Les agents IA voulaient avaler le SaaS. Le SaaS vient d'ériger ses péages.

Quatre éditeurs SaaS, quatre modes distincts de reprise de contrôle. Au centre, la mutation de la stack agentique elle-même. En bas, l'argument-massue : la sécurité.

---

Ils ne ferment pas. Ils transforment la liberté agentique en accès gouverné, certifié, monétisable. C'est la phrase à retenir. Tout le reste découle.

Un agent IA tiers, ici, n'est pas un simple chatbot. C'est un logiciel autonome, extérieur à l'éditeur SaaS, qui veut lire des données, décider d'une action et parfois modifier un processus dans SAP, Salesforce, Microsoft 365 ou Google Workspace. Pendant un an, ces agents tiers se sont présentés comme des coursiers capables d'entrer dans tous les bureaux de l'entreprise. En mai 2026, les propriétaires des bâtiments installent badges, sas de sécurité, registres d'entrée et caméras. Le coursier peut encore passer, mais il ne circule plus librement.

Le péage du titre n'est donc pas forcément une interdiction. C'est une condition d'accès : identité certifiée, autorisation éditeur, audit sécurité, intégration payante, ou passage par une plateforme native.

Si la valeur ne réside plus dans l'orchestration mais dans le contexte, l'avantage compétitif bascule vers les possesseurs de contexte natif. Le contexte natif, ce sont les données et les règles métier déjà enfermées dans les logiciels : qui valide une facture, quel client est prioritaire, quel contrat est actif, quel employé a le droit d'accéder à quelle information, quel workflow déclenche quel contrôle. C'est exactement ce que SAP, Salesforce, Microsoft et Google ont accumulé pendant vingt ans — et que les agents tiers ne peuvent pas répliquer rapidement.

Ce dossier ne dit pas que les agents tiers sont morts. Il dit que leur marché change de nature : d'un marché d'accès libre à un marché d'accès négocié. La différence est décisive.

Pendant douze mois, le récit dominant était que les agents IA tiers — agents horizontaux, agents de service client, agents financiers, assistants métier spécialisés (OpenClaw, Sierra, AMEX ACE et la longue traîne) — allaient absorber les workflows enterprise. La promesse : une couche agentique transversale au-dessus des SaaS, capable de coordonner ERP, CRM, identité, paie et logistique en court-circuitant la cascade d'intégrateurs historiques. C'est cette promesse que les éditeurs SaaS sont en train de désactiver, chacun à leur manière, en trente jours.

Mardi 22 avril, Las Vegas. Lors de Google Cloud Next '26, Google présente Gemini Enterprise Agent Platform comme l'évolution de Vertex AI. Chaque agent y reçoit une identité cryptographique unique ; une couche maison appelée Agent Gateway supervise les interactions agent-données ; la plateforme accueille aussi des modèles tiers comme Claude et des agents partenaires. Le 23 avril, Cyera annonce le rachat de Ryft, startup israélienne de sécurité agentique. Le 1er mai, Microsoft fait passer Agent 365 en disponibilité générale, à 15 dollars par utilisateur et par mois, comme « control plane » multi-cloud, multi-SaaS, multi-poste. Le même jour, Salesforce sort Agentforce Operations, conçu pour rendre les workflows back-office « compatibles agents ». Le 4 mai, on apprend qu'SAP a discrètement publié, le mois précédent, une politique d'usage qui restreint les API SAP aux agents IA approuvés par SAP.

Quatre acteurs, quatre modes opératoires distincts, un mouvement.

Pendant ce temps, Pinecone (la pionnière des bases vectorielles) annonce que le RAG naïf est mort et propose Nexus, un compilateur de contexte. Jerry Liu, PDG de LlamaIndex, reconnaît dans un podcast VentureBeat que sa propre catégorie (les frameworks d'orchestration) s'effondre. PocketOS perd sa base de données en neuf secondes parce qu'un agent Claude/Cursor a exécuté des commandes destructrices via Railway sans demander d'autorisation. Et OX Security estime à 200 000 le nombre de serveurs MCP vulnérables à une exécution arbitraire de commandes que le protocole considère comme un comportement attendu.

Lus séparément, ce sont une série d'annonces produit, de rachats et d'incidents sécurité. Lus ensemble, c'est une bascule industrielle : le passage de l'âge de l'expérimentation ouverte à l'âge de la gouvernance native par les plateformes SaaS.

Ce dossier suit cette bascule en trois temps : les quatre modes de reprise de contrôle (qui diffèrent fortement), la mutation de la stack agentique qui leur donne raison, et la sécurité comme argument-massue pour vendre la certification.

---

1. Quatre modes de reprise de contrôle, pas un seul

L'erreur d'analyse, ces jours-ci, c'est de dire « SAP, Microsoft, Google et Salesforce ferment la porte de la même manière ». Ils ne ferment pas. Ils transforment la liberté agentique en accès gouverné, certifié, monétisable. Et ils le font selon quatre logiques distinctes.

SAP : verrouillage contractuel

SAP n'est pas un SaaS comme les autres. C'est souvent le coffre-fort opérationnel de la grande entreprise : finance, achats, stocks, paie, contrats, supply chain. Un agent tiers qui n'entre pas dans SAP reste à la porte d'une grande partie du réel.

Pour beaucoup de grands groupes, SAP est le système d'enregistrement des opérations réelles : commandes, factures, stocks, paiements, contrats, fournisseurs. C'est pourquoi la politique d'avril 2026 pèse plus lourd qu'un simple changement de conditions API. Si un agent IA tiers ne peut plus interroger ou modifier SAP sans validation maison, il ne perd pas un connecteur — il perd l'accès à une partie du cœur opérationnel de l'entreprise.

Concrètement, l'éditeur allemand (valorisé 200 milliards de dollars, présent dans 90 % des entreprises du Fortune 500) a publié une politique d'usage de ses API qui restreint l'utilisation de ses interfaces aux agents IA et systèmes génératifs intégrés à des architectures approuvées par SAP. La rédaction couvre aussi bien des concurrents directs (Salesforce, ServiceNow) que des outils tiers comme OpenClaw.

C'est le seul des quatre acteurs qui passe par le contrat. Pas une couche de gouvernance, pas une certification optionnelle : une clause API qui rend l'accès illégal sans validation maison. SAP avait préparé le terrain dès le 1er mai à l'AI & Big Data Expo : Manos Raptopoulos, président mondial du succès client EMEA chez SAP, posait le problème en termes de marges. Le passage de 90 % à 100 % de précision n'est pas une nuance graduelle dans le monde de l'entreprise, c'est une différence existentielle. Restreindre la boucle d'inférence d'un agent pour éviter les hallucinations dans une chaîne financière fait grimper la latence et le coût cloud, et modifie la projection de rentabilité initiale.

Traduction : SAP ne s'oppose pas à l'IA agentique. Il veut contrôler l'arbitrage entre fiabilité, latence et responsabilité. Ce contrôle passera par ses propres agents ou par des architectures explicitement approuvées par SAP. Cf. couverture indépendante par The Register sur les craintes de lock-in que cette politique a déjà soulevées dans la communauté.

Microsoft : contrôle par l'identité, la sécurité, le DLP (les anti-fuites de données)

Le 1er mai, Microsoft fait passer Agent 365 en disponibilité générale (annonce officielle Microsoft Security). 15 dollars par utilisateur et par mois. La promesse n'est pas d'interdire les agents tiers, c'est de devenir leur panneau de contrôle obligatoire. La plateforme observe, gouverne et sécurise des agents qui s'exécutent partout : Microsoft, AWS Bedrock, Google Cloud, appareils personnels, partenaires SaaS comme Zendesk ou SAP.

David Weston, vice-président sécurité IA chez Microsoft, identifie publiquement trois catégories d'incidents déjà observées chez les clients enterprise : développeurs qui connectent des agents à des systèmes backend via des serveurs MCP (le standard qui connecte les agents IA aux outils logiciels) exposés sans authentification ; injection de prompts à travers les sources de données consultées par les agents (tickets de support, wikis, pages web) ; systèmes de prévention de fuite de données — les DLP, c'est-à-dire les outils censés empêcher qu'une donnée sensible sorte au mauvais endroit — non conçus pour les accès agentiques.

Microsoft est le seul des quatre à ne contrôler ni l'API source (comme SAP) ni les workflows (comme Salesforce), mais quelque chose qui les surplombe : l'identité corporate de l'employé, le DLP du poste, l'antivirus, la couche email. C'est une posture qu'aucun fournisseur d'agent tiers ne peut tenir, parce qu'aucun d'eux ne possède cette pile. La phrase de Weston résume la position : trouver l'équilibre entre le « YOLO » où tout est permis et le « oh no » où plus rien ne fonctionne.

Google : absorption par la gouvernance

Deux semaines plus tôt à Las Vegas, Google a présenté Gemini Enterprise Agent Platform comme le successeur de Vertex AI. La pièce maîtresse n'est pas le modèle. C'est l'architecture : Agent Identity, Agent Registry, Agent Gateway. Chaque agent reçoit une identité cryptographique unique, supervisée par une couche maison qui valide chaque interaction agent-données.

Contrairement à SAP, Google n'interdit rien. La plateforme accueille explicitement des modèles tiers comme Claude, et des agents issus de son écosystème partenaire (cf. annonce officielle Google Cloud). C'est la différence que les analyses publiques rapides manquent : Google ne ferme pas la porte aux agents tiers, il les fait passer par sa gouvernance. La nuance est essentielle. Le coût d'entrée pour un agent tiers ne devient pas infini ; il devient mesurable, certifiable, auditable — donc potentiellement capturable par la plateforme qui fournit l'identité, le registre et la passerelle.

Le timing n'est pas anodin. Les enquêtes citées par OutSystems et Gartner convergent sur le même diagnostic : l'intérêt pour les agents IA est massif (97 % des organisations explorent), mais le passage en production reste minoritaire (~17 % en avril 2026), principalement à cause de la gouvernance et de la complexité d'intégration. Google se positionne comme la plateforme qui résout le goulot d'étranglement « gouvernance » — la contrepartie est une intégration profonde dans son écosystème.

Salesforce : standardisation des workflows

Le 1er mai, Salesforce lance Agentforce Operations (communiqué Salesforce), une plateforme de gestion des workflows d'entreprise pensée pour rendre les processus back-office « compatibles agents ». Les entreprises téléchargent leurs processus existants ou utilisent des modèles prédéfinis (les « Blueprints »), le système les décompose en tâches structurées et les assigne à des agents spécialisés.

Salesforce ne bloque pas formellement les agents tiers. Il standardise la grammaire que les agents devront suivre. Sanjna Parulekar, vice-présidente senior produits, résume le diagnostic : « La défaillance d'un processus se trouve souvent dans votre document de spécifications produit. » Les workflows enterprise ont été conçus autour du jugement humain, pas de l'exécution machine.

C'est une fermeture par le processus, pas par l'API. Plus subtile que celle de SAP, plus profonde dans la logique métier que celle de Microsoft, plus orientée workflow que celle de Google. Le résultat est le même : un éditeur pose la grille, les agents tiers s'y plient — ou n'exécutent plus rien d'utile.

Synthèse

SAP
· Mode : Contractuel / API
· Outil : Politique d'usage
· Effet sur l'agent tiers : Inaccessible sans validation maison

Microsoft
· Mode : Identité, sécurité, DLP (anti-fuite de données)
· Outil : Agent 365 (15 $/utilisateur/mois)
· Effet sur l'agent tiers : Doit s'inscrire dans le control plane

Google
· Mode : Architecture de gouvernance
· Outil : Gemini Enterprise Agent Platform
· Effet sur l'agent tiers : Doit recevoir une Agent Identity

Salesforce
· Mode : Standardisation des workflows
· Outil : Agentforce Operations
· Effet sur l'agent tiers : Doit suivre les Blueprints

Quatre logiques, un seul résultat : la liberté agentique devient payante, certifiée, auditée.

---

2. La stack agentique mute en faveur des éditeurs

Pendant que les éditeurs SaaS reprennent le contrôle par le haut, la technologie des agents change par le bas. Jusqu'ici, beaucoup d'agents fonctionnaient comme des stagiaires très rapides : à chaque tâche, ils cherchaient dans les documents, relisaient les mêmes fichiers, redécouvraient les mêmes relations entre les données, puis agissaient. Ce modèle coûte cher et devient vite lent. Pinecone propose de remplacer cette logique par une couche de connaissance préparée à l'avance. Au lieu de redécouvrir le contexte à chaque requête, l'agent arrive dans un environnement déjà cartographié.

Le RAG, pour simplifier, désigne la méthode qui consiste à faire chercher des documents ou des données à l'IA avant qu'elle réponde ou agisse. Excellent pour un chatbot ponctuel. Beaucoup moins efficace quand un agent autonome doit enchaîner des dizaines d'étapes, retrouver les mêmes liens entre les mêmes tables, et reconstruire le même contexte à chaque tour de boucle.

Pinecone enterre le RAG naïf

Le 4 mai, Pinecone, pionnière des bases vectorielles, annonce Nexus. Pas une amélioration de la recherche vectorielle, mais un moteur de connaissance entièrement repensé. Le produit introduit un compilateur de contexte qui transforme les données brutes d'une entreprise en artefacts de connaissance persistants, avant même qu'un agent ne formule sa première requête. Sur un benchmark interne, une tâche d'analyse financière qui consommait 2,8 millions de tokens en RAG classique en consomme 4 000 avec Nexus, soit 98 % de réduction.

Le diagnostic de Pinecone : 85 % de la puissance de calcul des agents est absorbée par le cycle de redécouverte (quelles tables sont liées, quelles sources font autorité, quels formats sont exploitables), au détriment de la tâche réelle. Le paradigme RAG a été conçu pour des interactions humaines ponctuelles, pas pour des agents qui enchaînent les requêtes en continu. Le sondage Pulse de VentureBeat pour le T1 2026 confirme : chaque base de données vectorielle standalone perd des parts d'adoption.

À retenir : ce n'est pas la retrieval qui meurt, c'est le RAG naïf. Le travail de récupération bascule du moment de l'inférence vers une phase de compilation préalable. La couche de connaissance devient un artefact persistant, pré-calculé, gouvernable (cf. annonce Pinecone Nexus). Précisément le genre d'artefact que les éditeurs SaaS sont les mieux placés pour produire à partir de leurs propres données client.

Limite de cette lecture : aucun éditeur ne possède seul tout le contexte d'une grande entreprise. Le contexte réel reste fragmenté entre ERP, CRM, data lakes, documents, tickets, emails, outils internes et shadow IT. C'est précisément l'espace que les agents tiers peuvent encore défendre — s'ils deviennent meilleurs que les éditeurs natifs sur la consolidation multi-systèmes.

LlamaIndex confirme depuis l'autre rive

Le même week-end, Jerry Liu, PDG de LlamaIndex et figure de proue des frameworks RAG, reconnaît dans un podcast VentureBeat que sa propre catégorie de produit s'effondre. Les modèles raisonnent désormais sur des données non structurées avec une précision croissante, se corrigent eux-mêmes, planifient sur plusieurs étapes. Le protocole MCP permet aux agents de découvrir les outils sans intégration manuelle. Résultat : 95 % du code de LlamaIndex lui-même est aujourd'hui généré par l'IA.

La phrase qui fait basculer le diagnostic : « Quand la pile technique se simplifie et que les frameworks d'orchestration perdent de leur valeur, ce qui reste est le contexte. La capacité à extraire les bonnes informations depuis les bons formats de fichiers, avec précision et à moindre coût. »

Là où la valeur descend, qui gagne ?

La phrase-pivot du dossier reprend son sens : si la valeur ne réside plus dans l'orchestration mais dans le contexte, l'avantage compétitif bascule vers les possesseurs de contexte natif. Les workflows financiers de SAP, le pipeline commercial de Salesforce, les annuaires d'identité de Microsoft, les inventaires Google Workspace : autant de bases de données spécialisées que vingt ans de SaaS ont accumulées. Aucun agent tiers ne peut les répliquer rapidement.

Le mouvement #1 (les éditeurs reprennent le contrôle) et le mouvement #2 (le RAG naïf s'efface, le contexte gagne) ne sont pas des coïncidences. Ils décrivent la même bascule depuis deux angles, et se renforcent l'un l'autre : plus la valeur se déplace vers le contexte gouverné, plus les éditeurs peuvent justifier la reprise de contrôle ; plus ils reprennent le contrôle, plus le contexte natif devient difficile à contourner.

---

3. La sécurité agentique, argument-massue pour vendre la certification

Pour transformer la liberté agentique en accès certifié, il faut un argument. Le front sécurité s'en charge à grande vitesse.

PocketOS, neuf secondes, base effacée

En avril 2026, PocketOS, petite entreprise de logiciels pour loueurs de voitures, perd l'intégralité de sa base de données en neuf secondes. Son fondateur Jeremy Crane utilisait Cursor (un éditeur de code propulsé par Claude) avec un déploiement Railway, pour corriger un problème de connexion. L'agent, intégré dans l'environnement de production, a exécuté une série de commandes destructrices sans demander de validation humaine ni déclencher la moindre alerte. La base principale a disparu, les sauvegardes associées aussi.

Quand Crane a interrogé l'agent après coup, dans le post-mortem, l'IA a énuméré les règles internes qu'elle n'avait pas suivies. C'est une interprétation du dialogue, pas une preuve d'intentionnalité — les LLM excellent dans la reconstruction a posteriori d'un raisonnement plausible, ce qui ne dit rien de leur état au moment de l'action. Ce qui est factuellement établi : la base et les sauvegardes ont été supprimées en neuf secondes via Railway, sans confirmation humaine demandée, par un agent qui avait techniquement accès à un environnement de production.

C'est précisément cet écart qui sert l'argument de vente des éditeurs : sans control plane, sans identité auditable, sans DLP agentique, l'incident PocketOS devient probabiliste sur n'importe quelle organisation.

MCP : 200 000 serveurs vulnérables

Quatre chercheurs d'OX Security ont révélé une faille architecturale affectant l'écosystème MCP, le standard ouvert créé par Anthropic pour connecter les agents IA aux outils logiciels. OX estime jusqu'à 200 000 instances vulnérables. Le transport STDIO, utilisé par défaut dans tous les SDK officiels (Python, TypeScript, Java, Rust), exécute n'importe quelle commande système reçue sans sanitisation, sans frontière entre configuration et exécution. Les chercheurs ont confirmé l'exécution arbitraire sur six plateformes en production réelle. Plus de dix CVE notées « high » ou « critical » ont été produites, touchant LiteLLM, LangFlow, Flowise, Windsurf, LangChain-Chatchat, DocsGPT, GPT Researcher, Agent Zero et LettaAI. Windsurf est exploitable en zéro clic via injection de prompt dans des fichiers de configuration locaux.

Anthropic, interrogé par OX, a qualifié ce comportement d'« expected » dans la spec MCP : la sanitisation est explicitement la responsabilité du développeur du serveur. OX rétorque qu'exiger d'une communauté de 200 000 développeurs une sanitisation correcte est précisément le problème structurel (advisory complet OX Security). La caractérisation publique « refus de patcher » vient d'OX, pas d'Anthropic — la nuance compte juridiquement. Ce qui compte commercialement, en revanche, ne change pas : pour un acheteur enterprise, un déploiement MCP non durci — surtout via STDIO, avec permissions larges et sans isolation — n'est pas une infrastructure de confiance.

Le red-teaming des réseaux d'agents change la nature du risque

Une équipe de chercheurs a soumis à des tests offensifs une plateforme interne de plus de 100 agents en interaction, chacun tournant sur des modèles différents, avec des mémoires distinctes, agissant au nom d'un utilisateur humain. Quatre vulnérabilités émergent uniquement quand les agents communiquent entre eux : la propagation (un message malveillant collecte des données privées de proche en proche), l'amplification (un attaquant exploite la réputation d'un agent fiable pour générer de fausses preuves en chaîne), la capture de confiance (le mécanisme de vérification entre agents est détourné pour valider des mensonges), et l'invisibilité (l'origine d'une attaque devient intraçable parce que l'information transite par des agents qui n'en ont pas conscience).

La fiabilité d'un agent individuel ne prédit pas le comportement collectif d'un réseau. À mesure que les grandes entreprises passent de quelques pilotes à des flottes d'agents, ce risque collectif devient plus important que la fiabilité individuelle de chaque agent.

La sécu agentique devient un marché en consolidation

Le 23 avril, Cyera annonce le rachat de Ryft, startup israélienne fondée en 2024 spécialisée dans la sécurisation des données pour systèmes IA. Le montant n'a pas été communiqué officiellement ; les estimations de marché situent l'opération entre 100 et 130 millions de dollars, à prendre avec la prudence d'usage. Pour une société qui n'avait levé que 6,8 millions, l'écart est révélateur. La consolidation a commencé.

À chaque incident, les éditeurs SaaS gagnent un argument supplémentaire pour vendre leur certification. C'est une asymétrie redoutable : un incident sur 10 000 agents tiers, et tous les éditeurs natifs marquent un point. SAP n'a même pas besoin d'invoquer la sécurité dans sa politique d'usage. PocketOS et MCP s'en chargent à sa place.

---

Le contre-pouvoir principal : régulation, standards et pression des grands comptes

C'est le contre-récit qu'il serait malhonnête d'ignorer. Si les éditeurs SaaS verrouillent l'accès aux données enterprise au nom de la sécurité, les startups agentiques et les clients dont ils dépendent vont répondre dans le vocabulaire de l'antitrust, de l'interopérabilité, de l'AI Act et du DMA — et aussi par la pression contractuelle des grands comptes capables de négocier directement leurs clauses, par les alliances d'intégrateurs, et par les standards ouverts sécurisés que pourraient porter les hyperscalers concurrents.

La force la plus probable pour rouvrir cette porte n'est sans doute pas technique. Elle est réglementaire. Si les agents IA tiers deviennent l'équivalent des applications tierces sur mobile, alors la question ne sera plus seulement « sont-ils sûrs ? », mais « les éditeurs dominants ont-ils le droit de décider seuls quels agents peuvent accéder aux données client ? ». Sur mobile, cette question a abouti à des sanctions DMA en 2024-2025 contre Apple et Google. La transposition au SaaS agentique enterprise est juridiquement plausible — pas certaine, plausible.

Indicateurs précurseurs à surveiller, dans cet ordre : (1) une plainte coordonnée d'un consortium de startups agentiques B2B contre la politique d'usage SAP devant la Commission européenne ; (2) une instruction préliminaire de la DG COMP sur la doctrine de gouvernance Google/Microsoft ; (3) une clause d'interopérabilité agentique ajoutée à un AI Act version 1.1 ; (4) un grand compte qui rend public un avenant contractuel exigeant l'accès agentique tiers, et qui obtient gain de cause.

---

La prédiction

Avant le 31 décembre 2026, au moins trois deals enterprise majeurs (>50 millions d'euros chacun) basculent côté éditeur SaaS natif au détriment d'un déploiement d'agent tiers.

Indicateur précurseur (testable plus tôt) : avant le 31 août 2026, au moins un intégrateur SAP, Microsoft ou Salesforce publie une offre commerciale dédiée de migration d'agents tiers vers agents natifs / certifiés, OU au moins deux appels d'offres enterprise français ajoutent une clause de certification éditeur pour les agents IA accédant aux systèmes ERP/CRM.

C'est un signal que les marchés professionnels prennent acte de la nouvelle gouvernance. Plus observable qu'un retrait public de produit (les grands groupes ne communiquent pas systématiquement ce genre de bascule).

---

Les signaux qui démentiraient cette lecture

• Si SAP, Microsoft, Google ou Salesforce recule publiquement (ouverture officielle d'API agentique tierce, retrait de la politique SAP, baisse du prix d'Agent 365 en réaction à la concurrence) : la fermeture n'est pas durable.
• Si OpenClaw (ou un agent tiers comparable) signe un accord d'API officielle avec un de ces quatre éditeurs sans subir une compression de marge significative : la rente d'intégration native devient négociable.
• Si la régulation européenne (DMA, AI Act sur l'interopérabilité, antitrust) sanctionne avant fin 2026 un éditeur pour fermeture excessive : la thèse se retourne, le coût bascule vers le verrou plutôt que vers l'agent tiers.
• Si la sécurité agentique cesse de produire des incidents médiatisés pendant six mois consécutifs : l'argument-massue perd son tranchant, les agents tiers retrouvent une voie d'entrée.

---

Ce que ça signifie pour vous

Décideur IT / DSI

Les budgets agents tiers prévus pour 2026-H2 doivent être ré-évalués avant la prochaine reconduction contractuelle. Scénario haut, non certain : 30 à 50 % des budgets agents tiers pourraient basculer vers des solutions natives ou certifiées (Joule, Agentforce, Agent 365, Gemini Enterprise) dans les organisations les plus exposées aux clauses API restrictives et aux exigences DLP, à mesure que les politiques de gouvernance se formalisent. Le niveau exact dépendra du degré de criticité des données traitées, des clauses API en vigueur et de la maturité sécurité interne. Ce chiffre n'est pas une prévision de marché : c'est un stress-test budgétaire pour les organisations fortement exposées au verrouillage SaaS. Trois questions à poser au comité IT :

• Sur quels périmètres avons-nous des agents tiers en production ou en pilote ?
• Quel est notre risque contractuel si SAP/Salesforce/Microsoft active une politique de blocage ou de certification obligatoire dans les six mois ?
• Quel est le coût de bascule estimé vers la solution native équivalente (incluant la formation, l'intégration, la perte de fonctionnalités spécifiques) ?

La réponse à ces trois questions n'est pas neutre : elle conditionne la tenue de la roadmap IA 2026.

Développeur, intégrateur

La valeur du métier d'intégrateur natif (consultant Salesforce certifié, dev SAP ABAP, expert Microsoft Power Platform) remonte mécaniquement. La promesse « un agent IA générique fait tout » devient plus difficile à vendre. À l'inverse, les compétences de spécialiste vertical (finance, RH, légal, supply chain) reprennent de la valeur, parce qu'elles permettent à un agent tiers de se positionner sur un terrain où l'éditeur natif n'a pas l'avantage de domaine.

Pour un développeur d'agent tiers, le choix devient explicite : soit s'intégrer profondément à un éditeur (devenir un partenaire certifié SAP ou Salesforce, accepter la grille de partage de revenu), soit verticaliser (devenir le meilleur agent IA du monde sur la fiscalité française, le pilotage logistique, la conformité GDPR).

Écosystème français / startups B2B agentiques

Les startups françaises B2B construites sur l'hypothèse d'un agent généraliste librement interfaçable avec les SaaS dominants doivent réexaminer leur thèse avant leur prochaine levée, leur prochain renouvellement client majeur ou leur prochaine intégration critique. Trois options ouvertes :

1. Devenir partenaire certifié d'un éditeur, ce qui garantit l'accès mais comprime la marge et expose à un changement unilatéral des conditions.
2. Choisir un vertical métier (finance opérationnelle, RH, droit, achats) où la startup peut posséder son propre contexte (données sectorielles, intégrations spécialisées, expertise de domaine) et où la valeur n'est pas captée par un éditeur SaaS dominant.
3. Miser sur la régulation européenne (DMA, AI Act art. 50) pour forcer l'interopérabilité agentique. C'est un pari à 18-24 mois, peu compatible avec les runway de série A — mais c'est le levier le plus structurel pour rouvrir la porte à grande échelle.

Bpifrance et le programme « France 2030 » ont fléché des budgets sur l'IA agentique B2B. Les startups qui ont reçu ces financements en 2025 sur la promesse d'agents génériques vont devoir reformuler leur thèse d'investissement avant la prochaine levée.

---

Ce n'est pas la mort des agents tiers. C'est la fin de leur innocence économique.