Temps de lecture : 3 min
Une fois intégrés aux réseaux d’entreprise, les agents IA peuvent se transformer en vecteur d’attaque majeur. Ce qui compte vraiment, c’est de comprendre que leur autonomie et leurs permissions créent une nouvelle surface de risque. En pratique, j’observe que les plateformes de développement n’ont pas encore intégré toutes les menaces, à l’image des débuts du développement logiciel où les failles de sécurité étaient la norme.
Le mouvement latéral, menace principale
Le scénario est technique, mais concret. Un attaquant compromet d’abord un agent aux droits limités. Il l’utilise ensuite pour se connecter à un second agent, plus puissant. Ce mouvement latéral lui permet d’escalader ses privilèges et d’atteindre des données sensibles.
En pratique, cela signifie qu’un pirate peut, via un premier point d’entrée, recruter progressivement des agents légitimes pour accomplir ses tâches malveillantes. La surface d’attaque n’est plus seulement humaine ou logicielle ; elle devient agentique.
L’émergence des « agents fantômes »
Un risque parallèle émerge : celui des agents fantômes (shadow agents). Les employés déploient de manière autonome des agents puissants pour leurs tâches, sans validation IT. Cela crée des canaux invisibles pour les données, ouvrant la voie à des fuites ou des vols de propriété intellectuelle.
Ce qui compte vraiment, c’est que cette prolifération non contrôlée rend la gouvernance et la surveillance extrêmement complexes. La sécurité doit désormais s’appliquer à des entités autonomes et potentiellement nombreuses.
BodySnatcher : la faille critique de ServiceNow
Un cas concret illustre la gravité du problème. La vulnérabilité « BodySnatcher » sur la plateforme ServiceNow permettait à un pirate non authentifié de se faire passer pour un administrateur avec une simple adresse email. Il pouvait alors exécuter un agent IA pour créer des portes dérobées avec tous les privilèges.
L’accès aux numéros de sécurité sociale, dossiers médicaux ou secrets industriels devenait alors quasi illimité. Cette faille démontre comment le mécanisme de découverte d’agent à agent peut être détourné pour des mouvements latéraux.
Microsoft et le paramètre « Connected Agents » par défaut
Chez Microsoft, la fonctionnalité « Connected Agents » de Copilot Studio est activée par défaut. Elle permet à des agents de se connecter entre eux. Des chercheurs ont montré qu’elle pouvait être détournée pour créer des accès latéraux et exploiter les permissions d’agents légitimes.
Je trouve cela surprenant, surtout lorsque Microsoft promeut une philosophie « Secure by Default ». L’entreprise considère cela comme une fonctionnalité nécessaire à l’interopérabilité, et non une vulnérabilité. Elle recommande aux administrateurs de la désactiver manuellement pour les agents traitant des données sensibles.
L’impératif absolu : le privilège minimal
Face à ces risques, la seule posture viable est technique et stricte : le privilège minimal (least privilege). En pratique, cela implique trois étapes clés :
- Démarrer tout agent avec un accès nul par défaut.
- Ajouter uniquement les permissions strictement nécessaires à sa tâche spécifique.
- Mettre en place une surveillance et un traçage de toutes les interactions inter-agents.
Ce qui compte vraiment, c’est de considérer chaque agent comme un identité à part entière, avec des droits qu’il faut limiter au strict nécessaire. La surveillance via des solutions comme Entra Agent ID de Microsoft est utile, mais elle doit être couplée à des politiques d’accès restrictives.
À retenir : 1) Les agents IA créent une nouvelle surface d’attaque via les mouvements latéraux. 2) Les « agents fantômes » déployés sans contrôle représentent un risque critique. 3) La seule défense efficace est l’application systématique du principe du privilège minimal dès le déploiement.
La sécurisation de l’IA agentielle est un défi technique de premier ordre. En tant qu’ingénieur, je vois cela comme un problème d’architecture et de gouvernance des identités. Il ne s’agit pas de freiner l’innovation, mais d’intégrer la sécurité dès la conception et dans chaque permission accordée. L’ère où l’on déployait des agents avec des droits larges par commodité est déjà révolue.
Ingénieur systèmes et architecte cloud pendant 8 ans chez un leader européen de l’hébergement, reconverti dans l’analyse tech et business. Passionné par l’intersection entre infrastructure IT, IA générative et transformation digitale des entreprises. J’aide les décideurs et les équipes techniques à naviguer dans l’écosystème tech sans bullshit marketing.