Sécurité des agents IA : vulnérabilités, gouvernance et guide pratique

L’injection de prompt est la vulnérabilité la plus critique des agents IA.

  • Trois formes majeures : injection directe, empoisonnement mémoire et manipulation d’API.
  • 50% des entreprises n’ont pas d’infrastructure d’identité pour composants non humains.
  • La double authentification couple certificat machine et session OAuth humaine.
  • Les identités machines SPIFFE empêchent l’usurpation des agents à chaque appel.

Vulnérabilités et menaces des agents IA

Injections de prompt et manipulations

L’injection de prompt constitue la vulnérabilité la plus critique des LLM. Un attaquant peut insérer des instructions malveillantes dans la requête légitime pour détourner le comportement de l’agent. Voici les formes les plus dangereuses :

  • Injection directe dans le prompt : l’attaquant force l’agent à ignorer ses instructions système pour ex filtrer des données ou exécuter des actions non autorisées.
  • Empoisonnement de mémoire persistante : en corrompant la mémoire à long terme de l’agent, l’attaquant s’assure que chaque nouvelle interaction réutilise des contextes malveillants.
  • Manipulation d’outils/API externes : un simple clic dans un prompt manipulé peut déclencher une exécution de code à distance (RCE) sur le système hôte.

Empoisonnement des données et compromis de privilège

Les agents autonomes combinent accès à des sources variées et capacités d’exécution, ce qui multiplie les angles d’attaque :

  • Corruption des données d’entraînement : si l’agent se nourrit de données externes non vérifiées, l’attaquant y injecte des exemples biaisés qui faussent toutes les décisions futures.
  • Autorisations excessives non contrôlées : 50% des entreprises ne disposent pas encore d’une infrastructure d’identité capable de gérer des composants non humains, ce qui laisse les privilèges sans limite.
  • Compromis des sources externes : l’agent consulte des bases de données, API cloud ou fichiers distants si l’une de ces sources est empoisonnée, l’agent propage la menace à toute la chaîne.

Gestion des identités et accès (IAM) pour agents IA

sécurité des agents IA

Défis de l’authentification non humaine

Les systèmes IAM traditionnels sont conçus pour des utilisateurs humains : ils reposent sur des mots de passe, des jetons d’accès et une authentification multifacteur (MFA). Or, un agent IA est un acteur non humain. Il ne peut pas saisir un code envoyé par SMS ni cliquer sur un lien de validation. La MFA devient donc inapplicable aux composants machine eux-mêmes.

Le défi est double. D’une part, il faut authentifier l’agent en tant qu’entité technique avec une identité machine forte. D’autre part, l’utilisateur final qui a déclenché la requête doit également être tracé. La solution passe par une double authentification couplée : l’agent est identifié par un certificat cryptographique, tandis que l’utilisateur humain conserve une session OAuth ou SAML. Seule cette double chaîne permet de reconstituer la piste d’audit complète.

Pour remplacer l’identité humaine, les architectures modernes déploient des identités certifiées via PKI (Public Key Infrastructure) ou le standard SPIFFE (Secure Production Identity Framework for Everyone). Ces identités machines sont courtes, dynamiques et vérifiées à chaque appel API, ce qui empêche l’usurpation d’un agent par un attaquant.

Application du moindre privilège

Un agent qui possède des autorisations excessives devient une porte d’entrée idéale pour un compromis de privilège. L’application stricte du moindre privilège est donc cruciale. Elle combine deux mécanismes : le RBAC (contrôle d’accès basé sur les rôles) pour définir des profils types d’agents, et le ABAC (contrôle d’accès basé sur les attributs) pour ajuster dynamiquement les droits selon le contexte (heure, environnement, type de donnée).

Concrètement, chaque action d’un agent doit être évaluée individuellement. Si un agent spécialisé dans un scanner de sécurité local interroge soudain une base de production, le système doit bloquer la requête par défaut. C’est le principe Zero Trust appliqué à l’IAM : ne jamais faire confiance, vérifier chaque accès, et limiter les permissions au strict nécessaire pour la tâche en cours.

Mesures de sécurité pratiques pour les agents IA

  • Chiffrement AES-256 pour les données en transit et au repos, protégeant les échanges entre l’agent et ses API
  • Microsegmentation des actions en bac à sable, isolant chaque exécution pour limiter les dégâts en cas de compromission
  • Durcissement des prompts avec instructions strictes limitant l’interprétation du modèle par des règles de format et de périmètre explicites
  • Validation et nettoyage des prompts entrants avant transmission à l’agent, supprimant les tentatives d’injection connues
  • Entraînement contradictoire en mélangeant des entrées trompeuses dans les données d’apprentissage pour immuniser le modèle
  • Authentification contextuelle ajustée dynamiquement selon le rôle, l’heure et la sensibilité de l’action demandée

Risques liés à l’autonomie et à la rapidité des agents

Un agent IA déclenche ses actions sans intervention humaine directe, ce qui expose à un déplacement latéral furtif entre bases de données, Cloud et API. La vitesse machine permet une exfiltration massive bien avant qu’un humain ne réagisse.

Dans un système multi-agents, une simple défaillance isolée provoque des pannes en cascade impossibles à interrompre manuellement. Les sorties probabilistes des modèles rendent ces incidents partiellement imprévisibles, ce qui complique la réponse automatisée.

Une surcharge des ressources par amplification d’attaque peut saturer un réseau en quelques secondes. La vitesse d’exécution, atout métier, devient alors un facteur de risque critique qui exige un contrôle d’exécution strict et une surveillance temps réel.

Gouvernance et conformité des agents IA

Réglementations applicables

  • RGPD : encadre toutes les données personnelles traitées par un agent, avec obligation de minimisation et de notification des violations.
  • AI Act européen : catégorise les agents selon leur niveau de risque (minimal, limité, haut, inacceptable) et impose des contrôles proportionnels.
  • Directive NIS 2 : renforce les obligations de cybersécurité pour les infrastructures critiques utilisant des agents autonomes.

Acteurs et gouvernance collaborative

La sécurisation d’un agent IA ne repose pas sur un seul service. Quatre rôles clés doivent collaborer : le DPO garantit la conformité RGPD, le RSSI applique les règles de cybersécurité, le Chief Data Officer contrôle la qualité et l’origine des données d’entraînement, et le responsable de l’agent supervise son comportement en production. Sans cette gouvernance collaborative, les failles de sécurité se multiplient. L’écart entre la stratégie et l’exécution reste important : si 70% des entreprises placent l’IA au cœur de leur stratégie, seules 50% disposent d’une infrastructure d’identité adaptée aux agents. Le reste à charge CPF pour une formation en sécurité IA s’élève à 103,20€, un investissement modeste face aux risques.

Traçabilité et surveillance des actions des agents IA

Assurer la sécurité des agents IA nécessite une visibilité totale sur leurs actions. Or, les systèmes de journalisation traditionnels, conçus pour des utilisateurs humains, s’avèrent largement insuffisants face à des agents autonomes. Sans une piste d’audit fiable, il devient impossible d’identifier la cause d’une brèche ou de démontrer la conformité aux régulateurs.

Limites de la journalisation actuelle

Les logs classiques enregistrent l’appel technique vers l’API, mais ignorent le contexte sémantique de la requête. Il est souvent impossible de reconstituer quel utilisateur final a initié la demande, ni quel raisonnement l’agent a suivi pour y parvenir. Pire encore, un agent compromis peut modifier son propre enregistrement d’activité sans laisser de preuve vérifiable. Dans une étude portant sur 16 agents audités, un seul clic malveillant a suffi pour déclencher une exécution de code à distance (RCE). Les arbitrages internes du modèle, ses doutes ou ses changements de plan, restent totalement invisibles dans les journaux techniques habituels.

Exigences d’une piste d’audit fiable

Pour garantir une traçabilité complète, la piste d’audit doit être cryptographiquement scellée. Elle doit enregistrer, pour chaque action :

  • Utilisateur origine : identité de la personne ayant initié la tâche.
  • Agent décideur : quel composant a pris la décision finale.
  • Chronologie : séquence temporelle immuable de chaque étape.
  • Raisonnement exposé : trace de l’arbitrage (par exemple, le prompt transformé).
  • Preuve d’intégrité : signature cryptographique empêchant toute modification a posteriori.

Cette exigence rejoint les principes d’une architecture Zero Trust, où chaque action est vérifiée et enregistrée individuellement, sans confiance implicite sur l’agent lui-même.

Architecture Zero Trust pour agents IA

Le principe est simple : ne jamais faire confiance, toujours vérifier. Aucun agent IA n’est considéré comme fiable par défaut, même à l’intérieur du réseau. Chaque action individuelle, chaque appel d’API, doit être authentifié et autorisé en temps réel.

L’architecture repose sur une identité cryptographique robuste pour chaque agent, via des certificats PKI ou le standard SPIFFE. Cela remplace les jetons statiques et permet une vérification continue, sans confiance implicite, même lorsque l’agent se déplace entre environnements cloud et sur site.

Le déploiement suit trois phases : mise en place de l’infrastructure d’identité, définition de politiques granidimensionnées (avec microsegmentation et isolation), puis contrôle en continu. Cette approche contient efficacement les compromissions et limite les déplacements latéraux, un risque majeur pour les systèmes multi-agents.