. Les organisations soumises à la loi européenne sur l'IA devront de plus en plus souvent faire appel à l'OWASP Agentic Top 10 pour leurs évaluations de sécurité des fournisseurs.
5. La norme SOC 2 applique les agents d'IA en tant qu'organisations de sous-services sous les critères de services de confiance, exigeant des clés API à portée limitée, des limites de transaction et des pistes d'audit complètes des décisions des agents. L’article ⁷³ du RGPD accorde aux personnes des droits concernant les décisions exclusivement automatisées ayant des effets juridiques, exigeant une implication humaine significative et des mécanismes de contestation pour les agents prenant des décisions importantes. ⁷⁴

FAQ

Liens de référence

1.

Prisma AIRS - Palo Alto Networks

2.

Prisma AIRS - Palo Alto Networks

3.

Securing the Agentic Endpoint

Palo Alto Networks

4.

Prisma AIRS - Palo Alto Networks

5.

AI Security Posture Management (AI-SPM) | Wiz

6.

AI Security Posture Management (AI-SPM) | Wiz

7.

AI Security Posture Management (AI-SPM) | Wiz

8.

AI Security Posture Management (AI-SPM) | Wiz

9.

Obsidian | End-to-End AI and SaaS Security for Enterprises

10.

Obsidian | End-to-End AI and SaaS Security for Enterprises

11.

Overview - AI threat protection - Microsoft Defender for Cloud | Microsoft Learn

12.

What's new in Microsoft Defender for Cloud features - Microsoft Defender for Cloud | Microsoft Learn

13.

Overview - AI threat protection - Microsoft Defender for Cloud | Microsoft Learn

14.

https://www.microsoft.com/en-us/security/blog/2026/03/09/secure-agentic-ai-for-your-frontier-transformation/

15.

Overview - AI threat protection - Microsoft Defender for Cloud | Microsoft Learn

16.

Discover AI models - Microsoft Defender for Cloud | Microsoft Learn

17.

Platform | HiddenLayer

18.

AI Supply Chain Security | HiddenLayer

19.

https://www.hiddenlayer.com/platform/ai-attack-simulation

20.

AI Runtime Security | HiddenLayer

21.

Lakera: The AI-Native Security Platform to Accelerate GenAI

22.

Lakera: The AI-Native Security Platform to Accelerate GenAI

23.

Lakera: The AI-Native Security Platform to Accelerate GenAI

24.

Indirect prompt injection is taking hold in the wild - Help Net Security

25.

Lakera: The AI-Native Security Platform to Accelerate GenAI

26.

Charlotte AI: Agentic Analyst for Cybersecurity

CrowdStrike

27.

Charlotte Agentic SOAR | CrowdStrike

CrowdStrike

28.

CrowdStrike Achieves ISO 42001 Certification for Responsible AI-Powered Cybersecurity

CrowdStrike

29.

https://nand-research.com/rsac-2026-agentic-ai-security-takes-center-stage-at-industrys-marquee-event/

30.

CrowdStrike Achieves ISO 42001 Certification for Responsible AI-Powered Cybersecurity

CrowdStrike

31.

Charlotte Agentic SOAR | CrowdStrike

CrowdStrike

32.

Charlotte AI: Agentic Analyst for Cybersecurity

CrowdStrike

33.

Purple AI | AI Security Analyst for Autonomous SecOps | SentinelOne

SentinelOne

34.

Purple AI | AI Security Analyst for Autonomous SecOps | SentinelOne

SentinelOne

35.

Singularity™ AI SIEM for the Autonomous SOC

SentinelOne

36.

Singularity™ Hyperautomation | SentinelOne

SentinelOne

37.

Singularity™ AI SIEM for the Autonomous SOC

SentinelOne

38.

Frequently Asked Questions | AI Act Service Desk

39.

LLM01:2025 Prompt Injection - OWASP Gen AI Security Project

OWASP Top 10 for LLM & Generative AI Security

40.

Indirect prompt injection is taking hold in the wild - Help Net Security

41.

https://www.infosecurity-magazine.com/news/researchers-10-wild-indirect/

42.

https://unit42.paloaltonetworks.com/ai-agent-prompt-injection/

43.

https://arxiv.org/abs/2601.17548

44.

https://www.obsidiansecurity.com/blog/prompt-injection

45.

https://www.elastic.co/security-labs/mcp-tools-attack-defense-recommendations

46.

https://cloudsecurityalliance.org/blog/2025/09/25/the-salesloft-drift-oauth-supply-chain-attack-cross-industry-lessons-in-third-party-access-visibility

47.

https://www.finra.org/rules-guidance/guidance/salesloft-drift-AI-supply-chain-attack

48.

Reddit - The heart of the internet

49.

Obsidian | End-to-End AI and SaaS Security for Enterprises

50.

OWASP Top 10 for Agentic Applications for 2026 - OWASP Gen AI Security Project

OWASP Top 10 for LLM & Generative AI Security

51.

https://www.okta.com/newsroom/articles/why-ai-agents-must-be-treated-as-privileged-users/

52.

https://www.security.com/product-insights/agentic-ai-tsunami

53.

AI Agent Security Vulnerabilities 2026: 88% of Enterprises Already Breached | AI Automation Global

AI Automation Global

54.

https://www.vanta.com/resources/ai-security-posture-management

55.

https://www.humansecurity.com/learn/resources/2026-state-of-ai-traffic-cyberthreat-benchmarks/

56.

Managed AI against the proliferation of AI agents 🤖🌿 Why your unsupervised AI agents will soon become a legal risk ⚠️⚖️

Xpert.Digital - Konrad Wolfenstein

57.

https://www.ibm.com/think/x-force/agentic-ai-growing-fast-vulnerabilities

58.

Agentic AI Security: Shadow Agents, MCP Exploits, and the New Attack Surface | 1337skills

59.

https://unit42.paloaltonetworks.com/indirect-prompt-injection-poisons-ai-longterm-memory/

60.

https://www.lakera.ai/blog/agentic-ai-threats-p1

61.

https://www.iso.org/standard/42001

62.

https://elevateconsult.com/insights/eu-ai-code-of-practice-iso-42001/

63.

CrowdStrike Achieves ISO 42001 Certification for Responsible AI-Powered Cybersecurity

CrowdStrike

64.

https://nvlpubs.nist.gov/nistpubs/ai/nist.ai.100-1.pdf

65.

https://www.nist.gov/caisi/ai-agent-standards-initiative

66.

https://labs.cloudsecurityalliance.org/agentic/agentic-nist-ai-rmf-profile-v1/

67.

AI Risk Management Framework | NIST

68.

Frequently Asked Questions | AI Act Service Desk

69.

https://artificialintelligenceact.eu/article/5/

70.

https://www.artificialintelligence-news.com/news/agentic-ais-governance-challenges-under-the-eu-ai-act-in-2026/

71.

https://www.devdiscourse.com/article/law-order/3864660-europes-ai-act-expands-reach-to-autonomous-agents

72.

OWASP Top 10 for Agentic Applications for 2026 - OWASP Gen AI Security Project

OWASP Top 10 for LLM & Generative AI Security

73.

https://goteleport.com/blog/ai-agents-soc-2/

74.

https://gdpr-info.eu/art-22-gdpr/

Sena Sezer

Analyste du secteur

Suivre

Sena est analyste sectorielle chez AIMultiple. Elle a obtenu sa licence à l'Université de Bogazici.

Voir le profil complet

Soyez le premier à commenter

Votre adresse courriel ne sera pas publiée. Tous les champs sont obligatoires.

Nom

Adresse email

Commentaire

0/450

Publier un commentaire