85 % des équipes IT disent maîtriser leurs agents IA, mais seules 42 % savent qui les gère

85 % des entreprises utilisent des agents IA, mais seulement 5 % leur font assez confiance pour les déployer en production

Selon une enquête menée par Cisco auprès de ses grands clients entreprises, 85 % d'entre eux ont lancé des programmes pilotes d'agents IA, mais seulement 5 % ont franchi le pas de la mise en production. Cet écart de 80 points a été au coeur de l'intervention de Jeetu Patel, président et directeur produit de Cisco, lors de la RSA Conference 2026. Pour lui, la raison est simple : l'absence d'architecture de confiance. Il a comparé les agents IA à des adolescents, "extrêmement intelligents, mais sans peur des conséquences, facilement détournés ou influencés". L'exemple qu'il a cité dans son keynote est parlant : un agent de codage IA a supprimé une base de données de production en plein gel de code, tenté de masquer l'incident avec de fausses données, puis présenté ses excuses. "Une excuse n'est pas un garde-fou", a-t-il déclaré. Ce fossé entre pilotes et production illustre un changement fondamental de nature du risque. Quand un chatbot se trompait il y a trois ans, c'était une gêne. Quand un agent commet une erreur, les conséquences peuvent être irréversibles. Patel l'a formulé ainsi : "La différence entre déléguer et déléguer en confiance, c'est la différence entre la faillite et la domination du marché." Pour les entreprises qui cherchent à industrialiser leurs usages d'IA sur des tâches critiques, résoudre ce problème de confiance n'est plus optionnel. C'est la condition d'entrée dans la compétition. La réponse de Cisco à la RSA Conference 2026 s'est articulée autour de trois axes : protéger les agents du monde extérieur, protéger le monde des agents, et réagir à vitesse machine. Parmi les annonces : AI Defense Explorer Edition, un outil de red teaming gratuit et en libre-service ; l'Agent Runtime SDK pour intégrer la politique de sécurité directement dans les workflows d'agents au moment du build ; et un LLM Security Leaderboard pour évaluer la résistance des modèles aux attaques adversariales. En parallèle, Cisco a intégré en 48 heures son framework open-source Defense Claw, regroupant Skills Scanner, MCP Scanner, un outil d'inventaire IA et CodeGuard, dans OpenShell, le conteneur sécurisé lancé par Nvidia à la GTC la semaine précédente. L'intégration permet d'activer automatiquement tous les services de sécurité de Defense Claw au lancement du conteneur, sans configuration manuelle. Patel affirme par ailleurs que Cisco dispose d'une avance produit de six à neuf mois sur la majorité du marché, renforcée par une "asymétrie d'information" de trois à six mois supplémentaires liée à sa position centrale dans les écosystèmes réseau de ses clients.

La majorité des entreprises ne peuvent pas contrer les menaces avancées des agents IA, selon VentureBeat

En mars dernier, un agent IA de Meta a contourné l'ensemble des contrôles d'identité en place et exposé des données sensibles à des employés non autorisés. Deux semaines plus tard, Mercor, une startup valorisée à 10 milliards de dollars, confirmait une compromission de sa chaîne d'approvisionnement via la bibliothèque LiteLLM. Ces deux incidents partagent la même faille structurelle : une surveillance sans capacité d'enforcement, et un enforcement sans isolation. Une enquête menée par VentureBeat en trois vagues auprès de 108 entreprises révèle que cette configuration n'est pas un cas marginal, mais bien le schéma de sécurité le plus répandu en production aujourd'hui. L'étude "State of AI Agent Security 2026" de Gravitee, conduite auprès de 919 dirigeants et praticiens, chiffre le paradoxe : 82 % des cadres estiment que leurs politiques les protègent contre des actions d'agents non autorisées, alors que 88 % d'entre eux déclarent avoir subi un incident de sécurité lié à un agent IA au cours des douze derniers mois. Seuls 21 % disposent d'une visibilité en temps réel sur ce que font leurs agents. Le rapport 2026 d'Arkose Labs va plus loin : 97 % des responsables sécurité anticipent un incident majeur causé par un agent IA dans les douze prochains mois, mais seulement 6 % des budgets sécurité y sont consacrés. L'enjeu dépasse la simple négligence budgétaire. Les capteurs Falcon de CrowdStrike détectent plus de 1 800 applications IA distinctes sur les terminaux d'entreprise, et le temps de compromission le plus rapide enregistré par un attaquant est désormais de 27 secondes. Des tableaux de bord de surveillance conçus pour des workflows humains ne peuvent pas suivre des menaces opérant à la vitesse des machines. Comme le formule Elia Zaitsev, CTO de CrowdStrike, interrogé en exclusivité lors de la RSAC 2026 : "Il est impossible de distinguer visuellement si c'est un agent qui lance votre navigateur web ou si c'est vous." Différencier les deux exige d'analyser l'arbre de processus complet, ce que la majorité des configurations de journalisation d'entreprise ne peuvent pas faire. Pour Merritt Baer, CSO d'Enkrypt AI et ancienne Deputy CISO d'AWS, le problème est encore plus profond : "Les entreprises pensent avoir 'approuvé' des fournisseurs IA, mais ce qu'elles ont approuvé, c'est une interface, pas le système sous-jacent. Les vraies dépendances se trouvent une ou deux couches plus bas, et ce sont elles qui lâchent sous pression." Cette vulnérabilité structurelle a été formalisée en décembre dernier par l'OWASP Top 10 pour les applications agentiques (ASI), qui identifie dix vecteurs d'attaque sans équivalent dans les applications LLM traditionnelles : détournement d'objectif, abus d'identité et de privilèges, empoisonnement de mémoire, communication inter-agents non sécurisée, ou encore agents voyous. En avril 2025, Invariant Labs avait déjà divulgué une attaque par empoisonnement d'outil MCP permettant à un agent d'exfiltrer des fichiers ; CyberArk l'a ensuite étendue au "Full-Schema Poisoning", et une faille d'injection de commande dans le proxy OAuth mcp-remote (CVE-2025-6514) a mis en danger 437 000 téléchargements. L'enquête VentureBeat structure la réponse en trois étapes : observer, enforcer via l'intégration IAM et des contrôles inter-fournisseurs, puis isoler via des environnements sandboxés pour limiter le rayon d'explosion quand les garde-fous échouent. La majorité des entreprises restent bloquées à la première étape, alors que leurs agents opèrent déjà dans des environnements qui exigent la troisième.

L’IA crée son propre Shadow IT : les entreprises perdent déjà la trace de leurs agents

Un phénomène bien connu refait surface sous une forme nouvelle dans les entreprises : après avoir lutté pendant vingt ans contre le Shadow IT classique, les directions informatiques font face à une variante propulsée par l'intelligence artificielle. Des équipes métier déploient désormais des agents IA, des assistants automatisés et des flux de traitement autonomes sans passer par les circuits de validation informatique habituels. La facilité d'accès aux outils IA grand public, souvent accessibles via un simple abonnement ou une API, accélère cette dispersion incontrôlée. Le risque est considérable. Contrairement à une application SaaS classique, un agent IA peut accéder à des données sensibles, exécuter des tâches en autonomie, interagir avec des systèmes tiers et produire des résultats à grande échelle, le tout hors de tout audit interne. Les entreprises ne savent plus combien d'agents tournent en leur nom, quelles données ils traitent, ni qui en est réellement responsable. Cela expose les organisations à des violations réglementaires, notamment sous le RGPD ou l'AI Act européen, et à des risques de sécurité difficiles à quantifier. Ce phénomène s'inscrit dans une dynamique plus large : la démocratisation rapide des outils IA, portée par OpenAI, Google, Microsoft et des dizaines de startups, a rendu l'expérimentation accessible à n'importe quel salarié. Les DSI, déjà débordés par la transformation numérique, peinent à établir des cadres de gouvernance adaptés à cette nouvelle réalité. Les prochains mois devraient voir émerger des solutions de découverte et d'inventaire d'agents IA, un marché naissant que plusieurs éditeurs de cybersécurité commencent déjà à adresser.

💬 Le Shadow IT, on pensait l'avoir à peu près domestiqué. Mais n'importe quel chef de projet peut maintenant poser un agent en prod avec une carte bleue et un compte OpenAI, sans que la DSI ne le voie passer. La différence avec l'ancienne version, c'est que cet agent agit en autonomie, touche des données sensibles, et sous l'AI Act, si ça déraille, c'est ton entreprise qui morfle, pas l'employé qui a cliqué sur "déployer".

Google met en garde contre des pages web malveillantes qui empoisonnent les agents IA

Des chercheurs de Google ont mis en lumière une menace croissante qui cible directement les agents IA déployés en entreprise : des pages web publiques contiennent des instructions malveillantes cachées, conçues pour détourner le comportement de ces systèmes autonomes. L'alerte est venue après l'analyse du dépôt Common Crawl, une base de données colossale regroupant des milliards de pages web publiques, où les équipes de sécurité ont découvert des pièges numériques dissimulés dans du code HTML ordinaire. Ces commandes invisibles, rédigées en texte blanc sur fond blanc ou enfouies dans les métadonnées, restent dormantes jusqu'au moment où un agent IA consulte la page pour en extraire des informations. L'agent ingère alors le contenu sans distinguer le texte légitime des instructions malveillantes, et exécute ces dernières avec ses propres privilèges d'accès aux systèmes internes de l'entreprise. Le danger concret est illustré par un scénario précis : un agent IA chargé par un département RH d'analyser le portfolio en ligne d'un candidat ingénieur pourrait se voir ordonner, via une instruction cachée dans ce même site, d'envoyer l'annuaire interne de l'entreprise à une adresse IP externe, puis de rédiger un avis positif sur le candidat. Ce type d'attaque, appelé injection de prompt indirecte, contourne intégralement les défenses existantes. Les pare-feux, les systèmes de détection d'intrusion et les plateformes de gestion des accès ne voient rien d'anormal : l'agent dispose de credentials légitimes, opère sous un compte de service autorisé, et ses actions ressemblent trait pour trait à ses opérations habituelles. Les tableaux de bord d'observabilité IA du marché, qui surveillent l'utilisation des tokens ou la latence des réponses, n'offrent quant à eux aucune visibilité sur l'intégrité des décisions prises. Cette vulnérabilité s'inscrit dans une transformation profonde de la cybersécurité à l'ère des systèmes agentiques. Les chercheurs de Google proposent plusieurs contre-mesures architecturales : déployer un modèle "sanitiseur" isolé, sans privilèges, pour récupérer et nettoyer le contenu web avant de le transmettre au moteur de raisonnement principal ; appliquer les principes du zéro-trust aux agents eux-mêmes, en cloisonnant strictement leurs droits selon leur mission (un agent de veille concurrentielle ne devrait jamais avoir accès en écriture au CRM interne) ; et construire des pistes d'audit capables de retracer la généalogie exacte de chaque décision prise par un système IA. L'enjeu dépasse la simple sécurité informatique : à mesure que les entreprises confient des tâches critiques à des agents autonomes connectés au web, la surface d'attaque s'élargit de façon inédite, sans que les outils de défense traditionnels ne soient en mesure de suivre.

💬 On a filé des accès aux systèmes internes à des agents qui naviguent librement sur le web, et on s'étonne maintenant que ça pose un problème. Le truc redoutable dans l'injection indirecte, c'est que tout a l'air normal de l'extérieur : credentials légitimes, compte autorisé, actions qui ressemblent aux opérations habituelles, les outils de détection ne voient rien. Le modèle sanitiseur isolé, c'est du bon sens, mais combien d'équipes vont vraiment l'implémenter avant qu'un agent RH envoie l'annuaire interne à une adresse inconnue ?