L’IA agentique pousse les entreprises à repenser la gouvernance et les contrôles de sécurité

Les agents d’IA deviennent un problème de gouvernance, pas seulement un outil de productivité

Alors que les entreprises se préparent à déployer des agents d’IA dans leurs flux de travail, la sécurité et la gouvernance deviennent des obstacles centraux à une montée en échelle sûre de la technologie.

Un article de MIT Technology Review Insights réalisé en association avec Deloitte Microsoft Technology Practice soutient que l’IA agentique peut ouvrir une nouvelle surface d’attaque pour l’entreprise. Le risque est que des agents non sécurisés soient manipulés pour accéder à des systèmes sensibles, à des données propriétaires ou à des outils au-delà de leur rôle prévu.

L’article est un contenu sponsorisé et non un reportage éditorial de MIT Technology Review, mais il inclut des chiffres d’enquête et une thèse claire sur le risque pour l’entreprise. Selon le rapport Deloitte AI Institute 2026 State of AI cité dans le texte, près de 74 % des entreprises prévoient de déployer de l’IA agentique d’ici deux ans. Seules 21 % déclarent disposer d’un modèle mature de gouvernance des agents autonomes.

Les identités non humaines se multiplient

L’un des points clés de l’article est que les entreprises modernes gèrent déjà un nombre croissant d’identités non humaines, comme les comptes de service, les identifiants machine, les flux de travail automatisés et les acteurs logiciels. L’IA agentique pourrait accélérer cette tendance, car les agents peuvent avoir besoin d’autorisations, d’accès aux données, d’accès aux outils et de la capacité d’agir au nom des utilisateurs ou des fonctions métier.

Cela crée un profil de risque différent de l’usage ordinaire d’un chatbot. Un système conversationnel qui répond à des questions, c’est une chose ; un agent capable de récupérer des fichiers, d’appeler des outils internes, d’écrire dans des systèmes ou de lancer des actions, c’en est une autre. La gouvernance doit définir ce que l’agent est autorisé à faire, quelle autorité il utilise et comment son comportement est surveillé.

L’article source indique que les dirigeants sont surtout préoccupés par la confidentialité des données et la sécurité, citées par 73 %. Les questions juridiques, de propriété intellectuelle et de conformité réglementaire suivent à 50 %, tandis que les capacités de gouvernance et de supervision sont citées à 46 %.

Le concept de plan de contrôle entre dans les opérations IA

Andrew Rafla, principal au sein de Deloitte’s Cyber Practice, décrit un plan de contrôle comme une couche centralisée qui régit qui peut exécuter quels agents, avec quelles autorisations, selon quelles politiques, et en utilisant quels modèles et outils. Dans sa logique, sans une telle couche, les entreprises disposent d’une exécution non maîtrisée plutôt que d’une opération autonome évolutive.

Ce concept est important parce que les entreprises déploient rarement une technologie de manière isolée. Les agents d’IA peuvent interagir avec des systèmes d’identité, des dépôts de documents, des dossiers clients, des dépôts de code, des plateformes d’analyse et des services externes. Si chaque déploiement gère différemment les autorisations et l’auditabilité, la supervision devient fragmentée.

Un système de gouvernance fonctionnel doit répondre à des questions opérationnelles de base : ce que l’agent a fait, au nom de qui, avec quelles données, selon quelle politique, et si l’action peut être reproduite ou arrêtée. L’article présente ces questions comme le socle minimal pour une utilisation des agents à l’échelle de l’entreprise.

La gouvernance distingue les tests de la production

L’article source soutient que la gouvernance est ce qui fait passer les agents d’IA de l’expérimentation à une automatisation d’entreprise reproductible. Les projets pilotes peuvent souvent s’appuyer sur une supervision étroite, des données limitées ou des garde-fous manuels. Les déploiements en production ont besoin de contrôles qui fonctionnent de manière cohérente entre les équipes et les cas d’usage.

Le risque n’est pas seulement qu’un agent commette une seule erreur. C’est qu’un système d’agents mal gouverné puisse échouer de manière imprévisible et à grande échelle. Si de nombreux agents disposent d’un large accès, d’une surveillance faible ou d’une responsabilité floue, de petites failles de conception peuvent devenir une exposition systémique.

Pour les entreprises, l’implication à court terme est que le déploiement d’agents doit s’accompagner d’une planification de l’identité, de la sécurité, de la conformité et de l’observabilité. Traiter la gouvernance comme un ajout ultérieur peut faciliter les premiers pilotes, mais cela peut laisser les organisations sans les structures de contrôle nécessaires à un déploiement plus large.

Ce que l’article signale

Le texte reflète un changement plus large dans le débat sur l’IA en entreprise. La question n’est plus seulement de savoir si les agents d’IA peuvent automatiser un travail utile. Elle est de savoir si les organisations peuvent définir et faire respecter les limites dans lesquelles ces agents opèrent.

Comme la source est un contenu sponsorisé, ses recommandations doivent être lues dans ce contexte. Néanmoins, les catégories de risques identifiées sont concrètes : confidentialité, sécurité, conformité juridique, propriété intellectuelle, supervision, autorisations et auditabilité. Elles devraient rester centrales à mesure que l’IA agentique passe des démonstrations aux systèmes opérationnels.

Cet article s’appuie sur un reportage de MIT Technology Review. Lire l’article original.