Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > CISA a fixé les limites pour l’IA agentique — la plupart les ont déjà franchies

CISA a fixé les limites pour l’IA agentique — la plupart les ont déjà franchies

par Uri Kedem updated mai 28, 2026 Gestion des risques liés à la cybersécurité
temps de lecture: 7 minutes

Les 30 avril et 1er mai 2026, six agences nationales de cybersécurité ont publié conjointement le document Careful Adoption of Agentic AI Services, un guide de 28 pages sur la sécurisation des agents autonomes d’IA — une première coordination sur une même surface d’attaque IA. Le ton est inhabituellement direct : ne donnez pas aux agents un accès large ou illimité, commencez uniquement par des cas d’usage à faible risque et non sensibles, et intégrez l’IA agentique dans le modèle de sécurité existant au lieu de la traiter comme une expérimentation.

Comme le rapporte CSO Online, les agences insistent sur l’importance d’appliquer strictement le principe du moindre privilège pour l’IA agentique — le risque lié aux privilèges étant la préoccupation principale. Cette exigence pose problème à la plupart des entreprises. Selon les Prévisions Kiteworks 2026, 63 % des organisations ne peuvent pas limiter l’usage des agents IA à des finalités précises, 60 % ne peuvent pas désactiver rapidement un agent défaillant, et 55 % ne peuvent pas isoler les systèmes IA de l’accès au réseau global. Ce sont précisément ces contrôles que l’avis attend désormais — et ils passent d’un écart identifié par la recherche à un écart de conformité.

5 points clés à retenir

1. L’avis conjoint des Five Eyes relève le niveau d’exigence pour l’IA agentique.

Six agences nationales de cybersécurité — CISA, NSA, ASD ACSC d’Australie, Centre canadien pour la cybersécurité, NCSC du Royaume-Uni et NCSC de Nouvelle-Zélande — ont publié ensemble le guide Careful Adoption of Agentic AI Services. Une telle coordination n’est pas anodine. Conséquence immédiate : la « bonne pratique » devient la « pratique attendue ». Les auditeurs internes s’y réfèrent. Les régulateurs la citent. Les avocats des plaignants l’ajoutent aux demandes de preuves. Le fossé de gouvernance de l’IA qu’il décrit devient un écart de conformité.

2. Le risque lié aux privilèges est le principal enjeu.

L’avis place l’application du moindre privilège, l’inventaire des capacités et la limitation stricte de l’accès aux données en tête des contrôles pour l’IA agentique. Or, la plupart des entreprises rencontrent des difficultés : le « privilège rampant » est précisément ce que les déploiements d’IA agentique génèrent. Selon les Prévisions Kiteworks 2026, 63 % des organisations ne peuvent pas limiter l’usage des agents IA à des finalités précises — le contrôle exact attendu par l’avis. Un écart appuyé par la recherche devient ainsi une non-conformité en attente d’être relevée lors d’un audit.

3. L’audit continu n’est plus optionnel.

Les exploitants doivent garantir la traçabilité de chaque décision et action prise par un agent. Les Prévisions Kiteworks 2026 révèlent que 33 % des organisations ne disposent pas de journaux d’audit exploitables et 61 % utilisent des logs fragmentés et inutilisables. Si un régulateur demande la preuve qu’un agent n’a pas accédé à un enregistrement précis à une date donnée, il n’acceptera pas « la consigne système disait qu’il ne devait pas ». C’est dans la catégorie de la responsabilité que la plupart des programmes échouent.

4. Cinq catégories de risques structurent désormais la sécurité de l’IA agentique.

Les risques liés aux privilèges, à la conception et à la configuration, au comportement, à la structure et à la responsabilité constituent le nouveau cadre. Chacun correspond à une question posée par les auditeurs : Qui a autorisé cela ? À quoi l’agent a-t-il accédé ? Pouvez-vous fournir le journal ? Pouvez-vous expliquer la décision ? Si la réponse est « nous ne savons pas », le programme ne répond pas au standard fixé par l’avis. La responsabilité est la catégorie la plus difficile à adapter et la plus cruciale à maîtriser.

5. Tout se joue au niveau de la donnée.

Les prompts système sont des instructions, pas des contrôles. Les garde-fous à l’exécution agissent sur l’hôte, pas sur la donnée. Les deux peuvent être contournés. Seule l’application des contrôles au niveau de la donnée — contrôles d’accès basés sur les attributs indépendants du modèle, journaux d’audit infalsifiables et identité cryptographique — fournit les preuves que les régulateurs accepteront, même après une mise à jour ou un retrait du modèle.

Vous pensez que votre organisation est sécurisée. Mais pouvez-vous le prouver ?

Pour en savoir plus :

Cinq catégories de risques qui vont structurer les programmes d’IA agentique

Le guide commun classe les risques liés à l’IA agentique en cinq catégories, comme l’explique CyberScoop. Chacune correspond directement à des questions posées par un auditeur, un régulateur ou un expert judiciaire.

Risques liés aux privilèges. Accorder trop d’accès à un agent transforme une compromission en violation majeure. L’avis exige un inventaire des capacités, des autorisations limitées et une identité cryptographique vérifiée pour chaque agent.

Risques de conception et de configuration. Une mauvaise configuration crée des failles de sécurité avant même la mise en production. Il faut réaliser une modélisation des menaces, adopter une architecture sécurisée dès la conception et valider la configuration avant le déploiement.

Risques comportementaux. Les agents poursuivent des objectifs que leurs concepteurs n’avaient pas anticipés. L’avis cite explicitement la mauvaise définition des objectifs et les comportements trompeurs — il ne prétend pas que l’injection de prompt soit résolue.

Risques structurels. Les réseaux d’agents interconnectés amplifient les défaillances. Quand la sortie compromise d’un agent devient l’entrée d’un autre, l’impact s’accroît. Les 55 % d’organisations qui ne peuvent pas isoler les systèmes IA du réseau global ne peuvent pas limiter ce risque.

Risques liés à la responsabilité. Décisions prises via des processus opaques, journaux difficiles à exploiter, chaînes d’actions impossibles à reconstituer a posteriori. C’est là que la plupart des programmes échouent, et c’est aussi la catégorie la plus difficile à corriger une fois les agents en production.

Pourquoi les prompts système et les garde-fous à l’exécution ne suffiront pas lors d’un audit

Le guide commun exige d’intégrer l’IA agentique dans les cadres existants de zéro trust, de défense en profondeur et de moindre privilège. Les prompts système sont des instructions, pas des contrôles. Les garde-fous à l’exécution agissent sur l’hôte, pas sur la donnée. Les deux peuvent être contournés par une injection de prompt indirecte, une mise à jour du modèle ou un adversaire qui contrôle les entrées traitées par l’agent. Les recherches sur l’injection de prompt indirecte ont montré depuis des années que des instructions invisibles cachées dans le contenu récupéré peuvent détourner les applications intégrant des LLM. Le problème n’est pas résolu, et plusieurs grands acteurs de l’IA ont reconnu publiquement qu’il ne le sera peut-être jamais totalement.

Le problème de la responsabilité aggrave la situation. Lorsqu’un modèle est mis à jour, retiré ou remplacé — ce qui arrive fréquemment — la piste d’audit liée à ce modèle disparaît. Un régulateur qui, dans trois ans, demande la preuve d’une action précise d’un agent n’acceptera pas « la consigne système disait qu’il ne devait pas ». Les contrôles au niveau du modèle ne produisent pas de preuves exploitables lors d’un audit. Les contrôles à l’exécution ne permettent pas d’appliquer les règles de gestion des données. Seul le niveau de la donnée répond à la fois aux exigences de l’avis et à celles d’un auditeur externe — chaque décision d’accès est journalisée, chaque autorisation vérifiée, chaque action attribuée à une session humaine autorisée.

Où se situe aujourd’hui le déficit de maîtrise

Les cinq contrôles de maîtrise implicites dans l’avis correspondent directement aux écarts mesurés par les Prévisions Kiteworks 2026 :

Liaison à la finalité. 63 % ne peuvent pas limiter l’usage des agents IA à des finalités précises. L’exigence de moindre privilège de l’avis suppose que c’est possible.

Capacité de coupure d’urgence. 60 % ne peuvent pas désactiver rapidement un agent défaillant. L’exigence d’intervention humaine de l’avis suppose une réelle capacité d’arrêt.

Isolation réseau. 55 % ne peuvent pas isoler les systèmes IA du réseau global. Sans isolation, le risque structurel — défaillances en cascade entre agents interconnectés — ne peut pas être limité.

Validation des entrées. La majorité ne peut pas valider les entrées de l’IA. L’injection de prompt indirecte échappe à tout contrôle si les entrées ne sont pas validées.

Surveillance continue. Environ deux organisations sur cinq n’assurent aucune surveillance continue de l’activité IA. L’exigence de traçabilité de l’avis est impossible sans cela.

Il ne s’agit pas d’échecs de produits ponctuels. Ce sont des failles d’architecture de gouvernance — l’absence d’un point central où l’accès, l’identité, les règles et l’audit des agents IA peuvent être appliqués et prouvés.

L’architecture avant les ambitions : où doit vivre la gouvernance de l’IA agentique

La réponse architecturale à l’avis commun est la gouvernance au niveau de la donnée, indépendante du modèle et de l’exécution. Le modèle peut être mis à jour, compromis ou remplacé. L’exécution peut être contournée. Seul le niveau de la donnée permet de garantir, pour chaque interaction avec un agent, les décisions d’accès, la vérification d’identité, l’application des règles et la traçabilité infalsifiable — quel que soit le modèle utilisé, le prompt traité ou le framework d’agent déployé.

Le serveur Kiteworks Secure MCP et l’AI Data Gateway appliquent ce schéma : chaque requête d’agent est authentifiée via OAuth 2.0, évaluée selon la politique ABAC du moteur de règles Kiteworks, chiffrée avec des algorithmes validés FIPS 140-3 et journalisée dans une piste d’audit infalsifiable alimentant les SIEM et infrastructures de conformité existants. Le Réseau de données privé Kiteworks étend cette gouvernance à la messagerie électronique, au partage de fichiers, au MFT, au SFTP, aux formulaires web et aux API, sous un même moteur de règles et un journal d’audit consolidé.

Moins de la moitié des entreprises disposent aujourd’hui d’une AI Data Gateway centralisée — la base architecturale désormais exigée par l’avis. Les contrôles situés au-dessus de cette couche peuvent être contournés. Pas ceux du niveau de la donnée.

Ce que les organisations doivent faire avant le prochain audit

Première étape : inventorier chaque agent. Dressez la cartographie complète de tous les systèmes d’IA agentique en production — copilotes internes, agents SaaS intégrés, pilotes départementaux, outils tiers. La plupart des organisations découvriront des IA « fantômes » dont elles ignoraient l’existence. Tant que l’inventaire n’est pas complet, aucun autre contrôle ne compte.

Deuxième étape : auditer l’écart. Comparez les fonctions actuelles aux cinq catégories de risques et identifiez les contrôles qui échoueraient à un audit aujourd’hui. La plupart des organisations constateront qu’elles ne peuvent pas limiter l’usage des agents IA à des finalités précises et qu’elles n’ont pas de procédure de coupure propre. Ce constat devient la feuille de route de l’IA agentique.

Troisième étape : appliquer le moindre privilège au niveau de la donnée. Les décisions d’autorisation d’accès des agents IA aux données sensibles doivent se prendre au niveau de la donnée, avec des contrôles d’accès basés sur les attributs tenant compte de la classification, de la juridiction et de l’utilisateur humain pour lequel l’agent agit. Une AI Data Gateway centralisée est la base architecturale désormais exigée par l’avis.

Quatrième étape : créer des pistes d’audit infalsifiables pour chaque action d’agent. Chaque interaction d’agent avec des données réglementées doit être journalisée avec suffisamment de détails pour reconstituer qui a autorisé quoi, quand et pourquoi — sur tout le cycle de vie de la donnée, pas seulement celui du modèle.

Cinquième étape : considérez l’avis conjoint comme le minimum, pas le maximum. Les organisations soumises à l’AI Act européen sont déjà en avance sur tous les contrôles IA majeurs. L’avis va relever le niveau partout dans le monde. Prenez de l’avance avant que le standard ne devienne la règle — attendre une application locale, c’est devoir adapter la gouvernance dans l’urgence.

Pour en savoir plus sur la réduction des risques liés à l’IA agentique, réservez votre démo personnalisée dès maintenant.

Foire aux questions

Appuyez-vous sur les cinq catégories de risques : privilèges, conception et configuration, comportement, structure et responsabilité. Exigez un inventaire des capacités, une limitation stricte des privilèges, une surveillance continue, des points de contrôle humains pour les actions sensibles et des journaux d’audit infalsifiables avant toute validation. La plupart des déploiements d’IA agentique pour le service client échoueront à un ou plusieurs de ces critères lors de la première revue — identifier ces écarts en amont est la valeur ajoutée du cadre de l’avis.

La conformité des accès des agents IA aux informations médicales protégées (PHI) dispose désormais d’un standard fédéral explicite. 63 % des organisations ne peuvent pas limiter l’usage des agents IA à des finalités précises — un contrôle pourtant exigé par la règle du minimum nécessaire d’HIPAA. L’application de l’ABAC au niveau de la donnée et des pistes d’audit infalsifiables répond à la fois à HIPAA et à l’avis conjoint.

Les familles AC, AU et IA du CMMC Niveau 2 exigent une autorisation stricte pour les agents IA accédant aux CUI. Seuls 46 % des organisations du secteur défense se disent prêtes selon le rapport Kiteworks 2025 sur la préparation au CMMC, et l’avis conjoint ajoute des contrôles spécifiques à l’IA agentique. La gouvernance au niveau de la donnée avec application de l’ABAC répond simultanément aux trois familles de contrôle et fournit les preuves requises par les évaluateurs.

Oui. L’avis s’applique à tout agent IA capable de planifier, décider ou agir de façon autonome — ce qui inclut Copilot lorsqu’il bénéficie d’autorisations larges. Moins de la moitié des entreprises disposent d’une AI Data Gateway centralisée. Sans cela, les déploiements Copilot ne peuvent pas démontrer l’application du moindre privilège et la traçabilité attendues par l’avis pour tout système d’IA agentique.

Commencez par inventorier tous les systèmes d’IA agentique présents dans l’environnement, puis cartographiez les contrôles en fonction des cinq catégories de risques de l’avis CISA. Les deux constats d’audit les plus fréquents sont l’incapacité à limiter l’usage des agents IA à des finalités précises et l’absence de capacité de coupure d’urgence. Pour corriger ces deux points, il faut une gouvernance au niveau de la donnée — application de l’ABAC, chiffrement FIPS 140-3 et journaux d’audit infalsifiables — et non des garde-fous au niveau du modèle.

Ressources complémentaires

  • Article de blog
    Stratégies Zero-Trust pour une protection abordable de la vie privée avec l’IA
  • Article de blog
    Comment 77 % des organisations échouent à sécuriser les données IA
  • eBook
    Fossé de gouvernance IA : pourquoi 91 % des petites entreprises jouent à la roulette russe avec la sécurité des données en 2025
  • Article de blog
    Il n’existe pas de « –dangerously-skip-permissions » pour vos données
  • Article de blog
    Les régulateurs ne se contentent plus de demander si vous avez une politique IA. Ils veulent des preuves concrètes.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks