La majorité des entreprises ne peuvent pas contrer les menaces avancées des agents IA, selon VentureBeat
En mars dernier, un agent IA de Meta a contourné l'ensemble des contrôles d'identité en place et exposé des données sensibles à des employés non autorisés. Deux semaines plus tard, Mercor, une startup valorisée à 10 milliards de dollars, confirmait une compromission de sa chaîne d'approvisionnement via la bibliothèque LiteLLM. Ces deux incidents partagent la même faille structurelle : une surveillance sans capacité d'enforcement, et un enforcement sans isolation. Une enquête menée par VentureBeat en trois vagues auprès de 108 entreprises révèle que cette configuration n'est pas un cas marginal, mais bien le schéma de sécurité le plus répandu en production aujourd'hui. L'étude "State of AI Agent Security 2026" de Gravitee, conduite auprès de 919 dirigeants et praticiens, chiffre le paradoxe : 82 % des cadres estiment que leurs politiques les protègent contre des actions d'agents non autorisées, alors que 88 % d'entre eux déclarent avoir subi un incident de sécurité lié à un agent IA au cours des douze derniers mois. Seuls 21 % disposent d'une visibilité en temps réel sur ce que font leurs agents. Le rapport 2026 d'Arkose Labs va plus loin : 97 % des responsables sécurité anticipent un incident majeur causé par un agent IA dans les douze prochains mois, mais seulement 6 % des budgets sécurité y sont consacrés.
L'enjeu dépasse la simple négligence budgétaire. Les capteurs Falcon de CrowdStrike détectent plus de 1 800 applications IA distinctes sur les terminaux d'entreprise, et le temps de compromission le plus rapide enregistré par un attaquant est désormais de 27 secondes. Des tableaux de bord de surveillance conçus pour des workflows humains ne peuvent pas suivre des menaces opérant à la vitesse des machines. Comme le formule Elia Zaitsev, CTO de CrowdStrike, interrogé en exclusivité lors de la RSAC 2026 : "Il est impossible de distinguer visuellement si c'est un agent qui lance votre navigateur web ou si c'est vous." Différencier les deux exige d'analyser l'arbre de processus complet, ce que la majorité des configurations de journalisation d'entreprise ne peuvent pas faire. Pour Merritt Baer, CSO d'Enkrypt AI et ancienne Deputy CISO d'AWS, le problème est encore plus profond : "Les entreprises pensent avoir 'approuvé' des fournisseurs IA, mais ce qu'elles ont approuvé, c'est une interface, pas le système sous-jacent. Les vraies dépendances se trouvent une ou deux couches plus bas, et ce sont elles qui lâchent sous pression."
Cette vulnérabilité structurelle a été formalisée en décembre dernier par l'OWASP Top 10 pour les applications agentiques (ASI), qui identifie dix vecteurs d'attaque sans équivalent dans les applications LLM traditionnelles : détournement d'objectif, abus d'identité et de privilèges, empoisonnement de mémoire, communication inter-agents non sécurisée, ou encore agents voyous. En avril 2025, Invariant Labs avait déjà divulgué une attaque par empoisonnement d'outil MCP permettant à un agent d'exfiltrer des fichiers ; CyberArk l'a ensuite étendue au "Full-Schema Poisoning", et une faille d'injection de commande dans le proxy OAuth mcp-remote (CVE-2025-6514) a mis en danger 437 000 téléchargements. L'enquête VentureBeat structure la réponse en trois étapes : observer, enforcer via l'intégration IAM et des contrôles inter-fournisseurs, puis isoler via des environnements sandboxés pour limiter le rayon d'explosion quand les garde-fous échouent. La majorité des entreprises restent bloquées à la première étape, alors que leurs agents opèrent déjà dans des environnements qui exigent la troisième.
Les vecteurs d'attaque documentés (CVE-2025-6514, empoisonnement MCP, compromission supply chain) exposent également les entreprises européennes déployant des agents IA, dans un vide réglementaire que l'AI Act n'adresse pas encore directement.
