L’adoption des agents IA progresse plus vite que la capacité des organisations à les sécuriser

Alors que les entreprises se ruent sur l’IA autonome pour doper leur productivité, le dernier rapport Rubrik Zero Labs révèle que l’adoption des agents IA progresse bien plus vite que les outils nécessaires pour les sécuriser. De là, l’émergence d’une véritable « shadow workforce ».

86 % des organisations interrogées (panel : 1 600 responsables IT et sécurité) s’attendent à un contournement de leurs mesures de sécurité par les agents IA au cours de l’année à venir. Seuls 23 % des répondants déclarent disposer d’une visibilité complète sur les agents opérant dans leurs environnements, un niveau que le rapport estime probablement… surestimé.

Ce manque de visibilité -analysé dans l’étude « The State of the Agent: Understanding Adoption, Risk, and Mitigation » de Rubrik Zero Labs- limite la capacité des organisations à sécuriser des identités déjà capables de prendre des décisions, d’exécuter des actions et d’accéder à des données critiques.

Cette situation est accentuée par la prolifération des identités non humaines. Celles-ci se développent plus rapidement que les entreprises ne peuvent les recenser ou les gouverner, formant une « shadow workforce ». Souvent dotées d’accès persistants et peu supervisées, elles ouvrent de nouvelles surfaces d’attaque et facilitent les mouvements latéraux.

Les agents sont efficaces… mais réclament beaucoup de supervision

Dans le même temps, la promesse opérationnelle des agents IA est mise sous pression. Le rapport indique également que plus de 80 % des répondants déclarent que les agents nécessitent davantage de supervision manuelle qu’ils n’apportent de gains d’efficacité. Par ailleurs, 88 % indiquent ne pas avoir la capacité d’annuler les actions des agents sans perturber les systèmes.

Dans ce contexte, la menace évolue rapidement. Près de la moitié des répondants anticipent que les systèmes agentiques joueront un rôle central dans les attaques à venir. En réduisant les délais d’exécution, en amplifiant les capacités offensives et en brouillant la frontière entre interne et externe, ces technologies transforment les modes opératoires des attaquants.

Oui aux agents, tout en maintenant le contrôle des systèmes

« L’adoption de l’IA dépasse notre capacité à la contrôler. Les entreprises déploient des systèmes qu’elles ne peuvent ni observer pleinement, ni gouverner, ni restaurer, déclare Kavitha Mariappan, Chief Transformation Officer, Rubrik. À mesure que la prise de décision passe de l’humain à la machine, le défi pour les organisations est de maintenir un niveau de sécurité opérationnelle suffisant dans des environnements de plus en plus autonomes. »

Pour les conseils d’administration et les équipes dirigeantes, l’enjeu est désormais immédiat car la stratégie IA ne peut plus être dissociée de la stratégie de résilience. Les organisations qui privilégient la rapidité de déploiement sans renforcer leurs mécanismes de contrôle s’exposent à des environnements où les incidents deviennent plus difficiles à contenir et à corriger.

La sécurité ne consiste plus seulement à prévenir les violations, mais à maintenir le contrôle de systèmes de plus en plus autonomes.