Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Les agents IA sont désormais des acteurs juridiques fédéraux. Êtes-vous prêt ?

Les agents IA sont désormais des acteurs juridiques fédéraux. Êtes-vous prêt ?

par Paul Sechser updated juin 5, 2026 Gestion des risques liés à la cybersécurité
temps de lecture: 7 minutes

Le 2 juin 2026, le président Trump a signé le décret Promoting Advanced AI Innovation and Security. Les médias se sont concentrés sur la révision volontaire de 30 jours avant la publication des modèles d’IA de pointe — une disposition qui concerne les développeurs d’IA. La disposition visant les entreprises déployant des agents d’IA est passée presque inaperçue.

L’article 4 demande au procureur général de donner la priorité à l’application des lois pénales fédérales existantes — 18 U.S.C. §§ 1028, 1030 et 1343 — contre les crimes facilités par l’IA, en citant explicitement l’utilisation d’agents d’IA pour obtenir illégalement des données à des fins criminelles. Il s’agit du premier décret présidentiel qui mentionne les agents d’IA dans le contexte de l’application fédérale de l’accès aux données.

La norme pratique qu’il instaure est vérifiable : votre organisation peut-elle produire un registre de gouvernance prouvant que l’accès aux données par vos agents d’IA était autorisé, encadré et attribuable à un décideur humain ? Pour la plupart des organisations, la réponse est non à ce jour.

5 enseignements clés

1. L’article 4 fait de l’accès aux données par l’IA une priorité fédérale.

Le décret du 2 juin 2026 demande au procureur général de donner la priorité à l’application des lois pénales fédérales existantes et cite l’utilisation d’agents d’IA pour accéder illégalement à des données comme un comportement visé. Si vos agents interagissent avec des données réglementées, votre organisation est exposée. La norme est pratique et vérifiable : pouvez-vous produire un registre de gouvernance prouvant que l’accès aux données par vos agents d’IA était autorisé, encadré et attribuable à un décideur humain ?

2. La plupart des organisations ne peuvent pas produire le registre de gouvernance exigé par l’article 4.

63 % ne peuvent pas imposer de limitations d’usage à leurs agents d’IA. 33 % n’ont pas de pistes d’audit de qualité probante. 61 % s’appuient sur des journaux fragmentés qui ne permettent pas de reconstituer une chaîne de traçabilité pour une seule interaction d’agent. Le registre de gouvernance est la défense en cas de litige. La plupart des organisations n’en disposent pas. Ce déficit de gouvernance de l’IA constitue aussi un risque juridique.

3. Le compte à rebours CISA de 30 jours a déjà commencé.

L’article 2(c) impose des directives opérationnelles contraignantes — obligatoires, et non de simples recommandations — aux agences fédérales civiles dans les 30 jours suivant le 2 juin 2026. Le rapport de prévisions 2026 a révélé que 90 % des organismes gouvernementaux n’ont pas de mécanisme de limitation d’usage pour l’IA. Les RSSI des agences fédérales civiles qui n’évaluent pas déjà leur infrastructure de sécurité des données gouvernée par l’IA sont déjà dans une fenêtre de conformité obligatoire — il ne s’agit plus d’anticiper, mais d’agir.

4. Le Shadow AI concentre l’exposition immédiate et invisible.

Le Shadow AI est désormais la première cause d’incidents internes par négligence selon DTEX/Ponemon 2026. Un agent non approuvé accédant à des données sans trace d’authentification, sans journal de politique opérationnelle ou sans piste d’audit infalsifiable expose l’organisation au même risque fédéral que tout autre accès non autorisé. L’article 4 n’exige pas d’intention malveillante — il suffit d’un accès illégal. L’écart de 79 points entre le changement de comportement de l’IA et la réponse de gouvernance correspond précisément à l’endroit où se produisent les accès non autorisés par des agents.

5. L’évolution réglementaire est cumulative, pas ponctuelle.

Plus de 20 lois sur l’IA sont déjà en vigueur en Californie. L’AI Act européen est appliqué. Ce décret présidentiel s’ajoute à une accélération réglementaire qui ne ralentit pas. Les organisations qui bâtissent leur registre de gouvernance avant la première action d’application de l’article 4 seront en position défendable. Celles qui le feront sous la pression d’une enquête devront construire la même architecture — mais dans des conditions plus difficiles.

Vous pensez que votre organisation est sécurisée. Mais pouvez-vous le prouver ?

Pour en savoir plus :

Pourquoi 63 % des organisations sont déjà exposées

Le rapport prévisionnel 2026 de Kiteworks sur la sécurité des données et les risques de conformité a interrogé 225 dirigeants d’entreprise et mis en lumière l’ampleur du déficit de gouvernance. 63 % des organisations ne peuvent pas imposer de limitations d’usage à leurs agents d’IA. 60 % ne peuvent pas désactiver rapidement un agent défaillant. 55 % ne peuvent pas isoler les systèmes d’IA du reste du réseau.

La situation des pistes d’audit est tout aussi préoccupante. Seules 33 % disposent de pistes d’audit de qualité probante pour les interactions de données avec l’IA. 61 % s’appuient sur des journaux fragmentés — des enregistrements dispersés qui ne permettent pas de reconstituer une chaîne de traçabilité pour une seule interaction d’agent. Selon l’article 4, le registre de gouvernance est la défense en cas de litige. La plupart des organisations n’en disposent pas.

Le déficit est encore plus marqué dans le secteur public. 90 % des organismes gouvernementaux n’ont pas de mécanisme de limitation d’usage pour les agents d’IA, 76 % n’ont pas de dispositif de coupure d’agent, et 81 % n’ont pas d’isolation réseau — ce sont précisément les organisations visées par les directives opérationnelles contraignantes de la CISA dans les 30 jours.

Article 2(c) : le mandat de 30 jours ignoré par les acheteurs fédéraux

L’article 2(c) demande à la CISA d’émettre des directives opérationnelles contraignantes dans les 30 jours suivant le 2 juin 2026. Les BOD sont obligatoires pour les agences fédérales civiles. Ces directives imposeront de donner la priorité à la cyberdéfense basée sur l’IA et exerceront une pression sur les achats auprès des gouvernements d’État et locaux, des hôpitaux ruraux, des banques communautaires et des services publics locaux.

Les RSSI des agences fédérales civiles qui n’évaluent pas déjà leur infrastructure de sécurité des données gouvernée par l’IA sont déjà dans une fenêtre de conformité obligatoire — il ne s’agit plus d’anticiper, mais d’agir. Pour les agences qui exploitent des agents d’IA sur des données réglementées sans limitation d’usage, la BOD met fin à la phase de planification. Le centre de coordination de la cybersécurité de l’IA, dirigé par le Trésor selon l’article 2(d) — créé dans la même fenêtre de 30 jours — vient renforcer ce dispositif, en coordonnant les analyses de vulnérabilité et la correction des failles, avec l’attente implicite que les déploiements d’IA d’entreprise puissent démontrer les contrôles de gouvernance requis pour participer.

Le Shadow AI : une exposition immédiate… et invisible

Le rapport DTEX/Ponemon sur les menaces internes 2026 a révélé que le Shadow AI est désormais la première cause d’incidents internes par négligence, avec un coût annuel moyen de 19,5 millions de dollars. 92 % des organisations estiment que l’IA générative a profondément modifié la façon dont les employés accèdent à l’information et la partagent ; seules 13 % ont intégré l’IA à leur stratégie métier.

Cet écart de 79 points entre le changement de comportement et la réponse de gouvernance correspond précisément à l’endroit où se produisent les accès non autorisés par des agents. Les employés déploient des agents d’IA. Les agents accèdent aux données. Personne n’a la piste d’audit. L’article 4 n’exige pas d’intention malveillante — il suffit d’un accès illégal suivi d’une utilisation criminelle. Un agent non approuvé accédant à des données sans trace d’authentification expose l’organisation au même risque fédéral que tout autre accès non autorisé.

Ce qu’exige un registre de gouvernance conforme à l’article 4

La norme pratique de l’article 4 impose quatre éléments incontournables.

Identité authentifiée de l’agent. Chaque interaction doit être traçable à une identité vérifiée, liée à un autorisateur humain. La chaîne de délégation — qui a autorisé l’agent, pour quelle opération, et quand — doit être conservée. Sans cela, l’attribution est impossible.

Contrôle d’accès au niveau de l’opération. Les contrôles basés sur les rôles, conçus pour les utilisateurs humains, ne conviennent pas aux agents. Un agent autorisé à lire un dossier n’est pas automatiquement autorisé à en télécharger le contenu ou à déclencher des workflows en aval. Il faut imposer le principe du moindre accès nécessaire, au niveau de chaque opération. L’étude Agents of Chaos a montré que les agents peuvent contourner les contrôles de rôle par simple sollicitation conversationnelle.

Piste d’audit infalsifiable. Le registre doit être contemporain, complet et immuable. Un journal reconstitué a posteriori relève de l’enquête judiciaire, pas de la défense. Le rapport de prévisions 2026 a révélé que 61 % des organisations s’appuient sur des journaux fragmentés — une faille en cas de litige, pas un simple inconvénient technique.

Chiffrement validé FIPS 140-3. Pour les agences fédérales et les secteurs réglementés, le chiffrement protégeant les données accessibles par les agents doit répondre à des normes cryptographiques validées.

Comment Kiteworks comble le déficit de gouvernance de l’article 4

Le serveur MCP sécurisé de Kiteworks et la passerelle de données IA s’interposent entre les agents d’IA et les données réglementées dont ils ont besoin. Chaque requête d’agent est authentifiée par une identité vérifiée, liée à un autorisateur humain, évaluée selon des règles ABAC au niveau de l’opération, chiffrée selon des modules validés FIPS 140-3, et enregistrée dans un journal d’audit infalsifiable alimentant directement le SIEM en temps réel.

Quand un régulateur, un auditeur ou un enquêteur demande comment un agent d’IA a accédé à des données spécifiques, la réponse est un rapport de gouvernance préétabli — pas une enquête judiciaire. Le journal consigne qui (agent et autorisateur humain), quoi (opération et données spécifiques), quand (horodatage), et pourquoi (contexte de la règle). C’est la documentation qui distingue un comportement légal d’un comportement illégal d’agent selon la norme de l’article 4.

Kiteworks est certifié FedRAMP Moderate Authorized, maintenu en continu depuis juin 2017, et FedRAMP High In Process. Pour les agences fédérales civiles soumises aux délais des BOD CISA, il s’agit de l’architecture de gouvernance IA prête à l’achat. Le Réseau de données privé Kiteworks étend cette gouvernance à la messagerie électronique, le partage et le transfert de fichiers, SFTP, formulaires web et API, sous un moteur de règles unique et un journal d’audit consolidé.

Ce que les organisations doivent faire avant l’arrivée des BOD

Première étape : inventorier chaque agent d’IA en production ou en pilote actif qui accède à des données d’entreprise — y compris les déploiements non officiels. Le déficit d’inventaire est synonyme de déficit de responsabilité.

Deuxième étape : auditer votre piste d’audit selon la norme de l’article 4. Le test n’est pas l’existence de journaux — mais leur capacité à fournir, sans reconstitution, l’identité authentifiée, l’autorisateur humain, l’opération précise, les données consultées et le contexte de la règle pour toute interaction d’agent.

Troisième étape : mettre en place des contrôles d’accès au niveau de l’opération. Les contrôles d’accès basés sur les rôles, conçus pour les humains, sont insuffisants pour les agents. Chaque opération — lecture, téléchargement, transfert, suppression — doit être gouvernée indépendamment selon la règle.

Quatrième étape : informer votre direction juridique. L’article 4 fait passer la gouvernance des agents d’IA d’un sujet technique de RSSI à une question de responsabilité pénale fédérale. Selon le rapport de prévisions 2026, 54 % des conseils d’administration ne placent pas la gouvernance de l’IA dans leur top 5 des sujets. Cela va évoluer plus vite que la plupart des organisations ne l’anticipent.

Cinquième étape : pour les agences fédérales : identifiez immédiatement les options d’infrastructure de gouvernance IA validées FedRAMP. Le délai des BOD CISA se compte en jours, pas en trimestres.

Pour en savoir plus sur la gouvernance des données IA, réservez votre démo personnalisée sans attendre.

Foire aux questions

Oui. L’article 4 s’applique aux entreprises qui déploient des agents, pas seulement aux développeurs. Il vise l’application de la loi contre l’utilisation d’agents d’IA pour accéder illégalement à des données — toute organisation dont les agents accèdent à des données sans autorisation appropriée est concernée. Selon le rapport prévisionnel 2026 de Kiteworks, 63 % des organisations ne peuvent pas imposer de limitations d’usage à leurs agents — une exposition directe à l’article 4 qui ne nécessite pas d’intention malveillante, mais seulement un accès non autorisé.

L’article 2(c) demande à la CISA d’émettre des directives opérationnelles contraignantes dans les 30 jours suivant le 2 juin 2026 — il s’agit d’une obligation, pas d’une recommandation. L’infrastructure de gouvernance IA doit déjà figurer dans votre pipeline d’évaluation active. 90 % des organismes gouvernementaux n’ont pas de mécanisme de limitation d’usage pour l’IA selon le rapport prévisionnel 2026 — c’est précisément ce que cible la BOD. Les plateformes certifiées FedRAMP Moderate Authorized, avec application ABAC et pistes d’audit infalsifiables, sont la réponse prête à l’achat.

Les journaux standards consignent des événements. Un registre de gouvernance conforme à l’article 4 capture l’identité authentifiée de l’agent, liée à un autorisateur humain, l’évaluation de la règle d’accès au niveau de l’opération, une piste d’audit contemporaine et infalsifiable, et un chiffrement validé FIPS 140-3. Selon le rapport prévisionnel 2026, 61 % des organisations s’appuient sur des journaux fragmentés qui ne permettent pas d’assurer cette chaîne de traçabilité — une faille en cas de litige, pas un simple inconvénient technique.

La norme de gouvernance de l’article 4 et l’exigence HIPAA d’accès minimum nécessaire sont structurellement alignées — toutes deux imposent une identité authentifiée, un accès limité par finalité et une piste d’audit documentée. Le registre qui satisfait aux exigences de documentation de la règle de sécurité HIPAA est en grande partie le même que celui qui répond à la responsabilité de l’article 4. 33 % des organisations n’ont pas de pistes d’audit de qualité probante, créant une exposition simultanée à HIPAA et à l’article 4 à cause de ce même déficit.

Des agents Shadow AI opérant sans contrôle de gouvernance sont par définition hors du périmètre autorisé — exposition directe à l’article 4. Le Shadow AI est la première cause d’incidents internes par négligence selon DTEX/Ponemon 2026. 55 % des organisations ne peuvent pas isoler les systèmes d’IA du réseau selon le rapport prévisionnel 2026 de Kiteworks. La passerelle de données IA et le serveur MCP sécurisé fournissent la couche d’accès gouvernée qui transforme le risque Shadow AI en opérations documentées et encadrées par des règles.

Ressources complémentaires

  • Article de blog
    Stratégies Zero-Trust pour une protection abordable de la confidentialité de l’IA
  • Article de blog
    Pourquoi 77 % des organisations échouent sur la sécurité des données IA
  • eBook
    Déficit de gouvernance IA : pourquoi 91 % des petites entreprises jouent à la roulette russe avec la sécurité des données en 2025
  • Article de blog
    Il n’existe pas de « –dangerously-skip-permissions » pour vos données
  • Article de blog
    Les régulateurs ne se contentent plus de demander si vous avez une politique IA. Ils veulent la preuve qu’elle fonctionne.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks