Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > 92 % des professionnels de la sécurité s’inquiètent des agents IA. Les données expliquent pourquoi.

92 % des professionnels de la sécurité s’inquiètent des agents IA. Les données expliquent pourquoi.

par Patrick Spencer updated juin 5, 2026 Gestion des risques liés à la cybersécurité
temps de lecture: 7 minutes

Les modèles de sécurité traditionnels partent du principe que des acteurs humains prennent des décisions délibérées. Un collaborateur choisit de partager un fichier, d’envoyer un e-mail ou d’accéder à un système, et les contrôles de sécurité interceptent, consignent ou bloquent cette action. Les agents IA remettent en cause cette hypothèse. Ils agissent en continu, de façon autonome et souvent invisible, exécutant des séquences d’actions sans qu’aucun humain n’ait validé chaque étape.

Le problème des autorisations est structurel. Les collaborateurs déploient des agents en utilisant leurs propres identifiants, ce qui signifie que les agents héritent des accès accordés à un humain pour des tâches à l’échelle humaine, contrôlées par des humains. Ce jeton GitHub n’a pas été attribué à un agent susceptible de cloner des dépôts, lire des fichiers de configuration et pousser des modifications dans un même workflow automatisé. Les identifiants cloud n’ont pas été délivrés en prévoyant qu’un agent les interrogerait 10 000 fois par heure. Un seul agent mal configuré, ou une seule interaction malveillante, peut toucher plusieurs systèmes simultanément.

Il faut aussi souligner le caractère interdisciplinaire du risque de sécurité lié à l’IA. Une seule interaction malveillante avec une IA peut concerner simultanément l’identité, le cloud, les applications, les données et la sécurité de la supply chain. Aucun outil de sécurité unique ne règle ce problème. Il faut une approche plateforme — qui applique des contrôles de manière cohérente sur tous les canaux par lesquels transitent des données sensibles.

5 points clés à retenir

1. L’inquiétude autour des agents IA est quasi unanime — mais l’écart de gouvernance se creuse.

Le rapport Darktrace State of AI Cybersecurity 2026 révèle que 92 % des professionnels de la sécurité s’inquiètent de l’impact des agents IA sur la sécurité des entreprises — un quasi-consensus. Pourtant, seules 37 % des organisations disposent d’une politique IA formelle, un chiffre en baisse par rapport à l’année précédente. 52 % en sont encore au stade de la « discussion ». Les équipes de sécurité s’inquiètent d’un sujet pour lequel elles n’ont pas encore mis en place de gouvernance IA.

2. Les agents héritent d’autorisations qui ne leur ont jamais été explicitement accordées.

Quand des collaborateurs déploient des agents IA avec leurs propres identifiants, ces agents héritent de l’accès à GitHub, aux identifiants cloud, aux jetons API et aux autorisations du système de fichiers — créant ainsi une surface d’attaque couvrant plusieurs systèmes à la fois. Ces accès ont été conçus pour des tâches à l’échelle humaine, contrôlées par des humains. Les agents les utilisent à l’échelle machine, en continu, souvent sans aucune revue humaine des actions individuelles. L’ampleur des dégâts en cas de compromission dépend directement des autorisations héritées par l’agent.

3. L’exposition de données sensibles est la principale préoccupation, à 61 %.

56 % signalent des problèmes de sécurité des données et des violations de règles ; 51 % s’inquiètent de l’utilisation abusive ou détournée des outils. Les agents interrogent des bases de données, récupèrent des fichiers, accèdent aux e-mails et exploitent des points de terminaison API — autant de contenus susceptibles d’être exfiltrés ou conservés dans des contextes non prévus par l’organisation. Dans les environnements réglementés, les implications en matière de conformité existent même si l’objectif de l’agent est parfaitement légitime : un agent qui extrait des informations médicales protégées (PHI) pour générer un résumé a traité des PHI, qu’un humain ait vu ou non le résultat.

4. Le retard de gouvernance s’aggrave chaque semaine sans encadrement.

52 % des organisations sont encore en phase de « discussion » alors que des agents sont déployés, des identifiants hérités et des données accédées sans limites définies. Les Prévisions 2026 de Kiteworks révèlent que 63 % des organisations ne peuvent pas imposer de limites d’usage aux agents IA et que 60 % ne peuvent pas mettre fin à un agent défaillant. La baisse du taux d’adoption des politiques, alors que les déploiements s’accélèrent, montre que le fossé de gouvernance se creuse.

5. Une politique de gouvernance non applicable techniquement devient un risque.

Une politique qui stipule « les agents IA doivent avoir un accès minimal » n’a aucune valeur sans contrôle technique au niveau du système. Les principes du zéro trust s’appliquent : l’accès est accordé explicitement, chaque interaction est consignée, et aucun agent ne dispose d’un accès plus large que ce qui est strictement nécessaire. C’est la couche d’application technique — pas le document — que les régulateurs et les équipes d’intervention examineront.

Vous pensez que votre organisation est sécurisée. Mais pouvez-vous le prouver ?

Pour en savoir plus :

Ce que montrent réellement les données sur le déficit de politique IA

Le déficit de politique mis en évidence dans le rapport Darktrace est plus préoccupant que le chiffre d’inquiétude en tête d’affiche. 92 % des professionnels sont inquiets, mais seules 37 % des organisations disposent d’une politique IA formelle — un chiffre en baisse par rapport à l’année précédente. La majorité sait qu’elle fait face à un risque majeur, sans avoir encore mis en place de gouvernance adaptée.

Une politique IA formelle ne relève pas du théâtre de la conformité ; elle constitue le socle qui rend l’application possible. Sans politique définie, les équipes de sécurité ne peuvent pas configurer les outils, définir les limites d’autorisations, effectuer des revues d’accès ou réagir efficacement aux incidents. Elles peuvent exprimer leur inquiétude, mais pas agir de façon structurée.

Les 52 % encore en phase de « discussion » font face à un problème qui s’aggrave. Chaque semaine sans politique IA formelle est une semaine où des agents sont déployés, des identifiants hérités et des données accédées sans limites définies. Le fait que l’adoption des politiques ait reculé par rapport à l’année précédente suggère que le déficit de gouvernance s’aggrave à mesure que l’adoption s’accélère.

L’exposition de données sensibles : une préoccupation majeure, et pour cause

Parmi les préoccupations spécifiques recensées dans le rapport, l’exposition de données sensibles arrive en tête à 61 %. Le risque immédiat lié à l’utilisation abusive ou à la compromission d’un agent IA n’est pas l’interruption d’un système — c’est la perte de contrôle sur les données de l’organisation.

Le problème s’aggrave dans les environnements réglementés. Un agent qui extrait des dossiers médicaux pour générer un résumé a traité des informations médicales protégées (PHI), qu’un humain ait vu ou non le résultat. Un agent qui lit un contrat pour en extraire les clauses a accédé à des informations potentiellement confidentielles. Les implications en matière de conformité liées à l’accès des agents IA aux données sont bien réelles, même si l’objectif de l’agent est parfaitement légitime.

Pour les organisations soumises à HIPAA, CMMC 2.0, ITAR ou d’autres cadres réglementaires, l’obligation de conformité ne s’arrête pas parce qu’un agent IA effectue le travail. Une violation de données imputable à un agent IA opérant hors des limites définies entraîne les mêmes conséquences réglementaires qu’une fuite causée par tout autre facteur.

Pourquoi une IA conforme exige une infrastructure, pas seulement une politique

La présentation du rapport Darktrace — selon laquelle la sécurité IA nécessite une approche interdisciplinaire couvrant l’identité, le cloud, les applications, les données et la supply chain — rejoint la conclusion à laquelle Kiteworks parvient par un autre biais : il s’agit d’un problème d’infrastructure, pas seulement de politique.

Une politique qui interdit aux agents IA d’accéder à des données sensibles sans autorisation ne vaut que par les contrôles techniques qui la rendent effective. Aujourd’hui, la plupart des environnements d’entreprise comptent des agents IA opérant sur des outils, systèmes et entrepôts de données qui n’ont jamais été conçus pour être gouvernés de façon unifiée. La couche de données — le contenu réel que les agents lisent, écrivent et transmettent — ne dispose souvent d’aucun mécanisme d’application spécifique à l’accès des agents IA.

Le serveur Kiteworks Secure MCP crée une interface gouvernée entre les agents IA et les contenus sensibles. La passerelle de données IA étend cette gouvernance aux pipelines RAG et aux workflows automatisés. Chaque interaction d’agent est authentifiée, évaluée selon des contrôles d’accès basés sur les attributs, et consignée dans une piste d’audit infalsifiable avec chiffrement validé FIPS 140-3. Le Réseau de données privé Kiteworks applique cette gouvernance à la messagerie électronique, au partage sécurisé de fichiers, au transfert sécurisé de fichiers (MFT), au SFTP, aux formulaires web et aux API — une seule politique, un journal d’audit consolidé.

Étapes concrètes pour bâtir une gouvernance IA

Premièrement, auditez les déploiements d’agents existants. De nombreuses organisations utilisent déjà des agents IA en production, déployés avant la mise en place de cadres de gouvernance. Auditer ces déploiements — quels identifiants ils détiennent, quelles données ils peuvent consulter, quels journaux existent — est la première étape pour évaluer l’exposition réelle au risque. Une nouvelle politique IA ne change rien au risque déjà existant.

Deuxièmement, mettez en place une politique IA formelle. Pas un document long à finaliser, mais une politique opérationnelle qui définit ce que les agents sont autorisés à consulter, dans quelles conditions, et qui est responsable de la revue de ces accès.

Troisièmement, implémentez des contrôles techniques pour appliquer la politique. Les principes du zéro trust s’appliquent : l’accès est accordé explicitement, chaque interaction est consignée, et aucun agent ne dispose d’un accès plus large que son objectif défini. Une politique de gouvernance IA non applicable techniquement devient un risque.

Quatrièmement, sensibilisez les collaborateurs au fait qu’ils étendent leurs propres autorisations en déployant un agent. Les politiques de confidentialité et de gouvernance des données de l’organisation s’appliquent aux actions des agents comme à celles des humains. Ce concept reste encore mal compris.

Pour les secteurs réglementés — santé, défense, services financiers, secteur public — l’application technique n’est pas optionnelle. Une violation de données imputable à un agent IA opérant hors des limites définies entraîne les mêmes conséquences réglementaires qu’une fuite causée par tout autre facteur.

Pour en savoir plus sur la protection des données sensibles dans une organisation qui adopte de plus en plus l’IA, réservez votre démo sans attendre !

Foire aux questions

92 % des professionnels de la sécurité s’inquiètent de l’impact des agents IA sur la sécurité des entreprises. 61 % des responsables de la sécurité citent l’exposition de données sensibles comme leur principale préoccupation ; 56 % signalent des violations de sécurité des données et de politiques ; 51 % évoquent l’utilisation abusive ou détournée des outils. Seules 37 % des organisations disposent d’une politique IA formelle — un chiffre en baisse par rapport à l’année précédente — et plus de la moitié en sont encore au stade de la « discussion ». L’inquiétude est quasi universelle. La gouvernance, non.

Les agents déployés avec les identifiants d’un collaborateur héritent de ses jetons GitHub, identifiants cloud, accès API et autorisations du système de fichiers — puis fonctionnent à l’échelle machine, en continu, sans revue humaine des actions individuelles. Un accès conçu pour des tâches humaines est exploité par un système autonome, sans limite de fréquence ni supervision. Le Secure MCP Server répond à ce problème en fournissant un accès limité et gouverné, plutôt que des autorisations larges héritées.

Une politique définit ce que les agents sont autorisés à faire, mais ne l’applique pas au niveau système. À mesure que les déploiements se multiplient, une politique reposant sur la configuration et la revue humaines finit par échouer. Le fait que 52 % des organisations soient encore en phase de « discussion » montre que l’intention politique s’arrête au document. Les principes du zéro trust exigent une application technique : toujours vérifier, toujours consigner, toujours appliquer. La passerelle de données IA et les journaux d’audit assurent cette couche d’application et de preuve.

Toutes. HIPAA, CMMC 2.0, ITAR et d’autres cadres ne s’arrêtent pas parce qu’un agent IA effectue le travail. Un agent qui extrait des PHI pour générer un résumé a traité des PHI avec toutes les implications de conformité. Un accès IA gouverné avec application ABAC et pistes d’audit infalsifiables n’est pas optionnel pour les secteurs réglementés — c’est le même standard que pour l’accès humain aux données.

Trois étapes : auditer les déploiements d’agents existants pour connaître les identifiants détenus et les données accessibles ; mettre en place une politique IA opérationnelle définissant les accès autorisés et les responsabilités ; implémenter des contrôles techniques pour appliquer cette politique avec des autorisations explicites, un reporting complet et une limitation des agents à leur objectif. La passerelle de données IA de Kiteworks constitue un point d’entrée concret pour bâtir cette couche d’application — en particulier pour les environnements réglementés où l’application technique est incontournable.

Ressources complémentaires

  • Article de blog
    Stratégies Zero‑Trust pour protéger la vie privée à l’ère de l’IA à moindre coût
  • Article de blog
    Pourquoi 77 % des organisations échouent à sécuriser les données IA
  • eBook
    Déficit de gouvernance IA : pourquoi 91 % des petites entreprises jouent à la roulette russe avec la sécurité des données en 2025
  • Article de blog
    Il n’existe pas de « –dangerously-skip-permissions » pour vos données
  • Article de blog
    Les régulateurs ne se contentent plus de demander si vous avez une politique IA. Ils veulent des preuves concrètes de son efficacité.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks