La sécurité de l’IA agentique, principal sujet d’Infosecurity Europe 2026
Cette année, le programme de conférences d’Infosecurity Europe a mis en lumière les dernières avancées en intelligence artificielle avec le lancement du Sommet OWASP GenAI sur la sécurité. Un choix qui dit beaucoup sur le besoin de confiance.
L’histoire de l’IA d’entreprise a changé. En 2023, le risque était qu’un chatbot donne une mauvaise réponse. En 2026, le risque est qu’un agent autonome accède à des bases de données de production, déclenche des transactions financières ou exfiltre discrètement des données en cours de tâche…
L’étude d’Infosecurity Europe sur les tendances en cybersécurité pour 2026 révèle que 64 % des responsables de la cybersécurité estiment que l’IA agentique aura l’impact le plus important sur la cybersécurité au cours des trois prochaines années. De la, l’importance de la confiance.
Parmi les répondants européens (France, Allemagne, Pays-Bas, Belgique et Danemark), 52 % considèrent l’IA agentique comme la technologie émergente la plus prometteuse. Ce pourcentage surpasse d’autres technologies de rupture telles que la protection des applications natives du cloud, l’informatique quantique, l’identité non humaine et l’architecture zéro confiance.
Bien que la sécurisation d’un chatbot et la sécurisation d’un agent autonome ne soient pas le même problème à une échelle différente, il s’agit de problèmes fondamentalement différents. L’une des hypothèses les plus dangereuses qu’une entreprise puisse faire lors de la transition vers l’adoption de l’IA, de la validation de principe à la production, est qu’elle ne fait qu’étendre ce problème.
Une autre façon de penser… et donc d’agir
L’ancienne façon de penser la sécurité de l’IA est basée sur l’IA apatride. Une demande arrive, une sortie est générée et la demande est terminée. Les pires scénarios incluent une réponse incorrecte, une hallucination présentée comme un fait ou un événement de fuite de données causé par un système de récupération mal délimité. Tous des problèmes graves, mais des problèmes limités. Un humain passe en revue le résultat ; le système n’entreprend aucune action de lui-même.
Les agents franchissent cette frontière. Ils disposent d’une mémoire d’une session à l’autre et permettent d’utiliser les outils en chaîne sur plusieurs systèmes externes. Ils agissent dans les systèmes d’entreprise sans intervention humaine ni supervision humaine à aucune étape du processus. Un agent chargé de l’intégration des clients peut lire une base de données de relation client, écrire à un système de billetterie, envoyer un e-mail et mettre à jour un enregistrement de base de données, en une seule exécution autonome, sans révision humaine d’aucune de ces étapes.
Le système ne fournit pas de réponse ; il exécute un processus. Un chatbot compromis donne une mauvaise réponse. Un agent compromis exécute des commandes non autorisées, potentiellement sur tous les systèmes auxquels il a accès, à la vitesse de la machine. La surface d’attaque n’est pas une zone de réponse. Il s’agit de l’ensemble de l’empreinte opérationnelle à laquelle l’agent est autorisé. Une sécurité efficace de l’IA des agences nécessite une surveillance étroite.
Reconsidérer la sécurité
Ce problème n’est pas nouveau, mais la communauté des professionnels de la sécurité commence à s’en rendre compte. Le Top 10 des applications agentiques de l’OWASP, publié en décembre 2025, représente un changement important par rapport à ses versions précédentes, qui étaient axées sur de grands modèles linguistiques. Alors que les versions précédentes mettaient l’accent sur l’injection rapide et l’empoisonnement des données d’entraînement, qui constituent des problèmes de contenu, la version 2025 mettait l’accent sur l’empoisonnement de la mémoire, la mauvaise utilisation des outils et la compromission des privilèges.
Ces problèmes ne sont pas des problèmes de contenu. Ces problèmes sont des problèmes opérationnels, des problèmes architecturaux, qui nécessitent des capacités de sécurité totalement différentes. La grande différence réside dans la prévisibilité. La sécurité des applications est généralement liée à un comportement quelque peu statique et prévisible : « cette fonction prend ces entrées, génère ces sorties, et je peux réfléchir à ces limites ».
Des contrôles totalement différents pour plus de confiance
Les systèmes agentiques, en revanche, sont dynamiques, guidés par le contexte et déclenchés de manière autonome. Le même agent se comporte différemment en fonction de ce qu’il a extrait de la mémoire, des outils disponibles, de ce que l’agent en amont a transmis et des instructions incluses dans les documents qu’il a traités. Il ne s’agit pas d’une question de contenu.
Il s’agit d’un problème opérationnel, d’un problème architectural, qui nécessite des contrôles totalement différents pour maintenir une solide posture de sécurité.
