Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Jensen Huang vient de définir l’impératif stratégique—mais il a laissé la partie la plus difficile sans solution

Jensen Huang vient de définir l’impératif stratégique—mais il a laissé la partie la plus difficile sans solution

par Tim Freestone updated mars 17, 2026 Gestion des risques liés à la cybersécurité
temps de lecture: 8 minutes

Le 16 mars 2026, Jensen Huang, CEO de NVIDIA, s’est adressé à une salle comble au SAP Center de San Jose et a lancé ce qui pourrait devenir le mot d’ordre technologique de l’année. « Aujourd’hui, chaque entreprise dans le monde doit avoir une stratégie OpenClaw, une stratégie de système agentique », a-t-il déclaré. « C’est le nouvel ordinateur. C’est aussi important qu’HTML, aussi important que Linux. »

La comparaison n’est pas anodine. HTML a créé le web. Linux est devenu le système d’exploitation de l’infrastructure cloud. Kubernetes a rendu possible le cloud mobile. Huang présente OpenClaw—le framework open source d’agents IA devenu le projet le plus téléchargé de l’histoire de GitHub en moins d’un mois—comme le prochain changement de plateforme d’une ampleur similaire.

Il n’a pas tort sur l’urgence. Mais il se trompe sur l’exhaustivité de la stratégie qu’il décrit. Et c’est dans cette faille que réside le vrai risque pour toute entreprise qui suivra son conseil.

L’adoption d’OpenClaw est sans précédent—et les failles de sécurité aussi

Les chiffres d’adoption défient toute comparaison. OpenClaw a dépassé la trajectoire de Linux en trois semaines, là où Linux a mis trente ans. Selon NVIDIA, il s’agit désormais du projet open source le plus populaire de l’histoire, en nombre d’étoiles et de téléchargements. Huang lui-même a déclaré que la courbe d’adoption « ressemble à l’axe Y. Je n’ai jamais vu ça. »

Mais Huang n’a pas insisté sur ce qui s’est passé pendant ces trois semaines. En quelques jours, des chercheurs en sécurité ont documenté une série de failles qui devraient alerter tout dirigeant envisageant un déploiement en entreprise.

Oasis Security a révélé la CVE-2026-25253—une vulnérabilité permettant à un site web malveillant de prendre le contrôle d’un agent IA de développeur sans plugin, extension ou interaction utilisateur. Score CVSS : 8,8. Les chercheurs de Koi Security ont découvert que 12 % des compétences disponibles sur ClawHub—la place de marché publique d’OpenClaw—étaient malveillantes, diffusant des keyloggers et des info-stealers. Bitsight a identifié plus de 30 000 instances OpenClaw exposées sur Internet, laissant fuiter des clés API, historiques de chat et identifiants. Quant à la plateforme Moltbook—un réseau social dédié aux agents IA—elle contenait une base de données non sécurisée exposant 35 000 adresses e-mail et 1,5 million de jetons API d’agents.

Gartner a qualifié OpenClaw de « précurseur dangereux de l’IA agentique, démontrant une grande utilité mais exposant les entreprises à des risques ‘insecure by default’ ». L’équipe sécurité de Microsoft recommande de le traiter comme une « exécution de code non fiable avec des identifiants persistants » et de ne le déployer que dans des environnements totalement isolés.

C’est pourtant sur cette plateforme que Huang invite tous les CEO à bâtir leur stratégie. Il a raison sur le principe. Mais la stratégie doit intégrer la réalité de la sécurité, pas seulement la promesse de productivité. Cette réalité inclut des attaques par ransomware, des attaques de malware et une population croissante d’acteurs malveillants qui considèrent l’infrastructure des agents IA comme une surface d’attaque.

Vous pensez que votre organisation est sécurisée. Mais pouvez-vous le prouver ?

Pour en savoir plus :

Ce qu’a construit NVIDIA : NemoClaw, OpenShell et Nemotron 3

La réponse de NVIDIA aux lacunes de sécurité d’OpenClaw, c’est NemoClaw—une installation en une commande regroupant trois composants dans une pile adaptée à l’entreprise.

Premièrement, NVIDIA OpenShell—un runtime open source qui isole l’exécution des agents et applique des règles de sécurité, des contrôles réseau et l’isolation des données. Deuxièmement, Nemotron 3—les grands modèles de langage open source de NVIDIA, exécutables localement sur RTX PC, DGX Spark et DGX Station, pour garder l’inférence sur site. Troisièmement, un routeur de confidentialité qui gère l’exécution hybride entre les modèles Nemotron locaux et les modèles cloud dans des limites prédéfinies.

L’écosystème de sécurité autour de cette pile se développe rapidement. Microsoft Security collabore avec NVIDIA sur l’apprentissage adversarial via Nemotron et OpenShell, annonçant déjà une amélioration de 160x dans la détection et la mitigation des attaques IA. Cisco intègre sa solution AI Defense. Le Secure-by-Design AI Blueprint de CrowdStrike ajoute des protections natives à la boîte à outils.

Ce travail d’infrastructure est réellement impressionnant. OpenShell corrige de vraies vulnérabilités à l’exécution. Nemotron 3 en local résout la question de la souveraineté des données de modèles. Le routeur de confidentialité gère intelligemment l’exécution hybride.

Mais aucun de ces éléments ne traite la troisième couche.

La couche manquante : gouvernance des données et conformité réglementaire

Voici la question qui distingue une stratégie OpenClaw aboutie d’une stratégie incomplète : lorsque votre auditeur CMMC, votre auditeur HIPAA ou votre QSA PCI demande « Montrez-moi à quelles données réglementées vos agents IA ont accédé, avec quelle autorisation, quel chiffrement, et fournissez la piste d’audit »—que leur montrez-vous ?

OpenShell ne peut pas répondre à cette question. Il régit le comportement des agents à l’exécution—quels outils ils peuvent utiliser, quels chemins réseau ils peuvent emprunter, comment ils sont isolés pendant l’exécution. Il ne gère pas la façon dont les agents interagissent avec les données réglementées au niveau fichier. Il n’impose pas l’accès minimum nécessaire HIPAA sur chaque opération fichier. Il ne conserve pas les chaînes de délégation reliant les actions des agents aux autorisations humaines. Il n’applique pas le chiffrement validé FIPS 140-3 aux données en transit et au repos. Il ne produit pas de pistes d’audit infalsifiables alignées sur les exigences de conformité réglementaire.

Le Rapport prévisionnel 2026 de Kiteworks sur la sécurité, la conformité et les risques liés aux données chiffre l’écart. Seules 43 % des organisations disposent d’une passerelle centralisée de données IA. Les 57 % restantes sont fragmentées, partielles ou avancent à l’aveugle. 63 % ne peuvent pas imposer de restrictions d’usage aux agents IA. 60 % ne peuvent pas désactiver un agent défaillant. 7 % n’ont aucun contrôle dédié sur l’accès des systèmes IA aux données sensibles.

Ces chiffres décrivent l’environnement dans lequel les agents OpenClaw sont déployés. NemoClaw améliore la sécurité à l’exécution de ces agents. Mais il ne traite pas le vide de gouvernance des données IA dans lequel ils opèrent.

L’architecture en trois couches que tout CEO doit comprendre

Une stratégie OpenClaw d’entreprise aboutie exige une gouvernance à trois niveaux distincts. Aucun fournisseur ne couvre les trois. Savoir qui fournit quoi n’est pas une option—c’est la différence entre un programme IA défendable et un risque de non-conformité.

Couche 1 : Calcul et modèle. Où s’exécutent les modèles, sur quel matériel, choix entre local et cloud. NVIDIA fournit cela via DGX Spark, DGX Station, Nemotron 3 et le routeur de confidentialité. Cette couche ne contrôle pas les fichiers auxquels l’agent accède ni ne fournit de preuve de conformité.

Couche 2 : Exécution de l’agent et politique. Comment les agents s’exécutent, quels outils ils peuvent utiliser, sandboxing, garde-fous réseau, protection contre les attaques adversariales. NVIDIA OpenShell fournit cette couche, avec Cisco AI Defense, CrowdStrike et Microsoft Security en complément. Cette couche n’impose pas de contrôle d’accès au niveau fichier, n’applique pas le chiffrement FIPS 140-3, ni ne s’aligne sur des cadres réglementaires spécifiques.

Couche 3 : Gouvernance des données et conformité. Quels fichiers et enregistrements l’agent peut consulter, selon quelles règles, avec quel chiffrement, quelle piste d’audit, et pour quelles réglementations. Le Réseau de données privé de Kiteworks fournit cette couche via son Secure MCP Server, AI Data Gateway et Governed Assists—authentifiant l’identité de l’agent, appliquant un contrôle d’accès basé sur les attributs à chaque opération, imposant le chiffrement validé FIPS 140-3, et générant des pistes d’audit infalsifiables alignées sur les exigences HIPAA, CMMC, PCI DSS, SEC et SOX.

L’analogie est simple : OpenShell est à Kiteworks ce que les politiques réseau Kubernetes sont au chiffrement des données. Kubernetes peut dire « ce pod peut parler à tel service ». Il ne chiffre pas les données, n’impose pas l’accès minimum nécessaire au niveau fichier, et ne produit pas de preuve d’audit. Même logique ici.

Pourquoi l’exécution locale des modèles rend la gouvernance des données plus urgente, pas moins

Un point contre-intuitif mérite d’être souligné. Nemotron 3 en local sur DGX Spark ou RTX PC garantit la souveraineté des données de modèles—les prompts et l’inférence restent sur site. C’est un vrai progrès en sécurité par rapport à l’envoi systématique vers des API cloud.

Mais l’exécution locale rend la gouvernance des données encore plus urgente. Lorsqu’un fournisseur cloud traite vos données, son équipe sécurité joue un rôle d’intermédiaire partiel. Avec des modèles locaux, il n’y a plus d’intermédiaire. L’agent accède directement aux systèmes de fichiers, partages réseau et services connectés de l’entreprise.

L’équipe sécurité de Microsoft a précisément mis en garde contre ce schéma : l’accès local signifie que l’agent hérite de tous les privilèges de la machine hôte. En cas de compromission, tout l’environnement local est exposé. Les entreprises ont donc besoin non seulement d’une inférence locale, mais d’un accès gouverné aux données manipulées localement. Sans contrôle de protection des données IA à la couche data, la sécurité à l’exécution reste incomplète.

Comment Kiteworks Compliant AI complète la stratégie OpenClaw du CEO

Kiteworks Compliant AI intervient à la couche 3 de l’architecture OpenClaw d’entreprise—il régit ce qui se passe quand les agents IA accèdent à des données réglementées, quel que soit le runtime, le modèle ou le moteur de règles utilisé. Il intercepte chaque interaction d’agent IA avec les données sensibles de l’entreprise—vérifiant l’identité, appliquant les règles, imposant le chiffrement validé et générant des journaux d’audit infalsifiables—avant tout accès, transfert ou traitement de données.

Le Secure MCP Server de Kiteworks permet à des assistants IA comme Claude et Copilot d’interagir avec les données de l’entreprise via le Model Context Protocol standard du secteur—chaque opération étant authentifiée par OAuth 2.0, autorisée via des règles ABAC, et enregistrée dans une piste d’audit infalsifiable. L’AI Data Gateway de Kiteworks offre la même gouvernance pour les pipelines RAG programmatiques et les workflows automatisés.

Quatre piliers techniques rendent cette gouvernance défendable en audit. L’identité authentifiée de l’agent relie chaque action à un autorisateur humain, préservant la chaîne de délégation. L’application des règles ABAC évalue chaque demande d’accès selon une politique multidimensionnelle—un agent autorisé à lire un dossier n’est pas automatiquement autorisé à en télécharger le contenu. Le chiffrement validé FIPS 140-3 protège les données en transit et au repos avec une cryptographie conforme aux audits fédéraux. Enfin, les pistes d’audit infalsifiables alimentent directement le SIEM de l’entreprise, enregistrant qui, quoi, quand et pourquoi pour chaque interaction d’agent.

Il ne s’agit pas d’une concurrence à NemoClaw—c’est complémentaire. NemoClaw sécurise l’exécution de l’agent. Kiteworks Compliant AI sécurise les données manipulées par l’agent. Ensemble, ils répondent à l’appel de Jensen pour une stratégie OpenClaw d’entreprise. Pris séparément, chacun laisse une faille critique.

Que doivent faire les CEO ce trimestre pour bâtir une stratégie OpenClaw défendable ?

Premièrement, obtenez de la visibilité sur les déploiements d’OpenClaw et autres outils IA agentiques déjà présents dans votre environnement. CrowdStrike, Microsoft et Sophos ont tous publié des guides de détection, car des employés déploient ces outils sans que l’IT en soit informé. Impossible de gouverner ce qu’on ne voit pas. La gestion des risques IA commence par l’inventaire.

Deuxièmement, adoptez le modèle d’architecture en trois couches pour vos discussions sur la gouvernance IA. Lorsque votre CIO présente une stratégie OpenClaw axée uniquement sur le calcul et l’exécution, posez la question de la couche 3 : « Qui gouverne l’accès aux données, et comment prouvons-nous la conformité ? »

Troisièmement, mettez en place une gouvernance centralisée des données IA avant de déployer les agents à grande échelle. Le Rapport prévisionnel 2026 de Kiteworks montre que seules 43 % des organisations disposent d’une passerelle centralisée de données IA. Celles qui installent l’infrastructure de gouvernance avant de généraliser l’IA évitent le coûteux rétrofit.

Quatrièmement, cartographiez vos obligations réglementaires existantes sur les interactions des agents IA. HIPAA, CMMC 2.0, conformité PCI, SEC et SOX ne prévoient aucune exemption pour les agents IA. Toute réglementation applicable à vos collaborateurs humains s’applique aussi à vos agents IA. Évaluez votre posture de sécurité des données sur tous les points de contact IA avant que les agents ne se multiplient.

Cinquièmement, considérez la gouvernance de la conformité des données comme un accélérateur IA, non un frein. Les organisations qui déploient l’IA le plus rapidement sont celles qui passent le plus vite la revue de sécurité. La gouvernance automatisée remplace le verrou de conformité manuel qui bloque les projets IA dans chaque entreprise réglementée.

La fenêtre pour une gouvernance proactive se referme. Chaque semaine sans gouvernance des données IA, ce sont des interactions d’agents non gouvernées, impossibles à auditer a posteriori. Jensen Huang a dit à chaque CEO qu’il leur fallait une stratégie OpenClaw. Il a raison. La question est de savoir si la vôtre couvre bien les trois couches.

Pour en savoir plus sur l’accompagnement Kiteworks, réservez votre démo sans attendre.

Foire aux questions

Le déploiement d’OpenClaw en entreprise comporte des risques de sécurité documentés, dont la CVE-2026-25253 (RCE en un clic, CVSS 8,8) et 12 % de compétences malveillantes sur la marketplace. Expliquez à votre conseil que la stratégie doit reposer sur trois couches : NVIDIA pour le calcul, OpenShell pour la politique d’exécution, et une couche de gouvernance des données comme Kiteworks pour la conformité réglementaire. La sécurité à l’exécution ne suffit pas à répondre aux exigences d’audit.

Non. NVIDIA OpenShell régit le comportement des agents à l’exécution—sandboxing, accès aux outils et garde-fous réseau. Il n’impose pas l’accès minimum nécessaire HIPAA au niveau fichier, ne conserve pas la chaîne de délégation pour l’audit CMMC, n’applique pas le chiffrement FIPS 140-3, ni ne génère de preuve de conformité réglementaire. La gouvernance des données nécessite une solution complémentaire de couche 3 comme l’AI Data Gateway de Kiteworks.

L’exécution locale des modèles garde les prompts sur site mais ne gouverne pas l’accès aux données. Comme Microsoft Security l’a souligné, les agents exécutés localement héritent de tous les privilèges de la machine hôte, ce qui élargit le rayon d’impact par rapport aux appels API cloud. Il vous faut à la fois l’inférence locale et une gouvernance centralisée des données.

Le CMMC ne fait pas de distinction entre accès humain et accès IA aux CUI. Le Rapport prévisionnel 2026 de Kiteworks indique que 63 % des organisations ne peuvent pas imposer de restrictions d’usage aux agents IA. Un agent IA non gouverné accédant à des CUI sans identité authentifiée, application de règles et journalisation d’audit constitue un échec de contrôle CMMC, même si la sécurité à l’exécution est assurée.

Oui. Tout comme chaque entreprise a fini par adopter une stratégie Linux et une stratégie Internet, chaque organisation devra mettre en place une gouvernance de l’IA agentique. La différence, c’est la vitesse : Linux a mis 30 ans à atteindre son niveau d’adoption actuel. OpenClaw l’a fait en trois semaines. L’infrastructure de gouvernance doit être construite maintenant, pas après la découverte d’un écart d’audit.

Ressources complémentaires

  • Article de blog
    Stratégies Zero Trust pour une protection abordable de la vie privée avec l’IA
  • Article de blog
    Comment 77 % des organisations échouent sur la sécurité des données IA
  • eBook
    L’écart de gouvernance IA : pourquoi 91 % des petites entreprises jouent à la roulette russe avec la sécurité des données en 2025
  • Article de blog
    Il n’existe pas de « –dangerously-skip-permissions » pour vos données
  • Article de blog
    Les régulateurs ne se contentent plus de demander si vous avez une politique IA. Ils veulent des preuves de son efficacité.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks