Les agents d’IA d’entreprise se multiplient plus vite que les entreprises ne peuvent les gouverner

L’essor des agents devient un problème de gestion

Les agents d’IA d’entreprise sont faciles à lancer, faciles à dupliquer et de plus en plus difficiles à suivre. C’est l’avertissement central d’une nouvelle enquête Rubrik ZeroLabs mise en avant dans le document source, qui indique que seuls 23% des responsables informatiques disent avoir un contrôle total sur les agents opérant au sein de leurs organisations. Autrement dit, environ trois sur quatre ne l’ont pas.

Ce chiffre est frappant parce que le débat actuel autour des agents d’IA met souvent l’accent sur la vitesse et la productivité. Les fournisseurs présentent les agents comme des logiciels capables d’agir de manière autonome, de prendre en charge des tâches répétitives et de réduire le besoin d’intervention humaine directe. L’enquête suggère que de nombreuses entreprises découvrent l’aspect moins reluisant de cette promesse: une fois les agents dispersés entre les équipes, les outils et les fournisseurs, la gouvernance peut nettement prendre du retard sur l’adoption.

L’inquiétude ne se limite pas à un simple désordre administratif. Le texte source indique que 81% des répondants déclarent que les agents relevant de leur périmètre nécessitent plus de temps en audit et en surveillance manuels que ces agents n’étaient censés en faire gagner grâce aux améliorations des flux de travail. Cela renverse l’argument central de l’automatisation. Si les organisations consacrent davantage d’efforts à superviser les agents qu’elles n’en récupèrent en efficacité, le cas d’usage devient plus difficile à défendre.

D’un outil de productivité à une exposition de sécurité

L’enquête présente aussi la prolifération des agents comme un problème de sécurité. Selon le texte source, 86% des responsables informatiques s’attendent à ce que la prolifération agentique dépasse les garde-fous de sécurité au cours de l’année à venir, et 52% pensent que cet écart pourrait apparaître d’ici six mois. Il ne s’agit donc pas d’un risque lointain. Cela implique que de nombreux leaders techniques considèrent le problème de contrôle comme immédiat.

La mécanique est familière. Le document source indique que les utilisateurs peuvent contourner les contrôles, notamment en désactivant les VPN ou en contournant autrement les mesures de sécurité, afin de déployer des agents jouant le rôle d’assistants. Le résultat est un volume croissant d’applications d’IA non autorisées, à la fois en interne et via des fournisseurs externes. En pratique, les agents pourraient rejouer un schéma déjà observé dans la technologie d’entreprise: d’abord une adoption rapide par le terrain, ensuite l’architecture de gouvernance.

Cette comparaison apparaît explicitement dans le document. Kriti Faujdar, senior product manager chez Microsoft, citée dans l’article, explique que ce schéma rappelle les débuts de l’adoption du cloud, lorsque les équipes lançaient des services de façon indépendante avec des cadres et des fournisseurs différents. Les conséquences étaient alors la fragmentation et des failles de sécurité invisibles. L’inquiétude aujourd’hui est que les agents d’IA, parce qu’ils peuvent agir au lieu de simplement stocker ou traiter des données, pourraient amplifier ces risques.

Pourquoi le “contrôle total” est une exigence si élevée

Il vaut la peine d’être précis sur ce que l’enquête semble mesurer. Le “contrôle total” est une norme exigeante. Il ne signifie pas seulement savoir que des agents existent, mais comprendre où ils sont déployés, quelles données ils peuvent consulter, sur quels systèmes ils peuvent agir, qui les a approuvés, comment ils sont surveillés et comment leurs actions peuvent être annulées.

Ce dernier point est particulièrement important. La source indique que presque tous les répondants disent manquer des capacités de “retour arrière” nécessaires pour annuler les actions involontaires des agents. Dans la gouvernance logicielle classique, la réversibilité est fondamentale. Si un système se comporte mal, les opérateurs veulent une trace d’audit claire et un chemin de récupération fiable. Avec des agents autonomes ou semi-autonomes, l’absence de rollback devient plus lourde de conséquences, car ces systèmes sont justement conçus pour agir à travers les workflows.

C’est la différence entre un chatbot qui répond à des questions et un agent qui modifie des systèmes connectés. Dès lors que la technologie touche aux validations, aux dossiers, aux communications clients ou aux processus internes, la gouvernance cesse d’être une simple case à cocher dans un achat pour devenir une discipline opérationnelle.

Ce que les organisations apprennent en temps réel

La leçon plus large est que l’IA d’entreprise devient un problème institutionnel, et pas seulement un problème d’outillage. Au cours des deux dernières années, beaucoup d’organisations se sont concentrées sur l’expérimentation. Elles voulaient savoir ce que les agents pouvaient faire, à quelle vitesse les équipes pouvaient les construire et où les gains de productivité pourraient apparaître. Cette phase se heurte désormais aux questions d’inventaire, de responsabilité, de sécurité et de surcharge de travail.

Les chiffres de l’enquête suggèrent qu’une partie des économies attendues est compensée par les coûts de supervision. Cela ne veut pas dire que les agents échouent partout. Cela signifie que beaucoup d’organisations sont encore dans une phase d’expansion non maîtrisée, où le déploiement progresse plus vite que la discipline opérationnelle. Dans un tel contexte, l’enthousiasme peut durer un temps, mais la confiance devient plus difficile à maintenir.

Le texte source soutient que la gestion des agents doit devenir une “discipline de premier rang”. C’est probablement la formulation la plus utile de tout le rapport. Les entreprises traitent déjà l’identité, les terminaux, les actifs cloud et l’accès aux données comme des domaines de gouvernance dotés d’outils et de procédures dédiés. L’enquête suggère que les agents d’IA se dirigent vers ce même statut.

La prochaine phase du marché des agents d’IA

Si cette évolution s’impose, le marché des agents pourrait changer rapidement. Les gagnants ne seront pas nécessairement seulement les fournisseurs aux démonstrations les plus impressionnantes. Ils pourraient être ceux qui rendent le déploiement lisible pour les équipes sécurité et IT: contrôles d’inventaire, limites d’autorisation, journaux d’action, options de rollback et politiques d’exploitation claires.

Cela représenterait une phase plus sobre de l’adoption de l’IA d’entreprise. Au lieu de se demander seulement ce que les agents peuvent automatiser, les acheteurs demanderaient si ces agents peuvent être gouvernés à grande échelle. L’enquête ne dit pas que la vague des agents est en train de s’inverser. Au contraire, elle suggère que l’adoption avance assez vite pour que beaucoup d’organisations aient déjà le sentiment d’être en retard.

Le changement clé est que la croissance non contrôlée n’est plus considérée comme un désagrément temporaire. Elle devient l’un des risques définissant l’IA d’entreprise. Les entreprises qui résolvent la prolifération, la visibilité et la réversibilité pourraient être celles qui captent la vraie valeur à long terme des agents. Celles qui n’y parviennent pas pourraient passer l’année prochaine à auditer des systèmes qui devaient, à l’origine, leur faire gagner du temps.

Cet article est basé sur un reportage de ZDNET. Lire l’article original.