À mesure que les entreprises intègrent des agents d’IA dans leurs flux de travail, un basculement silencieux est en cours.
Des contrôles de sécurité fondés sur des politiques d’accès statiques, conçues pour des comportements prévisibles, entrent en collision avec des systèmes qui raisonnent au lieu de simplement exécuter. Les agents d’IA, guidés par des objectifs plutôt que par des règles, bousculent le modèle traditionnel de gestion des identités et des accès.
Prenons l’exemple d’une entreprise de distribution qui déploie un assistant commercial basé sur l’IA afin d’analyser le comportement des clients et d’améliorer la fidélisation. Cet assistant n’a pas accès aux données personnelles identifiables, cette restriction étant intégrée dès la conception.
Pourtant, lorsqu’il est chargé de « trouver les clients les plus susceptibles de résilier leur abonnement premium », il met en corrélation des journaux d’activité, des tickets de support et des historiques d’achat issus de plusieurs systèmes. Cela aboutit à une liste d’utilisateurs spécifiques, déduits à partir de schémas comportementaux, d’habitudes de dépenses et de probabilités de désabonnement.
Aucun nom ni numéro de carte bancaire n’a été exposé, mais l’agent a néanmoins réussi à réidentifier des individus par inférence, en reconstituant des informations sensibles auxquelles le système n’était pas censé accéder, et en exposant potentiellement des données personnelles identifiables (PII).
Sans enfreindre les contrôles d’accès, il a raisonné à travers les systèmes pour obtenir des informations qui ne relevaient pas de son périmètre initial.
Quand le contexte devient la faille
Contrairement aux flux logiciels traditionnels, les agents d’IA ne suivent pas une logique déterministe ; ils agissent en fonction d’une intention. Lorsqu’un système d’IA vise à « maximiser la rétention » ou à « réduire la latence », il prend de manière autonome des décisions sur les données ou les actions nécessaires pour atteindre cet objectif. Chaque décision peut être légitime prise isolément, mais leur combinaison peut exposer des informations bien au-delà du périmètre prévu pour l’agent.
C’est ici que le contexte devient une surface d’exploitation. Les modèles traditionnels se concentrent sur qui peut accéder à quoi, en supposant des frontières statiques. Dans les systèmes agentiques, ce qui importe est la raison de l’action et la manière dont le contexte évolue lorsqu’un agent en invoque un autre. Lorsque l’intention se propage à travers les couches, chacune réinterprétant l’objectif, le contexte utilisateur initial se perd et les frontières de privilèges deviennent floues.
Le résultat n’est pas une violation classique, mais une forme d’escalade de privilèges contextuelle, où le sens, et non l’accès, devient le vecteur d’attaque.
Les limites des contrôles déterministes
La plupart des organisations constatent que les modèles traditionnels de RBAC (Role-Based Access Control) et d’ABAC (Attribute-Based Access Control) ne parviennent pas à suivre le raisonnement dynamique. Dans les applications classiques, chaque décision peut être rattachée à un chemin de code précis. Avec les agents d’IA, la logique est émergente et adaptative. Une même requête peut déclencher des actions différentes selon l’environnement, les interactions précédentes ou les objectifs perçus.
Par exemple, un agent de développement entraîné à optimiser les coûts du cloud peut commencer à supprimer des journaux utilisés à des fins d’audit ou de sauvegarde. Du point de vue de la conformité, c’est catastrophique ; du point de vue du raisonnement de l’agent, c’est efficace. Le modèle de sécurité suppose le déterminisme, l’agent suppose l’autonomie.
Ce décalage révèle une faille dans la manière dont les autorisations sont modélisées. Les modèles RBAC et ABAC répondent à la question « L’utilisateur X doit-il accéder à la ressource Y ? ». Dans un écosystème agentique, la question devient « L’agent X doit-il pouvoir accéder à plus que la ressource Y, et pour quelle raison cet accès supplémentaire serait-il nécessaire ? ». Il ne s’agit plus d’un problème d’accès, mais d’un problème de raisonnement.
L’émergence de la dérive contextuelle
Dans des architectures distribuées et multi-agents, les autorisations évoluent par interaction. Les agents enchaînent les tâches, partagent leurs résultats et formulent des hypothèses à partir des conclusions des autres. Avec le temps, ces hypothèses s’accumulent et créent une dérive contextuelle, c’est-à-dire un éloignement progressif de l’intention initiale de l’agent et de son périmètre autorisé.
Imaginons un agent d’analyse marketing qui synthétise le comportement des utilisateurs et transmet ses résultats à un agent de prévision financière, lequel s’en sert pour anticiper les revenus régionaux. Chaque agent ne perçoit qu’une partie du processus. Ensemble, ils ont pourtant reconstitué une vision complète et non intentionnelle des données financières des clients.
Chaque étape respectait les règles. L’effet cumulé les a contournées.
La dérive contextuelle est l’équivalent moderne de la dérive de configuration en DevOps, à ceci près qu’elle se produit ici au niveau cognitif. Le système de sécurité voit de la conformité ; le réseau d’agents voit une opportunité.
Gouverner l’intention, pas seulement l’accès
Pour répondre à cette nouvelle catégorie de risques, les organisations doivent passer d’une gouvernance des accès à une gouvernance des intentions. Un cadre de sécurité adapté aux systèmes agentiques devrait inclure :
Liaison de l’intention : chaque action doit conserver le contexte d’origine de l’utilisateur, son identité, son objectif et le périmètre de la politique tout au long de la chaîne d’exécution.
Autorisation dynamique : dépasser les droits statiques. Les décisions doivent s’adapter au contexte, à la sensibilité et au comportement en temps réel.
Traçabilité de la provenance : maintenir un registre vérifiable indiquant qui a initié une action, quels agents y ont participé et quelles données ont été consultées.
Supervision humaine dans la boucle : pour les actions à haut risque, exiger une validation, en particulier lorsque les agents agissent pour le compte d’utilisateurs ou de systèmes.
Audit contextuel : remplacer les journaux plats par des graphes d’intention qui visualisent l’évolution des requêtes en actions à travers les agents.
Pourquoi les autorisations seules sont insuffisantes
Les autorisations statiques supposent que l’identité et l’intention restent constantes. Or les agents opèrent dans des contextes fluides et évolutifs. Ils peuvent créer des sous-agents, générer de nouveaux flux de travail ou se réentraîner sur des données intermédiaires, des actions qui redéfinissent en permanence la notion d’« accès ».
Lorsque le système d’identité détecte un incident de sécurité, une violation ou une compromission a déjà eu lieu sans qu’aucune autorisation n’ait été enfreinte. C’est pourquoi la visibilité et l’attribution doivent primer. Avant d’appliquer une politique, il faut cartographier le graphe des agents : ce qui existe, ce qui est connecté et qui en est responsable.
Paradoxalement, les mêmes principes d’IA qui mettent à l’épreuve les contrôles peuvent aussi contribuer à les restaurer. Des modèles adaptatifs et sensibles aux politiques peuvent distinguer un raisonnement légitime d’une inférence suspecte. Ils peuvent détecter un changement d’intention d’un agent ou identifier une dérive contextuelle signalant une montée du risque.