Agents IA en entreprise : pourquoi la prudence s’impose
Je suis profondément favorable à l’innovation. L’intelligence artificielle ouvre déjà des perspectives très concrètes en matière de productivité, de formation, d’analyse et de qualité de service. Mais soutenir l’innovation ne signifie pas tout déployer trop tôt. Sur ce point, le signal envoyé le 13 avril 2026 par le CERT-FR mérite d’être pris au sérieux. Le CERT-FR, entité gouvernementale et nationale de réponse aux incidents cyber au sein de l’ANSSI, a publié le bulletin CERTFR-2026-ACT-016 pour alerter sur les vulnérabilités et les risques des produits d’automatisation par IA agentique sur les postes de travail et sur mobile.
J’ai déjà abordé ce sujet comme par exemple avec cet article https://iaenaction.fr/a-grand-pouvoir-grandes-responsabilites-souciez-vous-des-risques-de-lia/ mais le buzz des agents IA rend ce sujet encore plus aigu.
Le message de fond est simple : les agents IA ne sont pas encore mûrs pour être utilisés tels quels en environnement professionnel. Le bulletin du CERT-FR ne formule pas une réserve marginale. Il recommande de ne pas déployer ces outils en production et d’en réserver l’usage à des environnements de test isolés, sans données sensibles. Ce n’est pas un détail. C’est un rappel de gouvernance. Quand l’autorité française de référence en matière de veille, d’alerte et de réponse aux incidents estime qu’un produit doit rester hors production, l’enjeu n’est plus la mode technologique, mais la maîtrise du risque.
Il faut d’ailleurs distinguer clairement deux familles d’outils. D’un côté, les assistants IA. Ils proposent, rédigent, résument, structurent, suggèrent. Ils aident, mais n’agissent pas seuls. De l’autre, les agents IA. Eux peuvent exécuter des commandes, piloter un navigateur, lire et écrire des fichiers, accéder à des applications, gérer des messages, voire déclencher des actions à partir d’un simple texte reçu dans une messagerie. C’est là que le sujet change de nature. On ne parle plus seulement d’un outil conversationnel. On parle d’un logiciel qui agit dans le système d’information, parfois avec les privilèges de l’utilisateur.
Attention à la facilité apparente
Pour les non-développeurs, le danger est encore plus grand. Non parce qu’ils seraient moins légitimes à utiliser l’IA, mais parce que l’interface conversationnelle masque la complexité technique réelle. Une consigne formulée en langage naturel donne l’illusion d’un outil simple, presque anodin. En réalité, derrière cette apparente simplicité, l’agent peut manipuler des fichiers, suivre des liens, appeler des extensions, interagir avec des ressources externes et combiner plusieurs outils dans une même chaîne d’action. Autrement dit, une expérience utilisateur fluide peut dissimuler une surface d’attaque très large. C’est précisément ce manque de lisibilité opérationnelle qui rend ces solutions séduisantes, mais prématurées pour un usage large en entreprise.
Le risque cyber n’a rien de théorique. Le CERT-FR insiste sur plusieurs points : compromission du poste utilisateur, fuite de données sensibles, partage de secrets d’authentification, droits d’accès disproportionnés et possibilité d’actions destructrices sur les applications ou les données métier. À cela s’ajoute une faiblesse plus structurelle : la vulnérabilité des agents aux injections de prompt et au détournement par des contenus non fiables. Le NIST rappelle que de nombreux agents restent vulnérables à l’« agent hijacking », c’est-à-dire à des instructions malveillantes cachées dans des fichiers, des messages ou des sites web. OpenAI souligne de son côté qu’il ne suffit pas de filtrer les entrées : il faut concevoir les systèmes de façon à limiter l’impact d’une manipulation, même lorsqu’elle réussit.
Ne négligez pas le potentiel des assistants IA
Le problème est donc moins l’IA en elle-même que l’autonomie d’action qu’on lui accorde trop tôt. Un assistant qui propose un brouillon d’e-mail ou une synthèse de réunion reste sous contrôle humain. Un agent qui clique, exécute, transmet ou modifie sans supervision franchit un seuil critique. Cette différence est décisive. Aujourd’hui, nous pouvons déjà faire énormément avec des assistants IA sans leur donner les clés du poste de travail. Rédiger plus vite, préparer une note, synthétiser un corpus, comparer des options, bâtir un plan de formation, améliorer un support commercial, générer des hypothèses de travail : tout cela crée de la valeur immédiatement, avec un niveau de risque beaucoup plus maîtrisable.
C’est pourquoi la bonne priorité n’est pas de généraliser les agents, mais d’accélérer l’acculturation. Dans beaucoup d’organisations, il reste encore un travail considérable à mener sur les fondamentaux : distinguer les usages permis des usages interdits, qualifier les données sensibles, comprendre les limites d’un modèle, apprendre à vérifier une sortie, savoir ce qui peut être confié à un assistant et ce qui doit rester sous validation humaine, intégrer les réflexes de cybersécurité dans les usages quotidiens. Avant de déléguer des actions à des agents, il faut déjà maîtriser les usages assistés. C’est moins spectaculaire, mais bien plus utile.
Les garde-fous ne sont pas encore là !
Les agents IA sont séduisants parce qu’ils promettent une exécution directe. C’est précisément pour cela qu’ils exigent un niveau de maturité supérieur, à la fois technique, organisationnel et humain. Il faudra des garde-fous solides : moindre privilège, approbations d’exécution, sandbox, contrôle strict des extensions, traçabilité, supervision et validation explicite par la DSI et le RSSI. En attendant, le plus responsable n’est pas de freiner l’innovation, mais de lui donner le bon tempo. Oui à l’IA qui assiste. Oui à l’IA qui augmente les équipes. Mais non, pour l’instant, aux agents autonomes déployés tels quels sur les postes de travail, surtout entre les mains d’utilisateurs qui n’en voient ni les dépendances, ni les privilèges, ni les angles morts. L’innovation durable commence toujours par une maîtrise lucide du risque.
Les sources pour aller plus loin
- CERT-FR, Vulnérabilités et risques des produits d’automatisation par IA agentique sur les postes de travail : https://www.cert.ssi.gouv.fr/actualite/CERTFR-2026-ACT-016/
- Documentation OpenClaw, Gateway Security : https://docs.openclaw.ai/gateway/security
- Documentation OpenClaw, Gateway Security (version française) : https://docs.openclaw.ai/fr/gateway/security
- Documentation OpenClaw, Exec Approvals (version française) : https://docs.openclaw.ai/fr/tools/exec-approvals
- Trend Micro, Malicious OpenClaw Skills Used to Distribute Atomic MacOS Stealer : https://www.trendmicro.com/en_gb/research/26/b/openclaw-skills-used-to-distribute-atomic-macos-stealer.html
- Cisco, Personal AI Agents like OpenClaw Are a Security Nightmare : https://blogs.cisco.com/ai/personal-ai-agents-like-openclaw-are-a-security-nightmare
- Palo Alto Networks, OpenClaw (formerly Moltbot, Clawdbot) May Signal the Next AI Security Crisis : https://www.paloaltonetworks.com/blog/network-security/why-moltbot-may-signal-ai-crisis/
- OWASP, Securing Agentic Applications Guide 1.0 : https://genai.owasp.org/resource/securing-agentic-applications-guide-1-0/
- OWASP, AI Agent Security Cheat Sheet : https://cheatsheetseries.owasp.org/cheatsheets/AI_Agent_Security_Cheat_Sheet.html
- NIST, Technical Blog: Strengthening AI Agent Hijacking Evaluations : https://www.nist.gov/news-events/news/2025/01/technical-blog-strengthening-ai-agent-hijacking-evaluations
- NIST, Agentic Security – Threats, Mitigations and Challenges : https://csrc.nist.gov/csrc/media/presentations/2026/agentic-ai-emerging-threats%2C-mitigations%2C-and-cha/1.3-agentic_ai-sotiropoulos.pdf
- OpenAI, Understanding prompt injections: a frontier security challenge : https://openai.com/index/prompt-injections/
- OpenAI, Concevoir des agents IA pour résister aux attaques par injection de prompt : https://openai.com/fr-FR/index/designing-agents-to-resist-prompt-injection/
- OpenAI API, Safety in building agents : https://developers.openai.com/api/docs/guides/agent-builder-safety
- arXiv, Agents of Chaos : https://arxiv.org/abs/2602.20021
FAQ
Les agents IA sont-ils déjà utilisables en entreprise ?
Ils peuvent être testés dans des cadres très limités et fortement encadrés. En revanche, leur déploiement large sur les postes de travail reste prématuré au regard des risques de sécurité, de gouvernance et de maîtrise des actions exécutées.
Quelle différence entre un assistant IA et un agent IA ?
Un assistant IA propose une réponse, un plan, un résumé ou un brouillon. Un agent IA peut aller plus loin et déclencher des actions, manipuler des outils, accéder à des fichiers ou interagir avec des applications.
Pourquoi les non-développeurs sont-ils particulièrement exposés ?
Parce que l’interface conversationnelle donne une impression de simplicité. Or, derrière une consigne en langage naturel, l’agent peut mobiliser des permissions, des outils et des actions dont les conséquences techniques restent peu visibles pour l’utilisateur.
Faut-il renoncer aux usages de l’IA pour autant ?
Non. Les assistants IA permettent déjà des gains réels en rédaction, synthèse, préparation, recherche et structuration. Le sujet n’est pas de freiner l’IA, mais d’éviter de déléguer trop vite des actions sensibles à des systèmes encore insuffisamment mûrs.
Quelle priorité pour les entreprises aujourd’hui ?
La priorité est l’acculturation : former, cadrer les usages, clarifier les règles, distinguer assistance et automatisation, et renforcer les réflexes de gouvernance avant toute montée en autonomie des outils.